CTT Report Hub
3.39K subscribers
9.57K photos
6 videos
67 files
13.2K links
Threat Intelligence Report Hub
Download Telegram
CTT Report Hub
#ParsedReport #CompletenessMedium 21-04-2024 Search. Finding the unknown unknowns, part 1 https://blog.strikeready.com/blog/finding-the-unknown-unknowns-part-1 Report completeness: Medium Actors/Campaigns: Fancy_bear Threats: Atera_tool Polymorphism_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в использовании pivots для выявления целенаправленных угроз в корпоративных сетях без использования дорогостоящих технологий, подчеркивая важность программного обнаружения угроз, ежедневного анализа каждого предупреждения, содержащего защищенные паролем объекты, и ценность человеческого анализа для выявления аномалий. В нем также обсуждается использование скрытого отслеживания изображений в электронных письмах, необходимость ручной настройки и обогащения индикаторов для эффективного анализа угроз, а также поощряется сотрудничество и исследования в сообществе кибербезопасности.
-----

В тексте выделяются три основных метода, которые используются для выявления целенаправленных угроз в корпоративных сетях без использования дорогостоящих технологий. Автор подчеркивает важность возможности программного обнаружения угроз и советует предприятиям ежедневно анализировать каждое предупреждение, содержащее защищенный паролем объект. Они отмечают, что законные средства мониторинга доставки электронной почты ограничены, и предполагают, что к предупреждениям о контенте, защищенном паролем, таком как документы office или zip-файлы, следует относиться серьезно. В качестве примера приводится защищенный паролем zip-файл, адресованный Израилю, с паролем "123456", что указывает на преднамеренное использование злоумышленником. В тексте подчеркивается ценность человеческого анализа, особенно при выявлении аномалий, таких как использование ИТ-пользователем незнакомых инструментов. Также упоминается важность быстрой оценки легитимности приманок, и предлагается программно извлекать URL-адреса и выполнять поиск по соответствующим показателям.

Кроме того, в тексте обсуждается использование скрытого отслеживания изображений в электронных письмах для отслеживания взаимодействия с пользователем и упоминается случай, когда участники шпионажа использовали изображения канареек в документах Word для отслеживания. В нем подчеркивается необходимость ручной настройки и обогащения индикаторов для эффективного анализа угроз. Автор рекомендует посетить их страницу на GitHub, чтобы ознакомиться со списком показателей, и предлагает поставщикам предоставлять заявления о предполагаемой авторской принадлежности для сотрудничества и исследовательских целей.

Авторы выражают благодарность рецензентам, другим поставщикам и отдельным лицам, которые помогли связаться с заинтересованными сторонами в Израиле. Они приглашают внести исправления и направить запросы о сотрудничестве по электронной почте.
#ParsedReport #CompletenessHigh
21-04-2024

ScrubCrypt VenomRAT RemcosRAT. Too long to watch

https://mp.weixin.qq.com/s/xAwoxhgEXV_HwDztISGK0A

Report completeness: High

Actors/Campaigns:
8220_gang

Threats:
Scrubcrypt
Venomrat
Remcos_rat
Batcloak_tool
Xworm_rat
Nanocore_rat
Amsi_bypass_technique
Quasar_rat
Cloudeye
Steganography_technique
Process_hollowing_technique

Industry:
Financial

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1566.001, T1027, T1140, T1059, T1562.001, T1547.001, T1053.005, T1574.012

IOCs:
File: 10
Url: 4
Registry: 1
Domain: 1

Soft:
OneNote, Foxmail, telegram

Wallets:
exodus_wallet

Algorithms:
aes-cbc, zip, rc4, gzip, base64

Win API:
decompress, EtwEventWrite

Languages:
powershell
CTT Report Hub
#ParsedReport #CompletenessHigh 21-04-2024 ScrubCrypt VenomRAT RemcosRAT. Too long to watch https://mp.weixin.qq.com/s/xAwoxhgEXV_HwDztISGK0A Report completeness: High Actors/Campaigns: 8220_gang Threats: Scrubcrypt Venomrat Remcos_rat Batcloak_tool Xworm_rat…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в подробном анализе сложной кибератаки, связанной с распространением и выполнением VenomRAT, троянской программы удаленного доступа, с использованием передовых методов обфускации. Цепочка атак включает фишинговые электронные письма, запутанные пакетные файлы и плагины, поставляемые через сервер управления, демонстрируя возможности, которые злоумышленники используют для компрометации систем и кражи конфиденциальных данных.
-----

Распространение атаки VenomRAT включает в себя фишинговые электронные письма с вредоносными SVG-файлами, которые приводят к загрузке зашифрованных ZIP-файлов, содержащих VenomRAT, с помощью ScrubCrypt.

VenomRAT устанавливает соединение с сервером C2, устанавливает плагины, такие как Remcos, XWorm, NanoCore и стелс-программы для крипто-кошельков, и собирает данные о жертвах различных вредоносных действий.

В ходе атаки используются запутанные скрипты, технологии PowerShell и сложные плагины для кражи данных, контроля системы и уклонения от обнаружения.

NanoCore изменяет ключи реестра и загружает закодированные данные, XWorm распространяется через съемные диски, а Remcos обеспечивает полный контроль над зараженными системами с помощью кейлоггинга и скриншотов.

Плагины с сервера VenomRAT C2 нацелены на конкретные данные, такие как крипто-кошельки, имена пользователей и данные о ПК, постоянно отправляя собранные данные в вредоносных целях.
#ParsedReport #CompletenessMedium
22-04-2024

TargetCompany MS-SQL (Mallox, BlueSky )

https://asec.ahnlab.com/ko/64345

Report completeness: Medium

Actors/Campaigns:
Tor2mine

Threats:
Targetcompany
Bluesky_ransomware
Remcos_rat
Cobalt_strike
Anydesk_tool
Trigona
Shadow_copies_delete_technique
Trojan/win.generic.c5352187
Ransom/mdp.decoy.m1171
Ransom/mdp.command.m1751
Ransom/mdp.event.m1946
Teamviewer_tool

ChatGPT TTPs:
do not use without manual check
T1110, T1133, T1021, T1565, T1071, T1105, T1486, T1070, T1059

IOCs:
File: 34
Url: 4
Command: 2
Registry: 5
Hash: 5
IP: 1

Soft:
MS-SQL, Internet Explorer, Windows Defender, ASP.NET, mysql, SQL Server Reporting Services, SQLBrowser, MSSQL, SQLAgent, RabbitMQ, have more...

Algorithms:
aes-128-ctr, sha256, md5, aes-256

Win Services:
(MSSQLSERVER)

Languages:
powershell

Platforms:
intel

Links:
https://github.com/kevoreilly/CAPEv2
CTT Report Hub
#ParsedReport #CompletenessMedium 22-04-2024 TargetCompany MS-SQL (Mallox, BlueSky ) https://asec.ahnlab.com/ko/64345 Report completeness: Medium Actors/Campaigns: Tor2mine Threats: Targetcompany Bluesky_ransomware Remcos_rat Cobalt_strike Anydesk_tool…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея:.
Группа компаний-вымогателей TargetCompany использует недостаточно защищенные серверы MS-SQL для развертывания программ-вымогателей Mallox и других вредоносных программ, таких как Remcos RAT и Cobalt Strike, с целью компрометации систем, утечки данных и проведения атак с целью получения финансовой выгоды. Они используют уязвимости с помощью грубой силы и атак по словарю, при этом на протяжении нескольких лет они постоянно используют уязвимости MS-SQL server. Администраторам баз данных рекомендуется усилить меры безопасности, регулярно обновлять пароли и улучшать программное обеспечение для защиты от кибератак.
-----

Группа вымогателей TargetCompany нацелилась на недостаточно защищенные серверы MS-SQL для развертывания программы-вымогателя Mallox.

Злоумышленники используют уязвимости в плохо управляемых серверах MS-SQL, используя грубую силу и словарные атаки для получения доступа.

Remcos RAT используется для удаленного управления, позволяя злоумышленникам собирать конфиденциальную информацию.

Установка программы-вымогателя Mallox выполняется в последовательности, включающей установку вредоносного ПО для удаленного доступа, вредоносного ПО для управления экраном и шифрование системы.

Злоумышленники также используют Cobalt Strike для расширенного контроля и внедряют майнеры монет Tor2Mine и программу-вымогателя BlueSky.

Группа вымогателей TargetCompany использует уязвимости MS-SQL server для постоянных атак с использованием нескольких вариантов вредоносного ПО.

Рекомендуемые меры для администраторов включают надежные пароли, обновления программного обеспечения безопасности и контроль внешнего доступа.
#ParsedReport #CompletenessLow
22-04-2024

Sharp-Project: New Stealer Family on the Market

https://www.gdatasoftware.com/blog/2024/04/37894-sharp-info-stealer

Report completeness: Low

Threats:
Sharp_stealer
Sharpil
Umbral
Echelon_stealer

Victims:
Gamers, Vime world minecraft server

Industry:
Financial, Entertainment

Geo:
Russian

ChatGPT TTPs:
do not use without manual check
T1595, T1552, T1547, T1071, T1041

IOCs:
File: 2
Hash: 4

Soft:
Telegram, Google Chrome, Slimjet, Chrome, Opera, Outlook, Discord, Roblox, Viber, Jabber, have more...

Algorithms:
bcrypt, zip
CTT Report Hub
#ParsedReport #CompletenessLow 22-04-2024 Sharp-Project: New Stealer Family on the Market https://www.gdatasoftware.com/blog/2024/04/37894-sharp-info-stealer Report completeness: Low Threats: Sharp_stealer Sharpil Umbral Echelon_stealer Victims: Gamers…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что инфокрады Sharpil RAT, в частности вредоносная программа, известная как "Sharp Stealer", нацелена на геймеров с целью кражи конфиденциальной информации, действуя через Telegram-бота, несмотря на то, что она классифицируется как троян удаленного доступа. Вредоносная программа фокусируется на краже данных, а не на контроле системы, использует методы обфускации и нацелена на широкий спектр приложений, которые обычно используются игроками для получения финансовой выгоды на подпольных рынках. Однако он не приобрел значительной популярности в киберпреступном сообществе, и ему не хватает продвинутых методов уклонения, что указывает на то, что он, возможно, все еще находится на ранней стадии разработки.
-----

Инфокрады Sharpil RAT представляют собой нового игрока на рынке киберпреступлений, который нацелен на игроков с целью кражи конфиденциальной информации. Вредоносная программа, известная как "Sharp Stealer", написана на C# и работает путем установления соединения с ботом Telegram для получения команд от участников угрозы. Она может собирать системную информацию, данные браузера, геолокацию и данные пользователя с игровых серверов, таких как Vime World. Несмотря на то, что он помечен как троян для удаленного доступа, его функциональные возможности больше соответствуют функциям похитителя данных, специально разработанного для кражи данных с дистанционным управлением, а не для управления системой.

Злоумышленник, стоящий за Sharp Stealer, работает через Telegram-канал под названием "SHARP PROJECT", предлагая вредоносное ПО в аренду за 10 долларов или для постоянной покупки за 30 долларов. Вредоносное ПО отправляет украденные данные непосредственно боту Telegram, минуя хостинг. Хотя изначально были сомнения в достоверности проекта, дальнейшее расследование подтвердило, что Sharpil RAT и Sharp Stealer используют схожие стили кодирования и нацелены на схожие наборы данных, используя Telegram-бота для сбора данных.

Вредоносная программа использует различные методы обфускации, включая использование Ionic Framework, криптографические функции с помощью библиотеки BCrypt и компоненты других вредоносных программ, таких как Umbral stealer и Echelon infostealer. Несмотря на попытки обфускации, аналитикам удалось расшифровать функциональные возможности вредоносного ПО и определить конкретные данные, на которые оно нацелено, включая широкий спектр приложений, обычно используемых геймерами.

Одним из примечательных аспектов Sharp Stealer является его ориентация на игровые платформы и мессенджеры, которые являются прибыльными источниками внутриигровых предметов, платежной информации и скомпрометированных аккаунтов на подпольных рынках. Однако вредоносная программа еще не приобрела значительной популярности в киберпреступном сообществе из-за ограниченного присутствия на форумах даркнета и небольшой базы подписчиков на соответствующий Telegram-канал. Кроме того, вредоносная программа лишена функций, обычно встречающихся у известных инфокрадов, таких как методы обхода антивирусного обнаружения и обнаружения в изолированной среде, что указывает на то, что она все еще может находиться на ранних стадиях разработки.
#ParsedReport #CompletenessLow
23-04-2024

APT-C-28 ScarCruft LNK RokRat.

https://www.ctfiot.com/175379.html

Report completeness: Low

Actors/Campaigns:
Scarcruft

Threats:
Rokrat

Victims:
Companies in the energy sector

Industry:
Transport, Energy, Aerospace, Military, Healthcare

Geo:
Korea, Korean, Asia, Asian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1566.001, T1204.002, T1059.001, T1027, T1055, T1105

IOCs:
File: 3
Hash: 2

Algorithms:
zip, sha1, xor, md5, sha256

Languages:
powershell
CTT Report Hub
#ParsedReport #CompletenessLow 23-04-2024 APT-C-28 ScarCruft LNK RokRat. https://www.ctfiot.com/175379.html Report completeness: Low Actors/Campaigns: Scarcruft Threats: Rokrat Victims: Companies in the energy sector Industry: Transport, Energy, Aerospace…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обсуждении киберугроз, связанных с организацией ScarCruft, с особым упором на распространение и функциональность вредоносного ПО RokRat. В тексте освещаются методы доставки RokRat, кампании по атакам, нацеленные на энергетическую отрасль, рекомендации по предотвращению и устранению неполадок, природа и происхождение APT-C-28 (ScarCruft), а также описание конкретной сетевой атаки, связанной с развертыванием вредоносного ПО RokRat с помощью обманчивых файлов LNK. Дальнейший анализ включает в себя подробную информацию о механизмах активации вредоносного ПО, эволюции методов атаки и стратегиях, используемых злоумышленниками.
-----

В тексте обсуждаются действия, связанные с киберугрозами, связанные с организацией ScarCruft, с особым упором на доставку и функциональность вредоносного ПО RokRat. В начале статьи упоминается о предыдущих статьях, в которых подробно описывается, как злоумышленники распространяют образцы вредоносного ПО RokRat с помощью вредоносных документов, и приводится анализ кампаний по атакам RokRat, нацеленных на энергетическую отрасль. Обсуждаются функции RokRat, подчеркивается их последовательность и принадлежность к организации ScarCruft на основе сходства в моделях атак.

Злоумышленники отправляют сжатые файлы по электронной почте, предлагая пользователям щелкнуть по вредоносным файлам LNK, чтобы опубликовать образцы RokRat. В тексте содержатся рекомендации по предотвращению и устранению неполадок, включая обучение сотрудников, ограничение выполнения файлов, использование антивирусного программного обеспечения, проведение проверок безопасности, применение исправлений безопасности и внедрение многофакторной аутентификации для усиления мер безопасности.

Организация APT-C-28 (ScarCruft), также известная как APT37 (Жнец) и Group123, идентифицируется как группа APT, происходящая из Северо-Восточной Азии. Известный своими кибератаками, направленными в первую очередь против Южной Кореи и других азиатских стран, APT-C-28 с 2012 года нацелен на такие отрасли, как химия, электроника, обрабатывающая промышленность, аэрокосмическая промышленность, автомобилестроение и здравоохранение, с целью кражи конфиденциальных данных, связанных с военными, политическими и экономическими вопросами. RokRat, облачный инструмент удаленного доступа, часто используется APT-C-28 в своей работе с 2016 года, помогая в краже разведывательных данных.

Описана конкретная сетевая атака APT-C-28, в ходе которой вредоносные файлы LNK, замаскированные под "Дебаты экспертов по правам человека в Северной Корее", использовались для доставки вредоносного ПО RokRat. В тексте объясняется процесс распространения вредоносного ПО путем оценки начальной вредоносной нагрузки, включая извлечение файла BAT и сценария PowerShell из файла LNK, загрузку зашифрованной полезной нагрузки из DropBox и расшифровку для получения вредоносного ПО RokRat. Выделяются сложные механизмы активации вредоносного ПО, демонстрирующие сложность атаки.

Злоумышленники использовали тактику приманки, маскируя содержимое файла LNK, относящееся к важной теме, чтобы обманом заставить пользователей выполнить его. Вредоносный код PowerShell, встроенный в файл LNK, скрытно выполняет различные потенциально вредоносные операции, включая изменение атрибутов защиты, расшифровку данных с помощью операции XOR, создание нового потока для выполнения и обработку исключений во время процесса.

Дальнейший анализ посвящен расшифровке PE-файла и выявлению троянца RokRat, созданного в 2023 году. В тексте это открытие сравнивается с предыдущими анализами версий RokRat, в которых основное внимание уделяется эволюции методов и стратегий атаки. Хотя в образце 2023 года сохранены основные функциональные возможности версии 2022 года, в нем представлены изменения в методах работы, такие как корректировка трассировок в реестре для повышения скрытности и эффективности при эффективном обходе мер безопасности.
#ParsedReport #CompletenessLow
23-04-2024

Cybercriminals Exploit Google Ads to Spread IP Scanner with Concealed Backdoor

https://any.run/cybersecurity-blog/attackers-exploit-google-ads

Report completeness: Low

Threats:
Madmxshell
Typosquatting_technique
Dll_sideloading_technique
Process_hollowing_technique
Dns_tunneling_technique

ChatGPT TTPs:
do not use without manual check
T1192, T1566.002, T1566.001, T1055.012, T1070.004, T1036.004, T1071.004, T1027, T1564.001

IOCs:
Domain: 1
File: 6

Algorithms:
zip
CTT Report Hub
#ParsedReport #CompletenessLow 23-04-2024 Cybercriminals Exploit Google Ads to Spread IP Scanner with Concealed Backdoor https://any.run/cybersecurity-blog/attackers-exploit-google-ads Report completeness: Low Threats: Madmxshell Typosquatting_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: Была выявлена сложная вредоносная кампания с использованием Google Ads, нацеленная на пользователей с помощью поддельных инструментов сканирования IP-адресов для распространения недавно обнаруженного бэкдора Windows под названием MadMxShell. Этот бэкдор взаимодействует с сервером управления с помощью запросов DNS MX и использует продвинутую тактику обхода, чтобы избежать обнаружения.
-----

Была выявлена новая вредоносная рекламная кампания, использующая Google Ads, нацеленная на пользователей с 45 доменами, которые выдают себя за сканер IP-адресов, для распространения недавно обнаруженного бэкдора Windows под названием MadMxShell. Этот бэкдор представляет собой сложную вредоносную программу, которая взаимодействует со своим сервером управления (C2) с помощью запросов DNS Mail Exchange (MX), причем сервер C2 находится по адресу litterbolo.com. Уникальной особенностью MadMxShell является его метод кодирования данных в пакетах запросов DNS MX для получения и выполнения команд, что привело к его названию - MadMxShell.

Эта кампания стала первым случаем использования вредоносной рекламы для распространения сложного бэкдора Windows. Вредоносная реклама предполагает использование рекламы Google для продвижения вредоносных доменов, выведения их на верхние строчки результатов поиска и заманивания жертв к ним. Процесс заражения обычно начинается, когда пользователь, который ищет популярные инструменты для сканирования IP-адресов, нажимает на вредоносную рекламу Google, перенаправляя их на один из доменов, зарегистрированных злоумышленниками. При нажатии кнопки загрузки на этих поддельных сайтах загружается вредоносный ZIP-архив с именем "Advanced-ip-scanner.zip". Этот архив содержит два файла: DLL-файл с именем IVIEWERS.dll и исполняемый файл с именем Advanced-ip-scanner.exe.

Когда пользователь выполняет Advanced-ip-scanner.exe, для загрузки IVIEWERS используется технология сторонней загрузки библиотеки DLL.dll-файл запускает цепочку заражения. Библиотека DLL внедряет встроенный шелл-код в процесс Advanced-ip-scanner.exe посредством "опустошения" процесса, заменяя оперативную память процесса вредоносным кодом, чтобы скрыть его действия. Вредоносная программа использует надежный двоичный файл OneDrive.exe для дополнительной загрузки вредоносного файла Secur32.dll для сохранения и выполняет скрытый шелл-код. Этот метод позволяет вредоносному ПО маскироваться под безобидный процесс, повышая его скрытность.

MadMxShell использует различные тактики уклонения, чтобы затруднить анализ, включая туннелирование DNS для связи со своим сервером C2, многоэтапную загрузку библиотеки DLL и выполнение команды ping с помощью процесса Cmd.exe для задержки моделирования анализа. Эти маневры направлены на то, чтобы избежать обнаружения с помощью автоматизированных изолированных систем с ограниченным временем для анализа образцов, демонстрируя сложную конструкцию вредоносного ПО и намерение злоумышленников обойти меры безопасности.

Анализ образцов вредоносных программ, таких как MadMxShell, можно упростить с помощью таких инструментов, как ANY.RUN, облачной интерактивной "песочницы", которая упрощает анализ вредоносных программ для специалистов по кибербезопасности. ANY.RUN предоставляет платформу для изучения угроз, нацеленных как на системы Windows, так и на Linux, предлагая расширенные возможности для углубленного анализа. Продукты ANY.RUN threat intelligence, Lookup и Feeds, предоставляют пользователям уточненные показатели компрометации и контекстную информацию для улучшения обнаружения угроз и реагирования на инциденты.
#ParsedReport #CompletenessHigh
23-04-2024

GuptiMiner: Hijacking Antivirus Updates for Distributing Backdoors and Casual Mining

https://decoded.avast.io/janrubin/guptiminer-hijacking-antivirus-updates-for-distributing-backdoors-and-casual-mining

Report completeness: High

Actors/Campaigns:
Kimsuky
Winnti

Threats:
Guptiminer
Gziploader
Puppeteer
Xmrig_miner
Putty_tool
Plink_tool
Mitm_technique
Heavens_gate_technique
Cylance
Windbg_tool
Ollydbg_tool
Teamviewer_tool

Victims:
Large corporate networks

Geo:
India, Germany, Korean, Indian

ChatGPT TTPs:
do not use without manual check
T1556, T1204, T1059, T1070, T1112, T1053, T1562, T1027, T1557, T1546, have more...

IOCs:
File: 33
Url: 5
Hash: 23
Path: 34
Domain: 55
Registry: 7
IP: 4
Command: 1

Soft:
Windows Defender, Task Scheduler, Windows certificate, Windows CryptoAPI, qemu, Process Explorer, Sysinternals

Algorithms:
gzip, xor, base64, rc4, 7zip, md5, sha1

Functions:
main

Win API:
CertCreateCertificateContext, CertOpenStore, CertAddCertificateContextToStore, CryptHashData, gethostbyname, WriteProcessMemory, CreateRemoteThread, SystemTimeToVariantTime

Languages:
powershell

Platforms:
x86, x64

Links:
https://github.com/avast/ioc/tree/master/GuptiMiner
https://github.com/avast/ioc/blob/master/GuptiMiner/extras/PCAP/smb\_backdoor\_networking.pcap
CTT Report Hub
#ParsedReport #CompletenessHigh 23-04-2024 GuptiMiner: Hijacking Antivirus Updates for Distributing Backdoors and Casual Mining https://decoded.avast.io/janrubin/guptiminer-hijacking-antivirus-updates-for-distributing-backdoors-and-casual-mining Report…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении и анализе сложной вредоносной кампании под названием GuptiMiner, которая использовала уязвимости в механизме обновления антивируса eScan для распространения бэкдоров и coinminers. Кампания, приписываемая злоумышленнику, потенциально связанному с Kimsuky, была направлена на проникновение в крупные корпоративные сети с целью внедрения бэкдоров. GuptiMiner демонстрировал расширенные возможности и непрерывную эволюцию с течением времени, демонстрируя разработчикам постоянное расширение своих возможностей и использование различных методов, позволяющих избежать обнаружения и поддерживать работоспособность скомпрометированных систем.
-----

В тексте рассказывается об обнаружении и анализе сложной вредоносной кампании, известной как GuptiMiner, которая использовала механизм обновления антивируса eScan для распространения бэкдоров и coinminers. Компания Avast обнаружила уязвимость и сообщила об этом, которая впоследствии была исправлена компанией eScan 31 июля 2023 года. Кампания, которую приписывают злоумышленнику, потенциально связанному с Kimsuky, была направлена на проникновение в крупные корпоративные сети с целью внедрения бэкдоров. GuptiMiner продемонстрировал расширенные возможности, включая DNS-запросы к серверам, контролируемым злоумышленниками, дополнительную загрузку, извлечение полезной нагрузки из изображений, которые выглядят безобидно, и использование пользовательских подписей доверенных центров сертификации.

Вредоносная кампания включала в себя два основных типа бэкдоров в GuptiMiner: усовершенствованный вариант PuTTY Link для сканирования SMB для перемещения по сетям в поперечном направлении и модульный бэкдор, способный выполнять команды злоумышленников, сканировать закрытые ключи и криптокошельки и распространять XMRig для майнинга криптовалюты на скомпрометированных устройствах. Используя уязвимость системы безопасности в механизме обновления eScan, злоумышленники проводили атаки типа "человек посередине" для распространения вредоносного ПО.

GuptiMiner, давняя вредоносная программа, появившаяся как минимум в 2018 году, с течением времени постоянно эволюционировала и совершенствовалась, а разработчики постоянно расширяли ее возможности. Вредоносная программа использовала несколько доменов для своих операций, в том числе для вредоносных DNS, загрузки PNG, пулов интеллектуального анализа конфигурации, модифицированных пулов интеллектуального анализа, конечных доменов C&C и многого другого. Он использовал мьютексы для правильного выполнения, периодически меняя их, и включал символы отладки в двоичные файлы для целей идентификации.

Цепочка заражения GuptiMiner включала в себя различные этапы, такие как дополнительная загрузка библиотеки DLL, внедрение шеллкода в процессы, расшифровка ответов DNS, внедрение XMRig для интеллектуального анализа данных и развертывание бэкдоров с помощью команд PowerShell. Основной компонент Puppeteer организовал операцию, внедрив механизмы сохранения, отключив такие функции безопасности, как защитник Windows, координируя деятельность по майнингу монет и развертывая бэкдоры в сетях Windows Server.

Дополнительные меры, принятые участниками угроз, включали методы защиты от виртуальных машин, уклонение от использования инструментов мониторинга и динамические конфигурации для адаптации к системным ресурсам. Вредоносное ПО шифровало и сохраняло полезную информацию в разделах реестра для сохранения, отслеживало системные процессы, внедряло XMRig для майнинга, загружало дополнительную полезную информацию для бэкдоров и со временем претерпевало различные улучшения, такие как изменения в использовании домена, стратегии взаимного обмена и обновления методов доставки полезной информации.