CTT Report Hub
3.39K subscribers
9.57K photos
6 videos
67 files
13.2K links
Threat Intelligence Report Hub
Download Telegram
#ParsedReport #CompletenessHigh
22-04-2024

MuddyWater campaign abusing Atera Agents

https://harfanglab.io/en/insidethelab/muddywater-rmm-campaign

Report completeness: High

Actors/Campaigns:
Muddywater

Threats:
Atera_tool
Spear-phishing_technique
Screenconnect_tool
Syncro_tool
Simplehelp_tool
Password_spray_technique
Darkbeatc2
Supply_chain_technique

Victims:
Airlines, It companies, Telecommunication, Pharmaceutical, Automotive manufacturing, Logistics, Travel and tourism, Employment/immigration agency, Small businesses, Ministry of foreign affairs of paraguay, have more...

Industry:
Education, Logistic, Transport, Healthcare, Aerospace, Telco

Geo:
Paraguay, Algeria, Egypt, Israel, Turkey, Israeli, Iranian, India, Italy, London

ChatGPT TTPs:
do not use without manual check
T1078, T1566, T1190, T1114, T1552, T1071, T1021, T1547, T1595

IOCs:
Hash: 13
File: 8
Url: 1
Domain: 3

Soft:
Outlook, Gmail

Algorithms:
sha256, zip

Languages:
powershell

YARA: Found

Links:
https://github.com/HarfangLab/iocs/tree/main/TRR240402
CTT Report Hub
#ParsedReport #CompletenessHigh 22-04-2024 MuddyWater campaign abusing Atera Agents https://harfanglab.io/en/insidethelab/muddywater-rmm-campaign Report completeness: High Actors/Campaigns: Muddywater Threats: Atera_tool Spear-phishing_technique Screenconnect_tool…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте обсуждается деятельность иранской организации MuddyWater, спонсируемой государством, с акцентом на их недавнюю кампанию с использованием законного инструмента удаленного мониторинга Atera Agent для проведения фишинговых атак в различных секторах и странах. MuddyWater использует бесплатные пробные версии Atera Agent, использует скомпрометированные учетные записи электронной почты для регистрации и со временем повышает качество своих электронных писем, предназначенных для фишинга. Также подчеркивается широкий охват действий злоумышленника, сотрудничество с другими участниками угроз и потенциальный прогресс в развертывании имплантов PowerShell, что подчеркивает необходимость бдительности и сотрудничества в усилиях по обеспечению кибербезопасности.
-----

Иранский государственный агент по борьбе с угрозами MuddyWater активно использует законный инструмент удаленного мониторинга и управления Atera Agent как минимум с 2021 года для своих киберкампаний.

С октября 2023 года MuddyWater расширила свою деятельность с участием агента Atera, ориентируясь на такие отрасли, как авиакомпании, IT-компании, телекоммуникации, фармацевтика, автомобилестроение, логистика и многое другое во многих странах.

Злоумышленник использует такие тактики, как использование бесплатных пробных предложений, регистрация агентов Atera с помощью скомпрометированных учетных записей электронной почты, полученных различными способами, и использование возможностей инструмента для удаленного управления непосредственно из веб-интерфейса.

Тактика подводной охоты MuddyWater претерпела изменения, и в последних электронных письмах появились более изощренные и убедительные приманки по сравнению с предыдущими кампаниями.

Скомпрометированные учетные записи деловой электронной почты, полученные MuddyWater, позволяют им активизировать усилия по борьбе с фишингом, обеспечить устойчивость внутри организаций и потенциально сотрудничать с другими иранскими злоумышленниками для проведения атак на цепочки поставок.

Существуют опасения, что после успешного развертывания Atera Agent MuddyWater может перейти к развертыванию импланта PowerShell в своих атаках.

Поощряется сотрудничество между затронутыми организациями и исследователями для улучшения обнаружения, реагирования и отслеживания новых вредоносных действий, связанных с кампаниями MuddyWater.
#ParsedReport #CompletenessMedium
21-04-2024

UAC-0133 (Sandworm) plans for cyber sabotage on almost 20 objects of critical infrastructure of Ukraine

https://cert.gov.ua/article/6278706

Report completeness: Medium

Actors/Campaigns:
Sandworm

Threats:
Kapeka
Loadgrip
Supply_chain_technique
Weevely
Regeorg
Gossipflow_tool
Chisel_tool
Libprocesshider_rootkit
Juicypotato_tool
Rottenpotatong_tool
Dumplsass_tool
Chrysaor

Victims:
Energy companies, Water supply facilities, Heat supply enterprises

Industry:
Energy, Government, Ics

Geo:
Ukraine

ChatGPT TTPs:
do not use without manual check
T1566, T1190, T1583, T1027, T1555, T1587, T1547, T1584, T1059, T1071, have more...

IOCs:
File: 34
Hash: 138
Path: 8
Command: 2
Registry: 2
IP: 17

Soft:
Windows registry

Algorithms:
aes, aes-128-cbc

Languages:
php
CTT Report Hub
#ParsedReport #CompletenessMedium 21-04-2024 UAC-0133 (Sandworm) plans for cyber sabotage on almost 20 objects of critical infrastructure of Ukraine https://cert.gov.ua/article/6278706 Report completeness: Medium Actors/Campaigns: Sandworm Threats: Kapeka…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - подробный обзор вредоносного киберплана, раскрытого Правительственной группой реагирования на компьютерные чрезвычайные ситуации в Украине (CERT-UA), организованного группой Sandworm в марте 2024 года. Злоумышленники стремились нарушить работу предприятий энергетики, водо- и теплоснабжения в Украине с помощью различных вредоносных инструментов и тактик, подчеркивая необходимость усиления мер кибербезопасности и упреждающего анализа угроз для защиты от таких сложных угроз, нацеленных на критически важную инфраструктуру.
-----

В марте 2024 года Правительственная группа реагирования на компьютерные чрезвычайные ситуации в Украине (CERT-UA) раскрыла вредоносный план группы Sandworm. Целью было нарушить работу примерно двадцати предприятий энерго-, водо- и теплоснабжения в десяти регионах Украины. Злоумышленники использовали различные вредоносные программы, в том числе бэкдор QUEUESEED и новые дополнения, такие как LOADGRIP и BIASBOAT, Linux-вариант QUEUESEED.

В ходе расследования инцидента CERT-UA обнаружил, что целью атак был компьютер под управлением операционной системы Linux, который управлял технологическими процессами с помощью специализированного программного обеспечения. BIASBOAT был замаскирован под файл, зашифрованный для определенного сервера, что указывает на сложный подход. Был подтвержден факт компрометации по меньшей мере трех цепочек поставок, причем основной несанкционированный доступ был связан с уязвимостями программного обеспечения или доступом сотрудников поставщиков к организациям ICS.

Злоумышленники использовали КОМПЬЮТЕРЫ с программно-определяемыми радиоприемниками (SDRS) в корпоративных сетях для горизонтального перемещения и кибератак на корпоративные сети, внедряя такие инструменты, как веб-оболочки PHP и туннели. CERT-UA незамедлительно приняла меры по информированию пострадавших предприятий, удалению вредоносного ПО, анализу хронологии инцидентов и усилению мер кибербезопасности.

Вредоносные программы QUEUESEED и GOSSIPFLOW ранее использовались в разрушительных кибератаках на объекты водоснабжения в Украине. UAC-0133, входящий в группу Sandworm, был идентифицирован как подкластер UAC-0002, что подчеркивает опыт группы в атаках на критически важную инфраструктуру.

Успеху плана киберсаботажа способствовали слабые методы обеспечения безопасности, такие как неадекватная сегментация и небрежное отношение поставщиков к безопасности программного обеспечения. Злоумышленники намеревались использовать несанкционированный доступ к ICS для усиления воздействия потенциальных ракетных ударов по украинской инфраструктуре.

QUEUESEED, написанный на C++, представляет собой универсальный бэкдор, способный выполнять команды, обновлять конфигурации и самоудаляться. Он взаимодействует с сервером управления по протоколу HTTPS, используя зашифрованные данные в формате JSON. BIASBOAT, Linux-версия QUEUESEED, запускается с помощью инжектора LOADGRIP и взаимодействует с центральным сервером. Другой используемый инструмент, GOSSIPFLOW, устанавливает туннели и действует как прокси-сервер SOCKS5.

Злоумышленники использовали различные файлы и скрипты для сохранения данных, такие как запланированные задачи, записи реестра и общие библиотеки. Они атаковали широкий спектр систем и каталогов в средах Windows и Linux, демонстрируя сложные и стойкие возможности для борьбы с киберугрозами.

В ответ на эту угрозу CERT-UA рекомендовала усилить меры безопасности, включая сегментацию сети, контроль доступа, оценку безопасности программного обеспечения и готовность к реагированию на инциденты, чтобы смягчить будущие киберугрозы, нацеленные на критически важную инфраструктуру. Проведенный анализ подчеркивает важность упреждающей разведки угроз и надежных протоколов кибербезопасности для защиты от сложных угроз, таких как Sandworm.
#ParsedReport #CompletenessMedium
21-04-2024

Search. Finding the unknown unknowns, part 1

https://blog.strikeready.com/blog/finding-the-unknown-unknowns-part-1

Report completeness: Medium

Actors/Campaigns:
Fancy_bear

Threats:
Atera_tool
Polymorphism_technique

Geo:
Israel, Australia, Israeli, Italy, Ukrainian, Ukraine, Turkish

ChatGPT TTPs:
do not use without manual check
T1566, T1204, T1566.001, T1563.002, T1140, T1059, T1071, T1027, T1036

IOCs:
Email: 1
Url: 11
Hash: 22

Algorithms:
zip

Platforms:
x86

Links:
https://github.com/StrikeReady-Inc/research/tree/main/2024-04-16%20Unknown%20unknowns
CTT Report Hub
#ParsedReport #CompletenessMedium 21-04-2024 Search. Finding the unknown unknowns, part 1 https://blog.strikeready.com/blog/finding-the-unknown-unknowns-part-1 Report completeness: Medium Actors/Campaigns: Fancy_bear Threats: Atera_tool Polymorphism_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в использовании pivots для выявления целенаправленных угроз в корпоративных сетях без использования дорогостоящих технологий, подчеркивая важность программного обнаружения угроз, ежедневного анализа каждого предупреждения, содержащего защищенные паролем объекты, и ценность человеческого анализа для выявления аномалий. В нем также обсуждается использование скрытого отслеживания изображений в электронных письмах, необходимость ручной настройки и обогащения индикаторов для эффективного анализа угроз, а также поощряется сотрудничество и исследования в сообществе кибербезопасности.
-----

В тексте выделяются три основных метода, которые используются для выявления целенаправленных угроз в корпоративных сетях без использования дорогостоящих технологий. Автор подчеркивает важность возможности программного обнаружения угроз и советует предприятиям ежедневно анализировать каждое предупреждение, содержащее защищенный паролем объект. Они отмечают, что законные средства мониторинга доставки электронной почты ограничены, и предполагают, что к предупреждениям о контенте, защищенном паролем, таком как документы office или zip-файлы, следует относиться серьезно. В качестве примера приводится защищенный паролем zip-файл, адресованный Израилю, с паролем "123456", что указывает на преднамеренное использование злоумышленником. В тексте подчеркивается ценность человеческого анализа, особенно при выявлении аномалий, таких как использование ИТ-пользователем незнакомых инструментов. Также упоминается важность быстрой оценки легитимности приманок, и предлагается программно извлекать URL-адреса и выполнять поиск по соответствующим показателям.

Кроме того, в тексте обсуждается использование скрытого отслеживания изображений в электронных письмах для отслеживания взаимодействия с пользователем и упоминается случай, когда участники шпионажа использовали изображения канареек в документах Word для отслеживания. В нем подчеркивается необходимость ручной настройки и обогащения индикаторов для эффективного анализа угроз. Автор рекомендует посетить их страницу на GitHub, чтобы ознакомиться со списком показателей, и предлагает поставщикам предоставлять заявления о предполагаемой авторской принадлежности для сотрудничества и исследовательских целей.

Авторы выражают благодарность рецензентам, другим поставщикам и отдельным лицам, которые помогли связаться с заинтересованными сторонами в Израиле. Они приглашают внести исправления и направить запросы о сотрудничестве по электронной почте.
#ParsedReport #CompletenessHigh
21-04-2024

ScrubCrypt VenomRAT RemcosRAT. Too long to watch

https://mp.weixin.qq.com/s/xAwoxhgEXV_HwDztISGK0A

Report completeness: High

Actors/Campaigns:
8220_gang

Threats:
Scrubcrypt
Venomrat
Remcos_rat
Batcloak_tool
Xworm_rat
Nanocore_rat
Amsi_bypass_technique
Quasar_rat
Cloudeye
Steganography_technique
Process_hollowing_technique

Industry:
Financial

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1566.001, T1027, T1140, T1059, T1562.001, T1547.001, T1053.005, T1574.012

IOCs:
File: 10
Url: 4
Registry: 1
Domain: 1

Soft:
OneNote, Foxmail, telegram

Wallets:
exodus_wallet

Algorithms:
aes-cbc, zip, rc4, gzip, base64

Win API:
decompress, EtwEventWrite

Languages:
powershell
CTT Report Hub
#ParsedReport #CompletenessHigh 21-04-2024 ScrubCrypt VenomRAT RemcosRAT. Too long to watch https://mp.weixin.qq.com/s/xAwoxhgEXV_HwDztISGK0A Report completeness: High Actors/Campaigns: 8220_gang Threats: Scrubcrypt Venomrat Remcos_rat Batcloak_tool Xworm_rat…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в подробном анализе сложной кибератаки, связанной с распространением и выполнением VenomRAT, троянской программы удаленного доступа, с использованием передовых методов обфускации. Цепочка атак включает фишинговые электронные письма, запутанные пакетные файлы и плагины, поставляемые через сервер управления, демонстрируя возможности, которые злоумышленники используют для компрометации систем и кражи конфиденциальных данных.
-----

Распространение атаки VenomRAT включает в себя фишинговые электронные письма с вредоносными SVG-файлами, которые приводят к загрузке зашифрованных ZIP-файлов, содержащих VenomRAT, с помощью ScrubCrypt.

VenomRAT устанавливает соединение с сервером C2, устанавливает плагины, такие как Remcos, XWorm, NanoCore и стелс-программы для крипто-кошельков, и собирает данные о жертвах различных вредоносных действий.

В ходе атаки используются запутанные скрипты, технологии PowerShell и сложные плагины для кражи данных, контроля системы и уклонения от обнаружения.

NanoCore изменяет ключи реестра и загружает закодированные данные, XWorm распространяется через съемные диски, а Remcos обеспечивает полный контроль над зараженными системами с помощью кейлоггинга и скриншотов.

Плагины с сервера VenomRAT C2 нацелены на конкретные данные, такие как крипто-кошельки, имена пользователей и данные о ПК, постоянно отправляя собранные данные в вредоносных целях.
#ParsedReport #CompletenessMedium
22-04-2024

TargetCompany MS-SQL (Mallox, BlueSky )

https://asec.ahnlab.com/ko/64345

Report completeness: Medium

Actors/Campaigns:
Tor2mine

Threats:
Targetcompany
Bluesky_ransomware
Remcos_rat
Cobalt_strike
Anydesk_tool
Trigona
Shadow_copies_delete_technique
Trojan/win.generic.c5352187
Ransom/mdp.decoy.m1171
Ransom/mdp.command.m1751
Ransom/mdp.event.m1946
Teamviewer_tool

ChatGPT TTPs:
do not use without manual check
T1110, T1133, T1021, T1565, T1071, T1105, T1486, T1070, T1059

IOCs:
File: 34
Url: 4
Command: 2
Registry: 5
Hash: 5
IP: 1

Soft:
MS-SQL, Internet Explorer, Windows Defender, ASP.NET, mysql, SQL Server Reporting Services, SQLBrowser, MSSQL, SQLAgent, RabbitMQ, have more...

Algorithms:
aes-128-ctr, sha256, md5, aes-256

Win Services:
(MSSQLSERVER)

Languages:
powershell

Platforms:
intel

Links:
https://github.com/kevoreilly/CAPEv2
CTT Report Hub
#ParsedReport #CompletenessMedium 22-04-2024 TargetCompany MS-SQL (Mallox, BlueSky ) https://asec.ahnlab.com/ko/64345 Report completeness: Medium Actors/Campaigns: Tor2mine Threats: Targetcompany Bluesky_ransomware Remcos_rat Cobalt_strike Anydesk_tool…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея:.
Группа компаний-вымогателей TargetCompany использует недостаточно защищенные серверы MS-SQL для развертывания программ-вымогателей Mallox и других вредоносных программ, таких как Remcos RAT и Cobalt Strike, с целью компрометации систем, утечки данных и проведения атак с целью получения финансовой выгоды. Они используют уязвимости с помощью грубой силы и атак по словарю, при этом на протяжении нескольких лет они постоянно используют уязвимости MS-SQL server. Администраторам баз данных рекомендуется усилить меры безопасности, регулярно обновлять пароли и улучшать программное обеспечение для защиты от кибератак.
-----

Группа вымогателей TargetCompany нацелилась на недостаточно защищенные серверы MS-SQL для развертывания программы-вымогателя Mallox.

Злоумышленники используют уязвимости в плохо управляемых серверах MS-SQL, используя грубую силу и словарные атаки для получения доступа.

Remcos RAT используется для удаленного управления, позволяя злоумышленникам собирать конфиденциальную информацию.

Установка программы-вымогателя Mallox выполняется в последовательности, включающей установку вредоносного ПО для удаленного доступа, вредоносного ПО для управления экраном и шифрование системы.

Злоумышленники также используют Cobalt Strike для расширенного контроля и внедряют майнеры монет Tor2Mine и программу-вымогателя BlueSky.

Группа вымогателей TargetCompany использует уязвимости MS-SQL server для постоянных атак с использованием нескольких вариантов вредоносного ПО.

Рекомендуемые меры для администраторов включают надежные пароли, обновления программного обеспечения безопасности и контроль внешнего доступа.
#ParsedReport #CompletenessLow
22-04-2024

Sharp-Project: New Stealer Family on the Market

https://www.gdatasoftware.com/blog/2024/04/37894-sharp-info-stealer

Report completeness: Low

Threats:
Sharp_stealer
Sharpil
Umbral
Echelon_stealer

Victims:
Gamers, Vime world minecraft server

Industry:
Financial, Entertainment

Geo:
Russian

ChatGPT TTPs:
do not use without manual check
T1595, T1552, T1547, T1071, T1041

IOCs:
File: 2
Hash: 4

Soft:
Telegram, Google Chrome, Slimjet, Chrome, Opera, Outlook, Discord, Roblox, Viber, Jabber, have more...

Algorithms:
bcrypt, zip
CTT Report Hub
#ParsedReport #CompletenessLow 22-04-2024 Sharp-Project: New Stealer Family on the Market https://www.gdatasoftware.com/blog/2024/04/37894-sharp-info-stealer Report completeness: Low Threats: Sharp_stealer Sharpil Umbral Echelon_stealer Victims: Gamers…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что инфокрады Sharpil RAT, в частности вредоносная программа, известная как "Sharp Stealer", нацелена на геймеров с целью кражи конфиденциальной информации, действуя через Telegram-бота, несмотря на то, что она классифицируется как троян удаленного доступа. Вредоносная программа фокусируется на краже данных, а не на контроле системы, использует методы обфускации и нацелена на широкий спектр приложений, которые обычно используются игроками для получения финансовой выгоды на подпольных рынках. Однако он не приобрел значительной популярности в киберпреступном сообществе, и ему не хватает продвинутых методов уклонения, что указывает на то, что он, возможно, все еще находится на ранней стадии разработки.
-----

Инфокрады Sharpil RAT представляют собой нового игрока на рынке киберпреступлений, который нацелен на игроков с целью кражи конфиденциальной информации. Вредоносная программа, известная как "Sharp Stealer", написана на C# и работает путем установления соединения с ботом Telegram для получения команд от участников угрозы. Она может собирать системную информацию, данные браузера, геолокацию и данные пользователя с игровых серверов, таких как Vime World. Несмотря на то, что он помечен как троян для удаленного доступа, его функциональные возможности больше соответствуют функциям похитителя данных, специально разработанного для кражи данных с дистанционным управлением, а не для управления системой.

Злоумышленник, стоящий за Sharp Stealer, работает через Telegram-канал под названием "SHARP PROJECT", предлагая вредоносное ПО в аренду за 10 долларов или для постоянной покупки за 30 долларов. Вредоносное ПО отправляет украденные данные непосредственно боту Telegram, минуя хостинг. Хотя изначально были сомнения в достоверности проекта, дальнейшее расследование подтвердило, что Sharpil RAT и Sharp Stealer используют схожие стили кодирования и нацелены на схожие наборы данных, используя Telegram-бота для сбора данных.

Вредоносная программа использует различные методы обфускации, включая использование Ionic Framework, криптографические функции с помощью библиотеки BCrypt и компоненты других вредоносных программ, таких как Umbral stealer и Echelon infostealer. Несмотря на попытки обфускации, аналитикам удалось расшифровать функциональные возможности вредоносного ПО и определить конкретные данные, на которые оно нацелено, включая широкий спектр приложений, обычно используемых геймерами.

Одним из примечательных аспектов Sharp Stealer является его ориентация на игровые платформы и мессенджеры, которые являются прибыльными источниками внутриигровых предметов, платежной информации и скомпрометированных аккаунтов на подпольных рынках. Однако вредоносная программа еще не приобрела значительной популярности в киберпреступном сообществе из-за ограниченного присутствия на форумах даркнета и небольшой базы подписчиков на соответствующий Telegram-канал. Кроме того, вредоносная программа лишена функций, обычно встречающихся у известных инфокрадов, таких как методы обхода антивирусного обнаружения и обнаружения в изолированной среде, что указывает на то, что она все еще может находиться на ранних стадиях разработки.
#ParsedReport #CompletenessLow
23-04-2024

APT-C-28 ScarCruft LNK RokRat.

https://www.ctfiot.com/175379.html

Report completeness: Low

Actors/Campaigns:
Scarcruft

Threats:
Rokrat

Victims:
Companies in the energy sector

Industry:
Transport, Energy, Aerospace, Military, Healthcare

Geo:
Korea, Korean, Asia, Asian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1566.001, T1204.002, T1059.001, T1027, T1055, T1105

IOCs:
File: 3
Hash: 2

Algorithms:
zip, sha1, xor, md5, sha256

Languages:
powershell
CTT Report Hub
#ParsedReport #CompletenessLow 23-04-2024 APT-C-28 ScarCruft LNK RokRat. https://www.ctfiot.com/175379.html Report completeness: Low Actors/Campaigns: Scarcruft Threats: Rokrat Victims: Companies in the energy sector Industry: Transport, Energy, Aerospace…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обсуждении киберугроз, связанных с организацией ScarCruft, с особым упором на распространение и функциональность вредоносного ПО RokRat. В тексте освещаются методы доставки RokRat, кампании по атакам, нацеленные на энергетическую отрасль, рекомендации по предотвращению и устранению неполадок, природа и происхождение APT-C-28 (ScarCruft), а также описание конкретной сетевой атаки, связанной с развертыванием вредоносного ПО RokRat с помощью обманчивых файлов LNK. Дальнейший анализ включает в себя подробную информацию о механизмах активации вредоносного ПО, эволюции методов атаки и стратегиях, используемых злоумышленниками.
-----

В тексте обсуждаются действия, связанные с киберугрозами, связанные с организацией ScarCruft, с особым упором на доставку и функциональность вредоносного ПО RokRat. В начале статьи упоминается о предыдущих статьях, в которых подробно описывается, как злоумышленники распространяют образцы вредоносного ПО RokRat с помощью вредоносных документов, и приводится анализ кампаний по атакам RokRat, нацеленных на энергетическую отрасль. Обсуждаются функции RokRat, подчеркивается их последовательность и принадлежность к организации ScarCruft на основе сходства в моделях атак.

Злоумышленники отправляют сжатые файлы по электронной почте, предлагая пользователям щелкнуть по вредоносным файлам LNK, чтобы опубликовать образцы RokRat. В тексте содержатся рекомендации по предотвращению и устранению неполадок, включая обучение сотрудников, ограничение выполнения файлов, использование антивирусного программного обеспечения, проведение проверок безопасности, применение исправлений безопасности и внедрение многофакторной аутентификации для усиления мер безопасности.

Организация APT-C-28 (ScarCruft), также известная как APT37 (Жнец) и Group123, идентифицируется как группа APT, происходящая из Северо-Восточной Азии. Известный своими кибератаками, направленными в первую очередь против Южной Кореи и других азиатских стран, APT-C-28 с 2012 года нацелен на такие отрасли, как химия, электроника, обрабатывающая промышленность, аэрокосмическая промышленность, автомобилестроение и здравоохранение, с целью кражи конфиденциальных данных, связанных с военными, политическими и экономическими вопросами. RokRat, облачный инструмент удаленного доступа, часто используется APT-C-28 в своей работе с 2016 года, помогая в краже разведывательных данных.

Описана конкретная сетевая атака APT-C-28, в ходе которой вредоносные файлы LNK, замаскированные под "Дебаты экспертов по правам человека в Северной Корее", использовались для доставки вредоносного ПО RokRat. В тексте объясняется процесс распространения вредоносного ПО путем оценки начальной вредоносной нагрузки, включая извлечение файла BAT и сценария PowerShell из файла LNK, загрузку зашифрованной полезной нагрузки из DropBox и расшифровку для получения вредоносного ПО RokRat. Выделяются сложные механизмы активации вредоносного ПО, демонстрирующие сложность атаки.

Злоумышленники использовали тактику приманки, маскируя содержимое файла LNK, относящееся к важной теме, чтобы обманом заставить пользователей выполнить его. Вредоносный код PowerShell, встроенный в файл LNK, скрытно выполняет различные потенциально вредоносные операции, включая изменение атрибутов защиты, расшифровку данных с помощью операции XOR, создание нового потока для выполнения и обработку исключений во время процесса.

Дальнейший анализ посвящен расшифровке PE-файла и выявлению троянца RokRat, созданного в 2023 году. В тексте это открытие сравнивается с предыдущими анализами версий RokRat, в которых основное внимание уделяется эволюции методов и стратегий атаки. Хотя в образце 2023 года сохранены основные функциональные возможности версии 2022 года, в нем представлены изменения в методах работы, такие как корректировка трассировок в реестре для повышения скрытности и эффективности при эффективном обходе мер безопасности.