#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении и анализе вредоносного ПО CHM, нацеленного на отечественных пользователей, с подробным описанием методов его распространения, процессов работы, встроенных в него вредоносных скриптов, эволюции методов обфускации, а также важности осторожности и обновленных мер безопасности для защиты от таких киберугроз.
-----

Аналитический центр безопасности AhnLab (ASEC) обнаружил распространение вредоносного ПО CHM, нацеленного на местных пользователей. Этот конкретный вид вредоносного ПО CHM исторически распространялся в таких форматах, как LNK, DOC и OneNote, и в процессе его работы были внесены последние изменения. При запуске CHM генерирует окно справки и запускает вредоносный скрипт, встроенный в него. Скрипт связан с файлом с именем Link.ini, который подключается к определенному URL-адресу для выполнения дальнейших сценариев. В этих последних дистрибутивах формат URL-адреса доступа был изменен с "list.php?query=1" на "bootservice.php?query=1".

URL-адрес содержит вредоносный скрипт, закодированный в Base64, который при расшифровке раскрывает такие функции, как фильтрация данных, создание файлов вредоносных скриптов и регистрация служб. Зарегистрированный файл периодически работает, получая доступ к указанным URL-адресам и выполняя дополнительные скрипты. Еще одно изменение в обновленном рабочем процессе включает изменение URL-адреса доступа с "list.php?query=6" на "bootservice.php?query=6". На этом этапе присутствует другой вредоносный скрипт в кодировке Base64, который подключается к определенному URL-адресу с помощью команды Powershell для выполнения дополнительных скриптов. Примечательно, что на этом этапе такие параметры, как "InfoKey" и закодированная информация об URL-адресе, передаются вместе.

В скрипте Powershell, указанном в URL, есть функциональность для расшифровки и активации зашифрованной защищенной строки. Методы обфускации эволюционировали от более простых методов, таких как распаковка и кодирование в Base64, к более сложным методам, позволяющим избежать обнаружения. Недавнее распространение вредоносного ПО CHM очень похоже на предыдущие типы, выявленные ранее, что указывает на вероятность участия одного и того же источника угрозы. Очевидно, что были предприняты значительные усилия по внедрению различных методов обфускации, позволяющих избежать обнаружения.

Учитывая целевое распространение среди местных пользователей, рекомендуется соблюдать крайнюю осторожность. Пользователям следует воздерживаться от доступа к файлам неизвестного происхождения, чтобы снизить риск, связанный с этим вредоносным по CHM. Бдительность и обновленные меры безопасности имеют решающее значение для защиты от подобных киберугроз.

#ParsedReport #CompletenessLow
25-04-2024

RemcosRAT is being distributed using steganography techniques.

https://asec.ahnlab.com/ko/64421

Report completeness: Low

Threats:
Remcos_rat
Steganography_technique
Process_hollowing_technique

ChatGPT TTPs:
do not use without manual check
T1566.001, T1203, T1027, T1140, T1059.005, T1567.002, T1059.001, T1055, T1105

IOCs:
File: 2
Hash: 5
Url: 2
IP: 2

Algorithms:
base64, md5

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что был выявлен новый метод распространения вредоносного ПО RemcosRAT, использующий методы стеганографии, внедрение шаблонов, RTF-файлы, VBScripts, скрипты PowerShell и удаление процессов. Пользователям рекомендуется соблюдать осторожность и обновлять средства безопасности для защиты от возможного заражения вредоносными программами.
-----

Аналитический центр безопасности AhnLab (ASEC) обнаружил новый метод распространения вредоносного ПО RemcosRAT, основанный на использовании методов стеганографии. Атака начинается с документа Word, который использует внедрение шаблона для загрузки и выполнения RTF-файла, используя уязвимость редактора формул (EQNEDT32.EXE). Затем этот RTF-файл загружает VBScript с расширением ".jpg" с сервера управления (C2) и извлекает другой VBScript из "paste.ee", сервиса, аналогичного Pastebin для загрузки текста.

Загруженный скрипт PowerShell извлекает изображение, размещенное на внешнем сервере, которое скрывает данные, закодированные в BASE64, за которыми следует маркер "FF D9", указывающий на конец файла JPG. Кроме того, на основе предоставленных аргументов с сервера C2 будут получены дополнительные файлы. Впоследствии этот процесс включает в себя создание RegAsm.exe дочернего процесса, который выполняется с использованием выделения процессов. В конечном счете, эта цепочка действий приводит к запуску вредоносной программы RemcosRAT.

Учитывая разнообразие методов распространения RemcosRAT, включая рассылку спама по электронной почте и загрузку взломанного программного обеспечения, пользователям рекомендуется проявлять осторожность. Важно обновить средства безопасности, такие как V3, до последней версии, чтобы заранее усилить защиту от потенциальных вредоносных программ.

#ParsedReport #CompletenessMedium
25-04-2024

Technical analysis of the Rust loader for the digital weapon organization OceanLotus (APT-Q-31)

https://mp-weixin-qq-com.translate.goog/s?__biz=MzI2MDc2MDA4OA==&mid=2247510313&idx=1&sn=dbc3d32859fdfce12854aef02d698a49&chksm=ea665e5edd11d748292950c3550230c9e580f3ed58cb6b8e8c6fb30f1bdeb0f250fea72f59d9&scene=178&cur_album_id=1539799351089283075&_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=ru&_x_tr_pto=wapp

Report completeness: Medium

Actors/Campaigns:
Oceanlotus

Threats:
Cobalt_strike

Victims:
Chinese government, Scientific research institutes, Maritime institutions, Maritime construction, Shipping companies

Industry:
Maritime, Government, Transport

Geo:
China, Chinese, Asia

ChatGPT TTPs:
do not use without manual check
T1564.001, T1027, T1055, T1071, T1547.001, T1102.001, T1132, T1041, T1588.002, T1595, have more...

IOCs:
Hash: 7
Domain: 1

Soft:
WeChat, re.com, trycloudflare, Android

Algorithms:
md5, xor

Win API:
VirtualAlloc

Languages:
rust

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: В ходе анализа был обнаружен загрузчик Rust, имеющий сходство с образцом атаки OceanLotus, что указывает на потенциальную связь с организацией OceanLotus. Усовершенствован загрузчик, который загружает троянскую программу Cobalt Strike в память во время атак, используя туннельный сервис Cloudflare в качестве C&C-сервера для обфускации. Группа threat actor group демонстрирует эволюционирующую тактику уклонения от обнаружения и введения в заблуждение при установлении авторства, подчеркивая важность передовых методов обеспечения кибербезопасности для пользователей в целях снижения рисков, связанных с появлением киберугроз.
-----

Недавно обнаруженные образцы загрузчика Rust демонстрируют высокую степень совпадения функций кода с известным образцом атаки OceanLotus, что указывает на потенциальную связь с организацией OceanLotus. OceanLotus, также известная как APT32, с апреля 2012 года является передовой группой по борьбе с постоянными угрозами, нацеленной в первую очередь на различные сектора в Китае и Юго-Восточной Азии. Группа использует различные методы атак, включая вредоносные программы собственной разработки, проекты с открытым исходным кодом и коммерческие инструменты.

Загрузчик Rust, указанный в недавних результатах, имеет сходство с загрузчиком OceanLotus Rust, особенно в структуре кода Rust и реализации шеллкода на первом этапе. Загрузчик предназначен для загрузки троянской программы Cobalt Strike в память во время атак, демонстрируя высокий уровень изощренности методов злоумышленников. Некоторые трояны Cobalt Strike, связанные с этим вариантом Rust-загрузчика, используют туннельную службу Cloudflare в качестве сервера управления (C&C), чтобы скрыть реальный IP-адрес сервера, что еще больше усложняет их работу.

Анализ показывает, что загрузчик Rust расшифровывает содержимое, содержащее следующий этап шеллкода. Он манипулирует правами доступа к памяти, связанными с загруженной библиотекой DLL, чтобы обеспечить надлежащее выполнение шеллкода. Кроме того, загрузчик использует функции дешифрования для извлечения и выполнения сохраненного в памяти шелл-кода, в конечном итоге устанавливая связь с сервером C2 для получения информации о конфигурации троянца beacon.

Примечательно, что рассматриваемые экземпляры загрузчика Rust совпадают с образцом атаки OceanLotus с точки зрения характеристик кода и шаблонов использования. Наличие определенного идентификатора лицензии (987654321) в данных конфигурации соответствует предыдущим шаблонам атак OceanLotus, что указывает на последовательный порядок действий, поддерживаемый группой участников угроз. Кроме того, использование нескольких идентификаторов лицензий, потенциально связанных со взломанной версией Cobalt Strike, свидетельствует о попытке OceanLotus скрыть права собственности на свои инструменты и действия для проведения атак.

Эволюционирующая тактика OceanLotus очевидна в последней версии Rust loader discovery. Шифрование последующих полезных данных, добавляемых к загрузчику, и использование допустимых пространств памяти библиотеки DLL для хранения шеллкода демонстрируют усилия группы по обходу механизмов обнаружения безопасности и введению в заблуждение при установлении авторства, включая использование водяных знаков Cobalt Strike.

В ответ на эти возникающие угрозы пользователям рекомендуется проявлять осторожность при взаимодействии в Интернете. Защита от фишинговых атак, воздержание от открытия подозрительных ссылок или вложений электронной почты, предотвращение запуска неизвестных файлов и установка программного обеспечения только из надежных источников являются важными шагами для повышения уровня кибербезопасности. Регулярное резервное копирование данных, своевременное обновление программного обеспечения и установка исправлений являются рекомендуемыми методами снижения рисков, связанных с появлением киберугроз.

#cyberthreattech

Т.к. мы расширили покрытие по разным VPN, Proxy, Tor, то стало интересно сделать срез по странам и ASN-кам где они живут.
Вот статистика за Q1 2024

О, новый способ экранирования IoC.
+1 в копилку
-1 в карму Sophos

#ParsedReport #CompletenessMedium
27-04-2024

Threat Actor Profile: Molerats

https://socradar.io/threat-actor-profile-molerats

Report completeness: Medium

Actors/Campaigns:
Molerats (motivation: cyber_espionage, politically_motivated)
Tophat (motivation: cyber_espionage)
Poison_ivy

Threats:
Spear-phishing_technique
Xtreme_rat
Dustysky
Confuserex_tool
Themida_tool

Industry:
Military, Telco, Retail, Financial, Aerospace

Geo:
Israel, Palestine, Turkiye, Africa, Egypt, Iraq, Mena, Usa, Saudi, Emirates

TTPs:
Tactics: 1
Technics: 12

IOCs:
File: 1

Soft:
Microsoft Word

Algorithms:
zip

Languages:
javascript, powershell, visual_basic

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что группа киберугроз, известная как Molerats, также известная под различными другими названиями, активно занимается кибершпионажем как минимум с 2012 года. Они специализируются на атаках на политические и военные структуры на Ближнем Востоке и в Северной Африке, используя такие сложные методы, как фишинг, внедрение вредоносных программ и социальная инженерия. Molerats продемонстрировали адаптивность и изощренность в своей деятельности, используя такие тактики, как кампании по борьбе с фишингом, легальные облачные сервисы для размещения вредоносных программ и специальные бэкдоры для проникновения в различные сектора по всему миру. Их стратегической целью является сбор конфиденциальной информации, которая может повлиять на геополитическую динамику, и они участвовали в известных кампаниях кибершпионажа, нацеленных на правительственные учреждения, оборонную промышленность, финансовый сектор и многое другое. Молераты продолжают совершенствовать свою тактику, о чем свидетельствует их последняя кампания в 2021 году, нацеленная на влиятельных людей в определенных секторах с использованием передовых методов, усложняющих обнаружение.
-----

Группа киберугроз Molerats, также известная под несколькими псевдонимами, действует по меньшей мере с 2012 года, специализируясь на кибершпионаже в отношении политических и военных структур на Ближнем Востоке и в Северной Африке.

Злоумышленники используют такие тактики, как фишинг, внедрение вредоносных программ, социальная инженерия, кампании по борьбе с фишингом и используют законные облачные сервисы для размещения вредоносных программ.

Деятельность группы расширилась по всему миру, затрагивая различные секторы и демонстрируя способность адаптироваться к усиливающейся киберзащите.

Они нацелены на такие секторы, как правительственные учреждения, аэрокосмическая и оборонная промышленность, финансовые учреждения, разработчики программного обеспечения, страхование и розничная торговля, для получения конфиденциальной политической, военной и экономической информации.

Известные кампании Molerats по кибершпионажу включают операции Molerats и DustySky, в которых используются специально разработанные вредоносные программы, такие как Poison Ivy и DustySky, нацеленные на государственные органы, оборонную промышленность и финансовый сектор.

В ходе кампании 2021 года Molerats нацелился на влиятельных лиц в банковском секторе Палестины, политических деятелей и активистов в Турции, используя файлы MS Office на основе макросов с ложными данными, связанными с конфликтом между Израилем и ХАМАСОМ, демонстрируя сложные инструменты для обфускации и смешивания вредоносных операций с законным трафиком.

#ParsedReport #CompletenessLow
26-04-2024

Malicious code distributed with content related to copyright infringement (Beast ransomware, Vidar infostealer)

https://asec.ahnlab.com/ko/64656

Report completeness: Low

Threats:
Beast_ransomware
Vidar_stealer
Makop
Lockbit
Monster
Ransomware/win.generic.r646126
Ransom/mdp.decoy.m1171

Geo:
Korean

ChatGPT TTPs:
do not use without manual check
T1566, T1204, T1566.002, T1105, T1027, T1059, T1083, T1071

IOCs:
File: 2
Hash: 2

Soft:
Telegram

Algorithms:
base64, zip

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в выявлении тенденции, связанной с распространением программ-вымогателей и инфокрадов посредством вредоносных электронных писем, выдающих себя за предупреждения о нарушении авторских прав и резюме. Эволюция методов доставки включает в себя электронные письма со ссылками, переход к атакам с двумя направлениями и появление сложных программ-вымогателей, таких как Beast, способных перемещаться по сетям. Подчеркивается важность бдительности пользователей, своевременного обновления системы безопасности и получения информации о возникающих угрозах для защиты от развивающихся киберугроз.
-----

Аналитический центр безопасности AhnLab (ASEC) выявил тенденцию распространения программ-вымогателей и инфокрадов с помощью вредоносных электронных писем, выдающих себя за предупреждения о нарушении авторских прав и резюме. Семейства программ-вымогателей Makop и LockBit занимают видное место в этих кампаниях, причем программы-вымогатели Makop маскируются под резюме и распространяют контент, связанный с нарушением авторских прав. Программы-вымогатели LockBit также распространяются по электронной почте, маскируясь под сообщения, касающиеся авторских прав или приложений. Эти вредоносные электронные письма направлены на то, чтобы побудить получателя загрузить вредоносное ПО, включая внешние ссылки, а не вложения.

Недавняя эволюция в способах доставки вредоносного кода включает отправку электронных писем со ссылками вместо защищенных паролем сжатых вложений. При нажатии на ссылку и извлечении содержимого получатели сталкиваются с двумя исполняемыми файлами, маскирующимися под настоящие корейские файлы или файлы Excel. Эти файлы были идентифицированы как вредоносная программа Vidar infostealer и Beast ransomware соответственно. Наличие в одном и том же электронном письме как infostealer, так и программы-вымогателя указывает на переход к атакам с двойным подходом, направленным на компрометацию пользовательских систем по нескольким направлениям.

Программа-вымогатель Beast, созданная тем же злоумышленником, что и программа-вымогатель Monster, представляет собой более сложную версию своего предшественника. Программа-вымогатель шифрует файлы и присваивает им отличительные расширения, в результате чего получаются имена файлов, характерные для конкретной жертвы. Кроме того, программа-вымогатель Beast способна сканировать уязвимые SMB-порты для распространения в сетях, что указывает на намерение распространять инфекции в стороны через общие папки.

Файл Excel icon, распространяемый вместе с программой Beast ransomware, содержит вредоносную программу Vidar infostealer, предназначенную для утечки конфиденциальной информации пользователей. Вредоносная программа Vidar подключается к серверу управления (C2) для получения инструкций и использует различные тактические приемы для кражи данных, включая загрузку дополнительных DLL-файлов. В отличие от обычных инфокрадов, Vidar нацелен на широкий спектр информации, хранящейся в пользовательских системах, от учетных данных учетной записи до данных браузера и данных кредитной карты. Вредоносное ПО использует такие платформы, как Telegram и Steam Community, для связи с сервером C2, что позволяет красть данные и потенциально обходить меры безопасности.

Постоянное распространение вредоносных программ-вымогателей и инфокрадов подчеркивает важность бдительности пользователей и своевременного обновления системы безопасности. Поскольку злоумышленники адаптируют свою тактику для обхода традиционных средств защиты, частным лицам и организациям рекомендуется использовать современные решения для обеспечения безопасности, такие как V3, для снижения риска заражения. Постоянное информирование о возникающих угрозах и соблюдение осторожности при работе с подозрительными электронными письмами имеют решающее значение для защиты от возникающих киберугроз.

#ParsedReport #CompletenessMedium
27-04-2024

Trojan instead of money

https://rt-solar.ru/solar-4rays/blog/4288

Report completeness: Medium

Threats:
Cerberus
Mimicry

Industry:
Government, Financial

Geo:
Ukraine, Russian, Ukrainian

ChatGPT TTPs:
do not use without manual check
T1566.002, T1199, T1059.007, T1402, T1571, T1071.001, T1583.001, T1584.002

IOCs:
Domain: 5
Url: 4
File: 4
IP: 3
Hash: 7

Soft:
Android

Algorithms:
sha1, md5, zip, sha256

Languages:
java

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в анализе информации о киберугрозах, проведенном экспертами из центра Solar AURA, которые обнаружили поддельный веб-сайт, предназначенный для кражи персональных данных и распространения опасного вредоносного ПО под видом предоставления бесплатных денег от государства. В атаке задействован троян, распространяемый через фишинговый сайт, который представляет серьезную угрозу для банковских счетов жертв и потенциально позволяет получить несанкционированный доступ к услугам онлайн-банкинга. Эксперты выявили множество образцов вредоносного ПО, проследили его эволюцию и оперативно отреагировали на блокировку вредоносных доменов, одновременно выявив новые компоненты кампании.
-----

Эксперты из Solar AURA выявили поддельный веб-сайт, обещающий бесплатные деньги, но на самом деле крадущий личные данные и распространяющий опасное вредоносное ПО, в частности троян, распространяемый через фишинговый сайт.

Фишинговый веб-сайт использует такую тактику, как предложение дублировать загрузку вредоносного ПО, и использует вспомогательную стратегию домена для продления срока службы.

Вредоносная программа, полученная через фишинговый сайт, запрашивает такие разрешения, как возможность автозапуска и доступа к SMS-сообщениям, что потенциально позволяет получить несанкционированный доступ к банковским счетам жертв для совершения мошеннических транзакций.

Solar AURA обнаружила новые управляющие адреса для вредоносного ПО в открытых источниках, выявив сходство в структуре кода и взаимодействии с серверами управления, продемонстрировав эволюцию кампании с помощью анализа метаданных.

#ParsedReport #CompletenessMedium
27-04-2024

Malware campaign attempts abuse of defender binaries

https://news.sophos.com/en-us/2024/04/26/malware-campaign-abuses-legit-defender-binaries

Report completeness: Medium

Threats:
Cobalt_strike
Brc4_tool
Qakbot
Latrodectus
Titanldr
Icedid
Pikabot

Industry:
Healthcare

IOCs:
File: 8
Hash: 422
IP: 7
Domain: 25
Url: 27

Algorithms:
xor, sha256

Win API:
dllregisterserver

Languages:
javascript

Platforms:
intel

Links:
https://github.com/sophoslabs/IoCs
https://github.com/sophoslabs/IoCs/blob/master/2404%20impersonation%20campaign.csv

#ParsedReport #GeneratedSchema
Generated with GPT-4