#ParsedReport #CompletenessMedium
20-03-2024

New Sysrv Botnet Variant Makes Use of Google Subdomain to Spread XMRig Miner

https://www.imperva.com/blog/new-sysrv-botnet-variant-makes-use-of-google-subdomain-to-spread-xmrig-miner

Report completeness: Medium

Threats:
Sysrv_botnet
Xmrig_miner
Upx_tool

Geo:
Malaysian

CVEs:
CVE-2017-9805 [Vulners]
CVSS V3.1: 8.1,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- apache struts (2.3.1.1, 2.5.9, 2.2.3.1, 2.3.28, 2.3.15, 2.5.2, 2.3.14, 2.3.32, 2.2.1, 2.3.16, 2.5.10, 2.3.24.1, 2.5.6, 2.1.8.1, 2.3.3, 2.3.16.3, 2.3.4, 2.1.3, 2.1.2, 2.1.5, 2.3.24.3, 2.3.15.2, 2.3.29, 2.3.14.3, 2.1.8, 2.3.4.1, 2.3.20.1, 2.3.8, 2.3.30, 2.3.7, 2.3.24, 2.5.1, 2.3.28.1, 2.5.4, 2.3.14.2, 2.3.20.3, 2.5.7, 2.5.5, 2.3.15.1, 2.3.1, 2.3.16.2, 2.1.6, 2.5.3, 2.2.3, 2.3.12, 2.1.4, 2.2.1.1, 2.3.1.2, 2.3.31, 2.3.20, 2.3.15.3, 2.5.10.1, 2.3.16.1, 2.5.8, 2.3.14.1, 2.3.33, 2.5.12, 2.5.11)

CVE-2023-22527 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 10
X-Force: Patch: Official fix
Soft:
- atlassian confluence data center (<8.5.4, 8.0.3, 8.3.1, 8.1.4, 8.3.4, 8.4.2, 8.0.2, 8.2.3, 8.5.3, 8.3.3, 8.3.0, 8.5.2, 8.1.3, 8.2.0, 8.4.5, 8.3.2, 8.5.1, 8.0.1, 8.2.1, 8.4.1, 8.0.0, 8.1.0, 8.4.4, 8.4.3, 8.4.0, 8.5.0, 8.2.2, 8.5, <8.7.1, 8.7.0)

CVE-2021-26084 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- atlassian confluence server (<7.12.5, <7.4.11, <7.11.6, <6.13.23)
- atlassian confluence data center (<7.12.5, <7.11.6, <7.4.11, <6.13.23)


ChatGPT TTPs:
do not use without manual check
T1566.001, T1190, T1583.001, T1547.001, T1027, T1041, T1496, T1070.004, T1059.004

IOCs:
Url: 7
IP: 1
Coin: 1
Hash: 6

Soft:
Apache Struts, Confluence

Algorithms:
md5

Languages:
golang

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Ботнет Sysrv - это постоянная и развивающаяся угроза, которая действует путем сброса криптоминеров на зараженные хосты, используя уязвимости для распространения по сетям. Недавние выводы Imperva выявили подозрительные действия, нацеленные на веб-сайты по всему миру, использующие скомпрометированный домен малазийского академического учреждения. Анализ образцов вредоносного ПО показывает, что ботнет использует скрипт-дроппер и усовершенствования в последнем варианте, такие как развертывание нескольких файлов ELF для сохранения и подключение к потокам майнинга MoneroOcean. Этот случай подчеркивает адаптивность субъектов киберугроз и необходимость постоянного сбора информации об угрозах и принятия упреждающих мер безопасности для противодействия возникающим угрозам из, казалось бы, законных источников.
-----

Ботнет Sysrv, первоначально идентифицированный в 2020 году, представляет собой хорошо документированную угрозу, которая развивалась на протяжении многих лет. В основном он работает путем сброса криптоминера на зараженные хосты и распространения различными методами, включая использование сетевых уязвимостей. Исследователи из разных организаций тщательно изучили этот ботнет и его деятельность.

Недавно Imperva Threat Research обнаружила подозрительное поведение, связанное с ботнетом, где заблокированные HTTP-запросы предполагали, что трафик ботов нацелен на многочисленные сайты по всему миру. Эти запросы были направлены на использование известных веб-уязвимостей в программном обеспечении, таком как Apache Struts и Atlassian Confluence. Интересным аспектом было использование законного домена, принадлежащего малазийскому академическому учреждению, возможно, скомпрометированного операторами ботнета для размещения вредоносного контента.

В ходе своего расследования Imperva проанализировала образцы вредоносных программ, размещенных на скомпрометированном сайте, и обнаружила скрипт dropper bash с именем "ldr.sh", напоминающий предыдущие версии ботнета Sysrv. Этот скрипт содержит переменные для загрузки двоичного файла второго этапа, а также функции для уничтожения процессов, связанных с программным обеспечением безопасности и предыдущими заражениями вредоносными программами. Последняя версия скрипта включает дополнительные функции для подготовки различных архитектур процессоров к операциям интеллектуального анализа данных.

Значительный прогресс в последней версии Sysrv виден в улучшениях, внесенных в исходный двоичный файл, удаленный на зараженных хостах. Этот статически связанный двоичный файл Golang, упакованный с помощью UPX packer, развертывает несколько файлов ELF в файловой системе для сохранения. Разработчики вредоносного ПО внедрили обфускацию в двоичный файл, чтобы затруднить восстановление файловой структуры, но динамический анализ выявил новое поведение, например, загрузку майнера XMRig с поддомена Google. Этот майнер подключается к потокам майнинга MoneroOcean и ежегодно генерирует значительное количество криптовалюты.

Расследование подчеркивает адаптивность участников угроз, таких как те, кто стоит за Sysrv, которые используют, казалось бы, законные домены для маскировки вредоносных действий. Это подчеркивает важность того, чтобы службы безопасности сохраняли бдительность, поскольку вредоносные файлы могут быть доставлены из надежных источников. Очевидно, что субъекты киберугроз постоянно совершенствуют свою тактику, чтобы избежать обнаружения, подчеркивая решающую роль постоянной разведки угроз и упреждающих мер безопасности в борьбе с такими угрозами.

#ParsedReport #CompletenessLow
20-03-2024

Sign1 Malware: Analysis, Campaign History & Indicators of Compromise

https://blog.sucuri.net/2024/03/sign1-malware-analysis-campaign-history-indicators-of-compromise.html

Report completeness: Low

Threats:
Sign1
Vextrio

ChatGPT TTPs:
do not use without manual check
T1190, T1059, T1566, T1027, T1071, T1600, T1550

IOCs:
Domain: 17
Url: 1
IP: 4

Soft:
WordPress, Unix, Instagram

Algorithms:
xor, base64

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении и воздействии внедрения JavaScript под названием Sign1, являющегося частью вредоносной кампании, затрагивающей более 2500 сайтов путем создания динамических URL-адресов для нежелательных перенаправлений и рекламы. Вредоносная программа в первую очередь нацелена на посетителей крупных веб-сайтов, чтобы избежать обнаружения, и перенаправляет их на мошеннические сайты. Sucuri и GoDaddy Infosec обнаружили более 39 000 сайтов, зараженных Sign1, с уникальными параметрами в кодировке base64 для декодирования вредоносных URL-адресов, причем конкретные волны заражений были связаны с доменными именами, созданными в период с июля по сентябрь 2023 года. Бен Мартин, аналитик по безопасности, сыграл важную роль в выявлении и отслеживании этого вредоносного ПО, используя свой опыт в области безопасности веб-сайтов и взаимодействуя с сообществом кибербезопасности.
-----

Клиент сообщил о случайных всплывающих окнах на своем веб-сайте, что привело к обнаружению внедрения JavaScript с именем Sign1. Эта вредоносная кампания затронула более 2500 сайтов за последние два месяца. Вредоносный код создает динамические URL-адреса, которые меняются каждые 10 минут, вызывая нежелательные перенаправления и рекламу для посетителей сайта. Примечательно, что вредоносное ПО нацелено на посетителей, приходящих с крупных веб-сайтов, чтобы избежать обнаружения, и перенаправляет пользователей на мошеннические сайты, такие как VexTrio. Вредоносная программа внедряет скрипты со сторонних доменов, приводя пользователей на вредоносные сайты.

Вредоносная кампания Sign1, обнаруженная Sucuri и GoDaddy Infosec на более чем 39 000 сайтах, использует уникальные параметры в кодировке base64 для извлечения и декодирования сторонних вредоносных URL-адресов. Различные волны заражений Sign1 связаны с конкретными доменными именами, созданными в период с июля по сентябрь 2023 года. Эти инъекции часто скрыты в пользовательских HTML-виджетах WordPress или внедряются с помощью простого пользовательского плагина CSS и JS, что позволяет вредоносному ПО избегать обнаружения в файлах сервера в течение длительного времени. Анализ дат регистрации доменов и скачиваний плагинов указывает на закономерность использования злоумышленниками, причем скачки загрузок тесно связаны с созданием вредоносных доменов.

Бен Мартин, аналитик и исследователь в области безопасности, играет решающую роль в выявлении необнаруженных вредоносных программ, отслеживании тенденций в области безопасности и очистке зараженных веб-сайтов. Его обширный опыт в области безопасности веб-сайтов насчитывает более восьми лет, основное внимание уделяется обнаружению и устранению вредоносных программ. Помимо своих профессиональных обязанностей, Бен увлекается такими видами деятельности, как редактирование аудио, производство музыки, игры и проводит время со своим котом. Он активно взаимодействует с сообществом кибербезопасности на таких платформах, как Twitter.

#ParsedReport #CompletenessMedium
21-03-2024

AcidPour \| New Embedded Wiper Variant of AcidRain Appears in Ukraine

https://www.sentinelone.com/labs/acidpour-new-embedded-wiper-variant-of-acidrain-appears-in-ukraine

Report completeness: Medium

Actors/Campaigns:
Sandworm (motivation: hacktivism)

Threats:
Acidpour
Acidrain
Vpnfilter
Killdisk
Industoyer2

Victims:
Eutelsat ka-sat modems, Ukrainian telecommunication networks, Enercon wind turbines, Surfbeam2 modems, Triangulum, Misto tv

Industry:
Iot, Media, Military, Government, Energy, Telco, Ics

Geo:
Ukrainian, Ukraine, Russian, Germany

ChatGPT TTPs:
do not use without manual check
T1485, T1486, T1105, T1070.004, T1016, T1047, T1562.001, T1027, T1496, T1489, have more...

IOCs:
Domain: 4
IP: 1
Hash: 1

Soft:
Telegram, BinDiff

Algorithms:
md5, sha1, sha256

Platforms:
mips, intel, x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея: SentinelLabs обнаружила новый штамм вредоносного ПО под названием AcidPour, усовершенствованную версию AcidRain, с возможностью нацеливания на Linux UBI и DM logic, что указывает на потенциальную эскалацию киберугроз, связанных с российской военной разведкой, особенно затрагивающих критическую инфраструктуру Украины.
-----

SentinelLabs недавно обнаружила новый штамм вредоносного ПО под названием AcidPour, эволюцию ранее идентифицированного AcidRain wiper, который ранее выводил из строя модемы Eutelsat KA-SAT в Украине и вызывал сбои по всей Европе во время начала российского вторжения. AcidPour, улучшенная версия AcidRain, теперь включает в себя функциональные возможности, ориентированные на логику Unsorted Block Image (UBI) Linux и Device Mapper (DM), специально предназначенные для RAID-массивов и больших устройств хранения данных. Исследование связывает AcidRain и AcidPour с кластерами угроз, связанными с российской военной разведкой, в частности с подкластерами внутри Sandworm, как признано CERT-UA.

Точные цели AcidPour все еще находятся в стадии расследования, в связи с продолжающимися перебоями в работе интернет-провайдера (ISP) в Украине с 13 марта. Сбои были приписаны хактивисту, управляемому ГРУ, который использовал каналы Telegram, чтобы взять на себя ответственность. Подозрительный двоичный файл Linux с именем AcidPour был обнаружен 16 марта 2024 года, демонстрируя сходство с AcidRain и вызывая опасения по поводу потенциальных киберугроз в регионе. Различие между AcidRain и AcidPour заключается в совместимости архитектуры: AcidRain структурирован для архитектуры MIPS, а AcidPour - для архитектуры x86, что ограничивает прямое сравнение кода из-за этого несоответствия.

AcidRain применила стратегию "грубой силы", без разбора нацеливаясь на устройства путем удаления важных каталогов, демонстрируя отсутствие индивидуального подхода. И наоборот, AcidPour, запрограммированный на C без статически скомпилированных библиотек или импорта, включает функцию самоудаления в начале выполнения, перезаписывая себя на диске в качестве защитного механизма, напоминая поведение известных вредоносных программ, нацеленных на Украину, таких как CaddyWiper и Industroyer 2.

Расширенные возможности AcidPour включают в себя таргетинг на устройства с помощью UBI и DM logic, расширяя охват встраиваемых систем, использующих флэш-память, сетевые устройства, сети хранения данных (SAN) и подключенные к сети хранилища (NAS). Стиль кодирования AcidPour и механизмы очистки совпадают с теми, которые используются в плагине dstr для VPNFilter stage 3, что подразумевает потенциальную непрерывность российских киберопераций против украинских объектов.

Подтверждение CERT-UA присутствия AcidPour и его отнесение к UAC-0165, подгруппе в APT Sandworm, подчеркивает сохраняющуюся угрозу критически важной инфраструктуре Украины со стороны операций, связанных с ГРУ. Постоянное использование этими субъектами угроз поддельных личностей хактивистов для объявления о вторжениях и утечках данных от украинских жертв подчеркивает постоянный характер киберугроз в регионе.

Появление AcidPour означает эскалацию киберподдержки на фоне конфликта в Украине, указывая на переход к более изощренным атакам с более широким воздействием на критически важную инфраструктуру и коммуникации. Переход от AcidRain к AcidPour отражает прогресс в технических возможностях и стратегическом нацеливании субъектов угроз, подчеркивая эволюционирующий характер кибервойны в геополитических конфликтах.

#ParsedReport #CompletenessLow
21-03-2024

Security Brief: TA450 Uses Embedded Links in PDF Attachments in Latest Campaign

https://www.proofpoint.com/us/blog/threat-insight/security-brief-ta450-uses-embedded-links-pdf-attachments-latest-campaign

Report completeness: Low

Actors/Campaigns:
Muddywater

Threats:
Atera_tool

Victims:
Israeli employees at large multinational organizations

Geo:
Israeli, Iran

ChatGPT TTPs:
do not use without manual check
T1566, T1566.001, T1193, T1204, T1566.002, T1105, T1071, T1583.001, T1584.002, T1110, have more...

IOCs:
Hash: 3
Url: 4

Algorithms:
zip, sha256

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что в последнее время наблюдается рост киберактивности связанного с Ираном злоумышленника TA450, нацеленного на израильских сотрудников крупных многонациональных организаций посредством фишинговой кампании с использованием PDF-вложений с вредоносными ссылками. Эта кампания знаменует собой изменение тактики TA450 и представляет повышенный риск для организаций, в которых работают израильские сотрудники.
-----

Исследователи Proofpoint заметили недавний всплеск киберактивности со стороны связанного с Ираном исполнителя угроз TA450, также известного как MuddyWater, Mango Sandstorm и Static Kitten. Эта группа нацелилась на израильских сотрудников в крупных многонациональных организациях, используя приманку социальной инженерии, связанную с оплатой труда. Атаки TA450 на израильские организации продолжаются по меньшей мере с октября 2023 года, что совпадает с войной Израиля и ХАМАСА. Недавняя фишинговая кампания началась 7 марта 2024 года и продолжалась в течение недели с 11 марта 2024 года.

В этой кампании TA450 использовала вложения в формате PDF в электронных письмах, содержащих вредоносные ссылки для целевых пользователей. Хотя этот метод не является новым для TA450, ранее группа перешла к прямому включению вредоносных ссылок в текст сообщения электронной почты без промежуточного этапа вложений. Интересно, что исследователи Proofpoint отметили, что одни и те же цели получили несколько фишинговых электронных писем с вложениями в формате PDF, каждое из которых содержало слегка отличающиеся встроенные ссылки, перенаправляющие на различные сайты обмена файлами, такие как Egnyte, Onehub, Sync и TeraBox. Электронные письма были получены от, вероятно, скомпрометированного.Учетная запись отправителя IL, соответствующая предыдущим действиям TA450.

Открыв вложение и перейдя по включенной ссылке, получатели загружали ZIP-архив, содержащий сжатый установщик MSI, который развертывал AteraAgent, инструмент удаленного администрирования, которым часто злоупотреблял TA450. Исследователи приписали эту кампанию TA450, основываясь на их устоявшейся тактике, методах, процедурах, выборе целей и анализе вредоносных программ. Киберкомандование Соединенных Штатов ранее связало TA450 с Министерством разведки и безопасности Ирана в январе 2022 года.

Эта кампания от TA450 выделяется по нескольким причинам. Во-первых, она представляет собой изменение тактики, поскольку, хотя использование вложений с вредоносными ссылками не является чем-то новым для субъекта угрозы, предоставление вредоносного URL-адреса во вложении PDF знаменует собой новый подход для TA450. Более того, это первый случай, когда TA450 был замечен с использованием учетной записи электронной почты отправителя, которая соответствует контенту приманки, например, использование учетной записи электронной почты, такой как зарплата @ compromisedorg co. il, в соответствии со строками темы, посвященными оплате. Кроме того, использование иврита заманивает и компрометирует.Использование учетных записей IL, предназначенных для израильских физических лиц в транснациональных компаниях, продолжает устоявшуюся схему TA450, создавая повышенный риск для организаций с таким профилем.

#ParsedReport #CompletenessMedium
21-03-2024

The Updated APT Playbook: Tales from the Kimsuky threat actor group

https://www.rapid7.com/blog/post/2024/03/20/the-updated-apt-playbook-tales-from-the-kimsuky-threat-actor-group

Report completeness: Medium

Actors/Campaigns:
Kimsuky (motivation: cyber_espionage)

Threats:
Lolbin_technique

Victims:
South korean government entities, Individuals associated with the korean peninsula's unification process, Global experts

Industry:
Government

Geo:
Thailand, Vietnam, Korea, Korean, Apac, Japan

TTPs:

ChatGPT TTPs:
do not use without manual check
T1595, T1204, T1059, T1140, T1027, T1071, T1560, T1105

IOCs:
File: 14
Registry: 1
Url: 2
Hash: 3

Soft:
Windows Registry

Algorithms:
md5, base64, sha256, sha1, zip

Functions:
SyInf

Languages:
powershell, javascript

Links:
https://github.com/rapid7/Rapid7-Labs/tree/main/IOCs

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея: Группа Kimsuky threat actor, происходящая из Северной Кореи и действующая как минимум с 2012 года, известна тем, что нацелена на южнокорейские правительственные учреждения, частных лиц, участвующих в усилиях по объединению, и мировых экспертов. Их эволюционирующая тактика, такая как использование файлов CHM для выполнения вредоносного кода, демонстрирует продолжающуюся гонку вооружений в области кибершпионажа. Текущий анализ выявил целенаправленные атаки в Южной Корее и с умеренной уверенностью приписал их группе Kimsuky.
-----

Считается, что группа Kimsuky threat actor, также известная как Black Banshee или Thallium, родом из Северной Кореи и действует по меньшей мере с 2012 года. Группа в первую очередь занимается сбором разведывательных данных и нацелена на южнокорейские правительственные структуры, частных лиц, связанных с процессом объединения Корейского полуострова, и мировых экспертов в областях, имеющих отношение к интересам режима. В последние годы деятельность Kimsuky расширилась, охватив такие страны Азиатско-Тихоокеанского региона, как Япония, Вьетнам и Таиланд.

Было замечено, что группа Кимсуки постоянно совершенствует свою тактику, методы и процедуры (TTP) для обхода современных мер безопасности, подчеркивая динамичный характер кибершпионажа и продолжающуюся гонку вооружений между субъектами угроз и защитниками. Методы группы эволюционировали на протяжении многих лет, начиная с использования в качестве оружия офисных документов, ISO-файлов и совсем недавно использования файлов быстрого доступа (LNK-файлов), замаскированных под доброкачественные документы или файлы. Эти ярлыки содержат команды PowerShell или полные двоичные файлы, скрытые от конечного пользователя, с целью обманом заставить пользователей выполнить их.

Недавние результаты показывают, что Kimsuky теперь использует файлы CHM (скомпилированный HTML), которые поставляются как часть файлов ISO, VHD, ZIP или RAR. Файлы CHM, изначально предназначенные для справочной документации, были использованы в вредоносных целях, поскольку при открытии они могут выполнять JavaScript. Эти файлы CHM используются как средство обхода первоначальных средств защиты и выполнения вредоносного кода в системе жертвы.

Имена файлов, связанных с файлами CHM, написаны на корейском языке, что указывает на то, что операционная система Windows, используемая для создания этих файлов, была на корейском языке. Содержимое файлов CHM включает фрагменты кода HTML и ActiveX, которые выполняют произвольные команды на компьютерах с Windows в вредоносных целях. Эти команды запутываются с использованием таких методов, как кодировка Base64, и предназначены для создания постоянства в системе жертвы.

Анализ файлов CHM также выявил уникальные строки в коде stealer и привел к обнаружению большего количества файлов, датируемых как 2023, так и 2024 годами, что указывает на продолжающуюся вредоносную активность. Отслеживание распространенности этих атак продолжается, подтверждены целенаправленные атаки на организации, базирующиеся в Южной Корее. Благодаря выявлению совпадений в коде и тактике, кампания была с умеренной уверенностью отнесена к группе Кимсуки.

#ParsedReport #CompletenessLow
21-03-2024

Rescoms rides waves of AceCryptor spam

https://www.welivesecurity.com/en/eset-research/rescoms-rides-waves-acecryptor-spam

Report completeness: Low

Threats:
Remcos_rat
Acecryptor
Danabot
Redline_stealer
Vidar_stealer
Smokeloader
Typosquatting_technique
Kryptik
Spear-phishing_technique

Industry:
Financial

Geo:
Bulgaria, Ukraine, Spain, Peru, Serbia, Mexico, Egypt, Poland, Slovakia, Polish

TTPs:
Tactics: 5
Technics: 7

IOCs:
File: 8

Links:
https://github.com/eset/malware-ioc/tree/master/ace\_cryptor

#ParsedReport #ExtractedSchema

Classified images:
chart: 3, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что во второй половине 2023 года наблюдалось значительное увеличение числа кибератак с использованием комбинации AceCryptor и Rescoms, особенно в таких европейских странах, как Польша, Словакия, Болгария и Сербия. Это сотрудничество привело к резкому росту вредоносной активности, существенной эскалации распространения вредоносных программ, содержащих AceCryptor, и сосредоточению внимания на целевых спам-кампаниях, направленных на предприятия с целью сбора учетных данных для дальнейших атак. Участие служб спасения стало заметным, число выявленных атак возросло, что указывает на изменение ландшафта киберугроз за этот период.
-----

Значительное увеличение числа атак AceCryptor во второй половине 2023 года, более чем в два раза по сравнению с первым полугодием, обусловлено привлечением служб спасения (Remcos).

AceCryptor в сочетании с Rescoms наблюдался в многочисленных спам-кампаниях, нацеленных на европейские страны, такие как Польша, Словакия, Болгария и Сербия, при этом скомпрометированные учетные записи использовались для сбора учетных данных для дальнейших атак.

Во втором полугодии 2023 года ESET защитила более 42 000 пользователей от вредоносных программ, содержащих AceCryptor, при резком росте числа обнаружений, особенно в европейских странах, пострадавших от кампаний Rescoms.

Снижение количества уникальных образцов вредоносного по объясняется спам-кампаниями Rescoms, в которых повторно используются одни и те же файлы для более широкой базы пользователей, при этом некоторые семейства вредоносных программ снижают свою зависимость от AceCryptor.

AceCryptor продолжал распространять образцы из семейств вредоносных программ, таких как SmokeLoader, STOP ransomware и Vidar stealer.

Географическое влияние вредоносного ПО, содержащего AceCryptor, сместилось, чтобы больше сосредоточиться на европейских странах, таких как Польша, Украина, Испания и Сербия, особенно с полезными программами Rescoms и SmokeLoader.

Распространенность Rescoms значительно возросла во втором полугодии 2023 года, став самым известным семейством вредоносных программ, разработанных AceCryptor: было обнаружено более 32 000 инцидентов, в основном в Польше.

Известные спам-кампании, нацеленные на предприятия в Польше во втором полугодии 2023 года, с использованием сложного содержимого электронной почты и вложений, содержащих исполняемые файлы AceCryptor, запускающие Rescoms, с целью получения учетных данных электронной почты и браузера для дальнейших атак.

Аналогичные кампании, выявленные в Словакии, Болгарии и Сербии, ориентированные на местные компании, предполагают участие одного и того же субъекта угрозы с вариациями языка в зависимости от страны-мишени.

#ParsedReport #CompletenessLow
21-03-2024

New method! The latest backdoor of the APT28 organization has built-in a large number of controlled mailboxes (which can be logged in successfully) for data theft.

https://www.ctfiot.com/168931.html

Report completeness: Low

Actors/Campaigns:
Fancy_bear (motivation: information_theft)

Threats:
Oceanmap

Geo:
Ukrainian, American

ChatGPT TTPs:
do not use without manual check
T1105, T1071, T1027, T1114, T1132, T1566

IOCs:
Hash: 10
File: 1
IP: 5
Email: 13

Soft:
foxmail

Algorithms:
base64, rc4, des

Languages:
c_language

#ParsedReport #GeneratedSchema
Generated with GPT-4