CTT Report Hub
#ParsedReport #CompletenessMedium 08-05-2024 Dissecting REMCOS RAT: An in-depth analysis of a widespread 2024 malware, PartFour. Dissecting REMCOS RAT: An in- depth analysis of a widespread 2024 malware, Part Four https://www.elastic.co/security-labs/dissecting…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста сосредоточена на анализе вредоносной программы REMCOS, в частности версии 4.9.3, с освещением ее поведения, тактики и механизмов обнаружения. В нем рассматриваются различные аспекты REMCOS, такие как структура конфигурации, команды C2, индикаторы компрометации и такие функции, как ведение кейлогга и очистка данных браузера. В тексте также подчеркивается использование эластичных технологий для обнаружения и отслеживания вредоносного ПО REMCOS и упоминается важность использования платформы MITRE ATT&CK для понимания и противодействия продвинутым постоянным угрозам. В целом, анализ направлен на улучшение понимания сообществом специалистов по кибербезопасности и защиту от угрозы REMCOS.
-----
Третья и заключительная часть серии статей, составленной исследователями вредоносного ПО из Elastic Security Labs, посвящена обнаружению и поиску вредоносного ПО REMCOS с использованием технологий Elastic. В тексте рассматриваются различные аспекты REMCOS, включая его поведение, тактику и механизмы обнаружения.
Вредоносная программа REMCOS, в частности версия 4.9.3, подробно проанализирована, особое внимание уделено ее структуре конфигурации, командам C2 и признакам компрометации. Вредоносная программа обладает такими характеристиками, как маскировка под SVCHOST, внедрение таких процессов, как Internet Explorer, и отключение контроля учетных записей пользователей (UAC) путем внесения изменений в реестр. Кроме того, большинство обнаруженных образцов REMCO используют динамический DNS для связи.
Одним из ключевых показателей компрометации, выделенных в тексте, является значение реестра exePath, используемое процессом отслеживания REMCOS, которое может быть использовано для обнаружения. Приведен пример запроса KQL, который поможет выявить потенциальные компрометации на основе этого значения реестра.
REMCOS включает функции, направленные на сбор информации из систем-жертв, такие как ведение кейлоггинга с использованием API SetWindowsHookEx. В тексте предлагается использовать запросы ES\|QL для поиска процессов, которые ведут кейлоггинг. В нем также упоминается функциональность REMCOS для очистки данных браузера, что потенциально позволяет получать веб-учетные данные для ведения кейлоггинга.
Кроме того, в тексте затрагивается использование Elastic платформы MITRE ATT&CK для документирования тактики и процедур, используемых в случае продвинутых постоянных угроз, обеспечивая структурированный подход к пониманию таких угроз и противодействию им.
Анализ REMCOS версии 4.9.3 направлен на то, чтобы предоставить информацию сообществу исследователей вредоносных программ для улучшения их понимания и защиты от этой угрозы. В тексте подчеркивается способность Elastic Defend обнаруживать и предотвращать угрозы REMCOS, при этом особое внимание уделяется простоте и эффективности языка запросов ES\|QL для поиска угроз.
Elastic Security Labs подтверждает свою приверженность обмену знаниями и сотрудничеству с сообществом кибербезопасности в рамках инициатив с открытым исходным кодом. Команда планирует продолжить анализ аналогичных семейств вредоносных программ, чтобы получить ценную информацию и укрепить коллективную защиту от возникающих киберугроз.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста сосредоточена на анализе вредоносной программы REMCOS, в частности версии 4.9.3, с освещением ее поведения, тактики и механизмов обнаружения. В нем рассматриваются различные аспекты REMCOS, такие как структура конфигурации, команды C2, индикаторы компрометации и такие функции, как ведение кейлогга и очистка данных браузера. В тексте также подчеркивается использование эластичных технологий для обнаружения и отслеживания вредоносного ПО REMCOS и упоминается важность использования платформы MITRE ATT&CK для понимания и противодействия продвинутым постоянным угрозам. В целом, анализ направлен на улучшение понимания сообществом специалистов по кибербезопасности и защиту от угрозы REMCOS.
-----
Третья и заключительная часть серии статей, составленной исследователями вредоносного ПО из Elastic Security Labs, посвящена обнаружению и поиску вредоносного ПО REMCOS с использованием технологий Elastic. В тексте рассматриваются различные аспекты REMCOS, включая его поведение, тактику и механизмы обнаружения.
Вредоносная программа REMCOS, в частности версия 4.9.3, подробно проанализирована, особое внимание уделено ее структуре конфигурации, командам C2 и признакам компрометации. Вредоносная программа обладает такими характеристиками, как маскировка под SVCHOST, внедрение таких процессов, как Internet Explorer, и отключение контроля учетных записей пользователей (UAC) путем внесения изменений в реестр. Кроме того, большинство обнаруженных образцов REMCO используют динамический DNS для связи.
Одним из ключевых показателей компрометации, выделенных в тексте, является значение реестра exePath, используемое процессом отслеживания REMCOS, которое может быть использовано для обнаружения. Приведен пример запроса KQL, который поможет выявить потенциальные компрометации на основе этого значения реестра.
REMCOS включает функции, направленные на сбор информации из систем-жертв, такие как ведение кейлоггинга с использованием API SetWindowsHookEx. В тексте предлагается использовать запросы ES\|QL для поиска процессов, которые ведут кейлоггинг. В нем также упоминается функциональность REMCOS для очистки данных браузера, что потенциально позволяет получать веб-учетные данные для ведения кейлоггинга.
Кроме того, в тексте затрагивается использование Elastic платформы MITRE ATT&CK для документирования тактики и процедур, используемых в случае продвинутых постоянных угроз, обеспечивая структурированный подход к пониманию таких угроз и противодействию им.
Анализ REMCOS версии 4.9.3 направлен на то, чтобы предоставить информацию сообществу исследователей вредоносных программ для улучшения их понимания и защиты от этой угрозы. В тексте подчеркивается способность Elastic Defend обнаруживать и предотвращать угрозы REMCOS, при этом особое внимание уделяется простоте и эффективности языка запросов ES\|QL для поиска угроз.
Elastic Security Labs подтверждает свою приверженность обмену знаниями и сотрудничеству с сообществом кибербезопасности в рамках инициатив с открытым исходным кодом. Команда планирует продолжить анализ аналогичных семейств вредоносных программ, чтобы получить ценную информацию и укрепить коллективную защиту от возникающих киберугроз.
#ParsedReport #CompletenessMedium
08-05-2024
From Spam to AsyncRAT: Tracking the Surge in Non-PE Cyber Threats
https://www.mcafee.com/blogs/other-blogs/mcafee-labs/from-spam-to-asyncrat-tracking-the-surge-in-non-pe-cyber-threats
Report completeness: Medium
Threats:
Asyncrat
Process_injection_technique
Confuserex_tool
Confuser_tool
ChatGPT TTPs:
T1566, T1204, T1059, T1055
IOCs:
File: 6
Hash: 11
Path: 2
Url: 2
Soft:
node.js, Windows Task Scheduler, Task Scheduler, process explorer, Microsoft Office
Algorithms:
zip
Functions:
fun_alosh
Languages:
visual_basic, powershell, javascript
08-05-2024
From Spam to AsyncRAT: Tracking the Surge in Non-PE Cyber Threats
https://www.mcafee.com/blogs/other-blogs/mcafee-labs/from-spam-to-asyncrat-tracking-the-surge-in-non-pe-cyber-threats
Report completeness: Medium
Threats:
Asyncrat
Process_injection_technique
Confuserex_tool
Confuser_tool
ChatGPT TTPs:
do not use without manual checkT1566, T1204, T1059, T1055
IOCs:
File: 6
Hash: 11
Path: 2
Url: 2
Soft:
node.js, Windows Task Scheduler, Task Scheduler, process explorer, Microsoft Office
Algorithms:
zip
Functions:
fun_alosh
Languages:
visual_basic, powershell, javascript
McAfee Blog
From Spam to AsyncRAT: Tracking the Surge in Non-PE Cyber Threats | McAfee Blog
Authored by Yashvi Shah and Preksha Saxena AsyncRAT, also known as "Asynchronous Remote Access Trojan," represents a highly sophisticated malware variant
CTT Report Hub
#ParsedReport #CompletenessMedium 08-05-2024 From Spam to AsyncRAT: Tracking the Surge in Non-PE Cyber Threats https://www.mcafee.com/blogs/other-blogs/mcafee-labs/from-spam-to-asyncrat-tracking-the-surge-in-non-pe-cyber-threats Report completeness: Medium…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста - об AsyncRAT, сложной разновидности вредоносного ПО, предназначенной для компрометации компьютерных систем и кражи конфиденциальных данных. В тексте обсуждается цепочка заражения, связанная с AsyncRAT, методы обхода мер безопасности и различные типы файлов, которые он использует для распространения и уклонения от обнаружения. Кроме того, в нем рассказывается о процессе выполнения AsyncRAT, важности информированности пользователей для снижения рисков и рекомендуемых мерах безопасности для отдельных лиц и организаций для повышения их уровня безопасности.
-----
AsyncRAT представляет собой сложный вариант вредоносного ПО, предназначенный для компрометации компьютерных систем и кражи конфиденциальных данных. Лаборатория McAfee недавно обнаружила новую цепочку заражения, связанную с AsyncRAT, что подчеркивает его опасные возможности и методы обхода, которые он использует для обхода мер безопасности. Вредоносная программа использует различные типы файлов, включая PowerShell, Windows Script File (WSF), VBScript (VBS) и другие, встроенные в вредоносный HTML-файл, чтобы избежать обнаружения антивирусным программным обеспечением и способствовать его распространению.
Процесс заражения начинается со спам-письма, содержащего вложенную HTML-страницу. Когда пользователь открывает HTML-страницу, автоматически загружается файл сценария Windows (WSF). WSF-файл имеет хитроумное название, чтобы отображаться в качестве идентификатора заказа, создавая ощущение законности, позволяющее обманом заставить пользователей выполнить его. После запуска вредоносная программа продолжает работать автономно, не требуя дальнейшего взаимодействия с пользователем. Последующие этапы заражения включают в себя развертывание скриптов Visual Basic (VBS), JavaScript (JS), пакетных (BAT), текстовых (TXT) и PowerShell (PS1) файлов, что в конечном итоге приводит к целенаправленному внедрению процесса aspnet_compiler.exe.
При открытии спам-письма получатель перенаправляется на веб-ссылку, встроенную в содержимое письма, которая запускает открытие HTML-страницы. Это действие запускает загрузку WSF-файла, запуская цепочку событий, которые могут нанести вред системе. Файл WSF, замаскированный под документ, связанный с заказом, скрывает злой умысел и запускается без вмешательства пользователя.
Основной сценарий выполнения вредоносной программы, "t.ps1", сценарий PowerShell, отвечает за процесс внедрения, нацеленный на aspnet_compiler.exe. Кроме того, DLL-файл, содержащий ConfuserEx и идентифицированный как "NewPE2.В процессе задействован PE" с методом выполнения "Execute".
Подводя итог процессу выполнения AsyncRAT, можно сказать, что ключевые этапы включают в себя начальный запуск с помощью HTML-файла, загрузку вредоносного WSF-файла, выполнение различных сценариев и, в конечном счете, ввод окончательной полезной нагрузки в aspnet_compiler.exe. Эта тактика часто используется злоумышленниками для того, чтобы на начальном этапе закрепиться в системе. Поскольку Корпорация Майкрософт усиливает защиту от вредоносных макросов Office, злоумышленники, вероятно, все чаще будут использовать такие типы файлов, как WSF, для доставки вредоносных программ.
Чтобы снизить риск, связанный с такими угрозами, как AsyncRAT, пользователям рекомендуется избегать открытия файлов из неизвестных источников, особенно полученных по электронной почте. Организациям рекомендуется проводить обучение сотрудников по вопросам безопасности и внедрять защищенный веб-шлюз с расширенными возможностями защиты от угроз для сканирования и обнаружения вредоносных файлов в режиме реального времени, тем самым повышая общую безопасность.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста - об AsyncRAT, сложной разновидности вредоносного ПО, предназначенной для компрометации компьютерных систем и кражи конфиденциальных данных. В тексте обсуждается цепочка заражения, связанная с AsyncRAT, методы обхода мер безопасности и различные типы файлов, которые он использует для распространения и уклонения от обнаружения. Кроме того, в нем рассказывается о процессе выполнения AsyncRAT, важности информированности пользователей для снижения рисков и рекомендуемых мерах безопасности для отдельных лиц и организаций для повышения их уровня безопасности.
-----
AsyncRAT представляет собой сложный вариант вредоносного ПО, предназначенный для компрометации компьютерных систем и кражи конфиденциальных данных. Лаборатория McAfee недавно обнаружила новую цепочку заражения, связанную с AsyncRAT, что подчеркивает его опасные возможности и методы обхода, которые он использует для обхода мер безопасности. Вредоносная программа использует различные типы файлов, включая PowerShell, Windows Script File (WSF), VBScript (VBS) и другие, встроенные в вредоносный HTML-файл, чтобы избежать обнаружения антивирусным программным обеспечением и способствовать его распространению.
Процесс заражения начинается со спам-письма, содержащего вложенную HTML-страницу. Когда пользователь открывает HTML-страницу, автоматически загружается файл сценария Windows (WSF). WSF-файл имеет хитроумное название, чтобы отображаться в качестве идентификатора заказа, создавая ощущение законности, позволяющее обманом заставить пользователей выполнить его. После запуска вредоносная программа продолжает работать автономно, не требуя дальнейшего взаимодействия с пользователем. Последующие этапы заражения включают в себя развертывание скриптов Visual Basic (VBS), JavaScript (JS), пакетных (BAT), текстовых (TXT) и PowerShell (PS1) файлов, что в конечном итоге приводит к целенаправленному внедрению процесса aspnet_compiler.exe.
При открытии спам-письма получатель перенаправляется на веб-ссылку, встроенную в содержимое письма, которая запускает открытие HTML-страницы. Это действие запускает загрузку WSF-файла, запуская цепочку событий, которые могут нанести вред системе. Файл WSF, замаскированный под документ, связанный с заказом, скрывает злой умысел и запускается без вмешательства пользователя.
Основной сценарий выполнения вредоносной программы, "t.ps1", сценарий PowerShell, отвечает за процесс внедрения, нацеленный на aspnet_compiler.exe. Кроме того, DLL-файл, содержащий ConfuserEx и идентифицированный как "NewPE2.В процессе задействован PE" с методом выполнения "Execute".
Подводя итог процессу выполнения AsyncRAT, можно сказать, что ключевые этапы включают в себя начальный запуск с помощью HTML-файла, загрузку вредоносного WSF-файла, выполнение различных сценариев и, в конечном счете, ввод окончательной полезной нагрузки в aspnet_compiler.exe. Эта тактика часто используется злоумышленниками для того, чтобы на начальном этапе закрепиться в системе. Поскольку Корпорация Майкрософт усиливает защиту от вредоносных макросов Office, злоумышленники, вероятно, все чаще будут использовать такие типы файлов, как WSF, для доставки вредоносных программ.
Чтобы снизить риск, связанный с такими угрозами, как AsyncRAT, пользователям рекомендуется избегать открытия файлов из неизвестных источников, особенно полученных по электронной почте. Организациям рекомендуется проводить обучение сотрудников по вопросам безопасности и внедрять защищенный веб-шлюз с расширенными возможностями защиты от угроз для сканирования и обнаружения вредоносных файлов в режиме реального времени, тем самым повышая общую безопасность.
#ParsedReport #CompletenessHigh
09-05-2024
FIN7 Uses Trusted Brands and Sponsored Google Ads to Distribute MSIX Payloads
https://www.esentire.com/blog/fin7-uses-trusted-brands-and-sponsored-google-ads-to-distribute-msix-payloads
Report completeness: High
Actors/Campaigns:
Carbanak (motivation: financially_motivated)
Threats:
Anydesk_tool
Blackrock
Lizar_loader
Netsupportmanager_rat
Process_injection_technique
Victims:
Anydesk, Winscp, Blackrock, Asana, Concur, The wall street journal, Workable, Google meet
Geo:
Apac, America, Russia, Emea
ChatGPT TTPs:
T1566, T1204, T1059, T1218, T1060, T1562, T1105, T1027, T1055
IOCs:
Url: 3
Path: 3
Domain: 51
File: 3
Hash: 5
Command: 1
IP: 6
Soft:
WinSCP, curl, Active Directory
Algorithms:
zip, base64, xor, md5
Languages:
powershell, python
Links:
09-05-2024
FIN7 Uses Trusted Brands and Sponsored Google Ads to Distribute MSIX Payloads
https://www.esentire.com/blog/fin7-uses-trusted-brands-and-sponsored-google-ads-to-distribute-msix-payloads
Report completeness: High
Actors/Campaigns:
Carbanak (motivation: financially_motivated)
Threats:
Anydesk_tool
Blackrock
Lizar_loader
Netsupportmanager_rat
Process_injection_technique
Victims:
Anydesk, Winscp, Blackrock, Asana, Concur, The wall street journal, Workable, Google meet
Geo:
Apac, America, Russia, Emea
ChatGPT TTPs:
do not use without manual checkT1566, T1204, T1059, T1218, T1060, T1562, T1105, T1027, T1055
IOCs:
Url: 3
Path: 3
Domain: 51
File: 3
Hash: 5
Command: 1
IP: 6
Soft:
WinSCP, curl, Active Directory
Algorithms:
zip, base64, xor, md5
Languages:
powershell, python
Links:
https://github.com/esThreatIntelligence/iocs/blob/main/FIN7/FIN7\_IOCs\_5-3-2024.txteSentire
FIN7 Uses Trusted Brands and Sponsored Google Ads to Distribute MSIX Payloads
Learn more about FIN7 using trusted brands and sponsored Google Ads to distribute MSIX payloads and get security recommendations from our Threat Response Unit (TRU) to protect your business from this cyber threat.
CTT Report Hub
#ParsedReport #CompletenessHigh 09-05-2024 FIN7 Uses Trusted Brands and Sponsored Google Ads to Distribute MSIX Payloads https://www.esentire.com/blog/fin7-uses-trusted-brands-and-sponsored-google-ads-to-distribute-msix-payloads Report completeness: High…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что подразделение eSentire Threat Response Unit (TRU) занимается повышением устойчивости организации за счет использования возможностей поиска, исследования и обнаружения угроз для защиты от известных и неизвестных угроз. В частности, в нем освещаются инциденты, связанные с финансово мотивированной группой угроз FIN7 из России, и их обманная тактика, включая использование вредоносных веб-сайтов, выдающих себя за популярные бренды, для доставки полезных вредоносных программ, таких как NetSupport RAT и DiceLoader.
-----
В апреле 2024 года TRU из eSentire выявил серию инцидентов, связанных с FIN7, финансово мотивированной террористической группой из России, действующей с 2013 года. Эти инциденты были связаны, в частности, с использованием вредоносных веб-сайтов, выдающих себя за популярные бренды, такие как AnyDesk, WinSCP, BlackRock и Google Meet. Злоумышленники использовали обманную тактику, в том числе поддельные расширения для браузера, распространяемые через спонсируемую рекламу Google, для доставки жертвам вредоносных программ, таких как NetSupport RAT и DiceLoader.
В первом случае цепочка заражения NetSupport RAT началась с того, что пользователи загрузили поддельное расширение для браузера, предположительно в формате MSIX. После проверки пакет MSIX содержал сценарий PowerShell, предназначенный для сбора системной информации, взаимодействия с сервером управления (C2), а также загрузки и выполнения полезной нагрузки NetSupport RAT. Злоумышленник организовал последовательность команд, чтобы обеспечить устойчивость скомпрометированной системы и успешно запустить вредоносное ПО.
Во втором случае аналогичная цепочка заражения развернулась, когда NetSupport RAT был запущен через поддельный установщик MSIX, полученный с вредоносного веб-сайта. Впоследствии злоумышленник использовал NetSupport RAT для сбора системных данных и выполнения дополнительной полезной нагрузки, включая полезную нагрузку на основе Python (svchostc.py) и DiceLoader. Тактика злоумышленника включала в себя создание запланированных задач для сохранения и использование передовых методов, таких как внедрение процессов, чтобы избежать обнаружения и расширить контроль над скомпрометированным хостом.
Инциденты, связанные с FIN7, подчеркивают сохраняющийся уровень угроз и акцент группы на использовании надежных торговых марок и вводящей в заблуждение рекламы для распространения вредоносных программ. Злоупотребление подписанными файлами MSIX со стороны злоумышленников служит напоминанием о меняющейся тактике, используемой для обмана пользователей и обхода мер безопасности. Пользователям рекомендуется проявлять осторожность при просмотре спонсорской рекламы, проверять источники файлов перед загрузкой и проявлять бдительность в отношении тактик социальной инженерии, которые используют доверие к знакомым брендам.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что подразделение eSentire Threat Response Unit (TRU) занимается повышением устойчивости организации за счет использования возможностей поиска, исследования и обнаружения угроз для защиты от известных и неизвестных угроз. В частности, в нем освещаются инциденты, связанные с финансово мотивированной группой угроз FIN7 из России, и их обманная тактика, включая использование вредоносных веб-сайтов, выдающих себя за популярные бренды, для доставки полезных вредоносных программ, таких как NetSupport RAT и DiceLoader.
-----
В апреле 2024 года TRU из eSentire выявил серию инцидентов, связанных с FIN7, финансово мотивированной террористической группой из России, действующей с 2013 года. Эти инциденты были связаны, в частности, с использованием вредоносных веб-сайтов, выдающих себя за популярные бренды, такие как AnyDesk, WinSCP, BlackRock и Google Meet. Злоумышленники использовали обманную тактику, в том числе поддельные расширения для браузера, распространяемые через спонсируемую рекламу Google, для доставки жертвам вредоносных программ, таких как NetSupport RAT и DiceLoader.
В первом случае цепочка заражения NetSupport RAT началась с того, что пользователи загрузили поддельное расширение для браузера, предположительно в формате MSIX. После проверки пакет MSIX содержал сценарий PowerShell, предназначенный для сбора системной информации, взаимодействия с сервером управления (C2), а также загрузки и выполнения полезной нагрузки NetSupport RAT. Злоумышленник организовал последовательность команд, чтобы обеспечить устойчивость скомпрометированной системы и успешно запустить вредоносное ПО.
Во втором случае аналогичная цепочка заражения развернулась, когда NetSupport RAT был запущен через поддельный установщик MSIX, полученный с вредоносного веб-сайта. Впоследствии злоумышленник использовал NetSupport RAT для сбора системных данных и выполнения дополнительной полезной нагрузки, включая полезную нагрузку на основе Python (svchostc.py) и DiceLoader. Тактика злоумышленника включала в себя создание запланированных задач для сохранения и использование передовых методов, таких как внедрение процессов, чтобы избежать обнаружения и расширить контроль над скомпрометированным хостом.
Инциденты, связанные с FIN7, подчеркивают сохраняющийся уровень угроз и акцент группы на использовании надежных торговых марок и вводящей в заблуждение рекламы для распространения вредоносных программ. Злоупотребление подписанными файлами MSIX со стороны злоумышленников служит напоминанием о меняющейся тактике, используемой для обмана пользователей и обхода мер безопасности. Пользователям рекомендуется проявлять осторожность при просмотре спонсорской рекламы, проверять источники файлов перед загрузкой и проявлять бдительность в отношении тактик социальной инженерии, которые используют доверие к знакомым брендам.
#ParsedReport #CompletenessMedium
09-05-2024
Dark Web Profile: APT31
https://socradar.io/dark-web-profile-apt31
Report completeness: Medium
Actors/Campaigns:
Apt31 (motivation: cyber_espionage)
Threats:
Spear-phishing_technique
Dll_sideloading_technique
Rawdoor
Trochilus_rat
Evilosx
Dropcat
Cobalt_strike
Victims:
U.s. businesses, Political officials, Defense contractor subsidiaries, Activists and organizations critical of the chinese government, U.s. government officials, Umbrella movement activists
Industry:
Military, Government
Geo:
Chinese, Russian, American, China
CVEs:
CVE-2017-0005 [Vulners]
CVSS V3.1: 7.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows rt 8.1 (*)
- microsoft windows server 2012 (r2, -)
- microsoft windows 7 (*)
- microsoft windows 10 (1511, 1607, -)
- microsoft windows 8.1 (*)
have more...
TTPs:
Tactics: 1
Technics: 25
IOCs:
File: 1
Hash: 11
Algorithms:
sha256, aes, aes-256
Languages:
python
09-05-2024
Dark Web Profile: APT31
https://socradar.io/dark-web-profile-apt31
Report completeness: Medium
Actors/Campaigns:
Apt31 (motivation: cyber_espionage)
Threats:
Spear-phishing_technique
Dll_sideloading_technique
Rawdoor
Trochilus_rat
Evilosx
Dropcat
Cobalt_strike
Victims:
U.s. businesses, Political officials, Defense contractor subsidiaries, Activists and organizations critical of the chinese government, U.s. government officials, Umbrella movement activists
Industry:
Military, Government
Geo:
Chinese, Russian, American, China
CVEs:
CVE-2017-0005 [Vulners]
CVSS V3.1: 7.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows rt 8.1 (*)
- microsoft windows server 2012 (r2, -)
- microsoft windows 7 (*)
- microsoft windows 10 (1511, 1607, -)
- microsoft windows 8.1 (*)
have more...
TTPs:
Tactics: 1
Technics: 25
IOCs:
File: 1
Hash: 11
Algorithms:
sha256, aes, aes-256
Languages:
python
SOCRadar® Cyber Intelligence Inc.
Dark Web Profile: APT31
Advanced Persistent Threat Group 31 (APT31), also known by aliases like ZIRCONIUM or Judgment Panda, represents a sophisticated cybersecurity threat with ties
CTT Report Hub
#ParsedReport #CompletenessMedium 09-05-2024 Dark Web Profile: APT31 https://socradar.io/dark-web-profile-apt31 Report completeness: Medium Actors/Campaigns: Apt31 (motivation: cyber_espionage) Threats: Spear-phishing_technique Dll_sideloading_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея: APT31, изощренная группа по борьбе с киберугрозами, которая, как полагают, действует от имени правительства Китая, занимается кибершпионажем, целенаправленными атаками и передовой тактикой сбора разведданных в поддержку национальных интересов Китая, что создает серьезную проблему для глобальных усилий в области кибербезопасности.
-----
APT31, также известная как ZIRCONIUM или Judgment Panda, представляет собой очень сложную угрозу кибербезопасности, которая, как полагают, действует от имени правительства Китая. APT31 занимается кибершпионажем и целенаправленными атаками для сбора разведданных в поддержку национальных интересов Китая. В своей деятельности они используют передовые тактики, такие как внедрение вредоносных программ, кампании по борьбе с фишингом и использование уязвимостей нулевого дня, что создает серьезную проблему для глобальных усилий по обеспечению кибербезопасности.
Недавно Министерство юстиции Соединенных Штатов обнародовало обвинительный акт, в котором семи лицам, связанным с APT31, предъявлены обвинения в заговоре с целью совершения компьютерных вторжений и мошенничества с использованием электронных средств. Считается, что эти люди являются частью хакерской группы APT31, поддерживающей цели Министерства государственной безопасности Китая, связанные с транснациональными репрессиями, экономическим шпионажем и деятельностью иностранной разведки. В обвинительном заключении описывается тактика APT31, в том числе использование вредоносных электронных писем, замаскированных под законные новостные статьи, для адресной рассылки отдельным лицам по всему миру. Отправив более 10 000 таких электронных писем, APT31 отслеживала конфиденциальную информацию и проводила сложные целенаправленные атаки, компрометируя сети и аккаунты жертв.
В обвинительном заключении также говорится, что APT31 нацеливалась на правительственных чиновников США, политических деятелей, сотрудников избирательных кампаний и компаний из различных отраслей с целью сбора экономических планов, коммерческой тайны и интеллектуальной собственности. Кроме того, группа преследовала диссидентов и отдельных лиц, критикующих китайское правительство по всему миру, осуществляя слежку и проникновение в их сети.
APT31 имеет связи с Департаментом государственной безопасности провинции Хубэй в Ухане и учредил подставную компанию под названием "Wuhan XRZ" для сокрытия своих киберопераций. Группа использовала такие тактические приемы, как рассылка электронных писем с отслеживанием, замаскированных под сообщения американских журналистов, нацеливание членов семей жертв на использование домашних маршрутизаторов и переход к использованию взломанных версий Cobalt Strike для развертывания вредоносного ПО. Хакерский подход APT31 включал в себя нацеливание на дочерние компании, поставщиков управляемых услуг и даже супругов основных целей, чтобы получить первоначальный доступ и в конечном итоге скомпрометировать сети.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея: APT31, изощренная группа по борьбе с киберугрозами, которая, как полагают, действует от имени правительства Китая, занимается кибершпионажем, целенаправленными атаками и передовой тактикой сбора разведданных в поддержку национальных интересов Китая, что создает серьезную проблему для глобальных усилий в области кибербезопасности.
-----
APT31, также известная как ZIRCONIUM или Judgment Panda, представляет собой очень сложную угрозу кибербезопасности, которая, как полагают, действует от имени правительства Китая. APT31 занимается кибершпионажем и целенаправленными атаками для сбора разведданных в поддержку национальных интересов Китая. В своей деятельности они используют передовые тактики, такие как внедрение вредоносных программ, кампании по борьбе с фишингом и использование уязвимостей нулевого дня, что создает серьезную проблему для глобальных усилий по обеспечению кибербезопасности.
Недавно Министерство юстиции Соединенных Штатов обнародовало обвинительный акт, в котором семи лицам, связанным с APT31, предъявлены обвинения в заговоре с целью совершения компьютерных вторжений и мошенничества с использованием электронных средств. Считается, что эти люди являются частью хакерской группы APT31, поддерживающей цели Министерства государственной безопасности Китая, связанные с транснациональными репрессиями, экономическим шпионажем и деятельностью иностранной разведки. В обвинительном заключении описывается тактика APT31, в том числе использование вредоносных электронных писем, замаскированных под законные новостные статьи, для адресной рассылки отдельным лицам по всему миру. Отправив более 10 000 таких электронных писем, APT31 отслеживала конфиденциальную информацию и проводила сложные целенаправленные атаки, компрометируя сети и аккаунты жертв.
В обвинительном заключении также говорится, что APT31 нацеливалась на правительственных чиновников США, политических деятелей, сотрудников избирательных кампаний и компаний из различных отраслей с целью сбора экономических планов, коммерческой тайны и интеллектуальной собственности. Кроме того, группа преследовала диссидентов и отдельных лиц, критикующих китайское правительство по всему миру, осуществляя слежку и проникновение в их сети.
APT31 имеет связи с Департаментом государственной безопасности провинции Хубэй в Ухане и учредил подставную компанию под названием "Wuhan XRZ" для сокрытия своих киберопераций. Группа использовала такие тактические приемы, как рассылка электронных писем с отслеживанием, замаскированных под сообщения американских журналистов, нацеливание членов семей жертв на использование домашних маршрутизаторов и переход к использованию взломанных версий Cobalt Strike для развертывания вредоносного ПО. Хакерский подход APT31 включал в себя нацеливание на дочерние компании, поставщиков управляемых услуг и даже супругов основных целей, чтобы получить первоначальный доступ и в конечном итоге скомпрометировать сети.
#ParsedReport #CompletenessMedium
10-05-2024
APT28 campaign targeting Polish government institutions
https://cert.pl/en/posts/2024/05/apt28-campaign
Report completeness: Medium
Actors/Campaigns:
Fancy_bear
Threats:
Dll_sideloading_technique
Headlace
Victims:
Polish government institutions
Industry:
Government
Geo:
Russian, Polish, Ukrainian
ChatGPT TTPs:
T1566, T1071, T1027, T1574, T1059, T1041
IOCs:
File: 36
Url: 37
Hash: 36
Soft:
Microsoft Edge
Algorithms:
zip, base64, sha256
10-05-2024
APT28 campaign targeting Polish government institutions
https://cert.pl/en/posts/2024/05/apt28-campaign
Report completeness: Medium
Actors/Campaigns:
Fancy_bear
Threats:
Dll_sideloading_technique
Headlace
Victims:
Polish government institutions
Industry:
Government
Geo:
Russian, Polish, Ukrainian
ChatGPT TTPs:
do not use without manual checkT1566, T1071, T1027, T1574, T1059, T1041
IOCs:
File: 36
Url: 37
Hash: 36
Soft:
Microsoft Edge
Algorithms:
zip, base64, sha256
cert.pl
APT28 campaign targeting Polish government institutions
CERT Polska is observing a malicious e-mail campaign targeting Polish government institutions conducted by the APT28 group.
CTT Report Hub
#ParsedReport #CompletenessMedium 10-05-2024 APT28 campaign targeting Polish government institutions https://cert.pl/en/posts/2024/05/apt28-campaign Report completeness: Medium Actors/Campaigns: Fancy_bear Threats: Dll_sideloading_technique Headlace …
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что масштабная вредоносная кампания, предположительно связанная с APT28 и российским ГРУ, была нацелена на польские правительственные учреждения, используя такие методы, как боковая загрузка DLL и использование популярных сервисов для перенаправления, чтобы избежать обнаружения и снизить затраты.
-----
Команды CERT Polska (CSIRT NASK) и CSIRT MON недавно обнаружили масштабную кампанию вредоносного ПО, направленную против польских государственных учреждений. Эта кампания имеет сходство с предыдущими атаками на украинские организации и, как полагают, связана с набором действий APT28. Известно, что APT28 связан с Главным управлением Генерального штаба Вооруженных сил Российской Федерации (ГРУ).
Злоумышленники использовали ссылку, которая вела на run.mocky.io, популярный среди разработчиков бесплатный сервис для тестирования API. Затем эта ссылка была перенаправлена на другой веб-сайт, webhook.site, который позволял регистрировать все запросы по сгенерированному адресу и настраивать ответы. Используя широко используемые сервисы вместо создания собственных доменов, злоумышленники стремились избежать обнаружения и снизить операционные расходы - тенденция, наблюдаемая среди различных групп APT.
Одна из тактик, использованных в этой кампании, заключалась в дополнительной загрузке библиотеки DLL, когда безобидный файл, IMG-238279780.jpg.exe в данном случае замаскированный под калькулятор, пытался загрузить замененный WindowsCodecs.библиотека dll во время запуска. Роль библиотеки DLL заключалась в выполнении скрипта BAT, который собирал информацию о компьютере жертвы, включая IP-адрес и список файлов в определенных папках, которые затем отправлялись на сервер управления (C2). Весьма вероятно, что разные компьютеры-жертвы получили различные сценарии для конечных точек, разработанные злоумышленниками.
Ход атаки был представлен на диаграмме, и было установлено, что он повторяет ход атаки вредоносного по HEADLACE, что указывает на сложную и хорошо организованную операцию, направленную против государственных учреждений. Использование устоявшихся методов, таких как дополнительная загрузка библиотек DLL и использование популярных сервисов для перенаправления, подчеркивает эволюцию тактики, используемой злоумышленниками для проведения успешных кибератак.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что масштабная вредоносная кампания, предположительно связанная с APT28 и российским ГРУ, была нацелена на польские правительственные учреждения, используя такие методы, как боковая загрузка DLL и использование популярных сервисов для перенаправления, чтобы избежать обнаружения и снизить затраты.
-----
Команды CERT Polska (CSIRT NASK) и CSIRT MON недавно обнаружили масштабную кампанию вредоносного ПО, направленную против польских государственных учреждений. Эта кампания имеет сходство с предыдущими атаками на украинские организации и, как полагают, связана с набором действий APT28. Известно, что APT28 связан с Главным управлением Генерального штаба Вооруженных сил Российской Федерации (ГРУ).
Злоумышленники использовали ссылку, которая вела на run.mocky.io, популярный среди разработчиков бесплатный сервис для тестирования API. Затем эта ссылка была перенаправлена на другой веб-сайт, webhook.site, который позволял регистрировать все запросы по сгенерированному адресу и настраивать ответы. Используя широко используемые сервисы вместо создания собственных доменов, злоумышленники стремились избежать обнаружения и снизить операционные расходы - тенденция, наблюдаемая среди различных групп APT.
Одна из тактик, использованных в этой кампании, заключалась в дополнительной загрузке библиотеки DLL, когда безобидный файл, IMG-238279780.jpg.exe в данном случае замаскированный под калькулятор, пытался загрузить замененный WindowsCodecs.библиотека dll во время запуска. Роль библиотеки DLL заключалась в выполнении скрипта BAT, который собирал информацию о компьютере жертвы, включая IP-адрес и список файлов в определенных папках, которые затем отправлялись на сервер управления (C2). Весьма вероятно, что разные компьютеры-жертвы получили различные сценарии для конечных точек, разработанные злоумышленниками.
Ход атаки был представлен на диаграмме, и было установлено, что он повторяет ход атаки вредоносного по HEADLACE, что указывает на сложную и хорошо организованную операцию, направленную против государственных учреждений. Использование устоявшихся методов, таких как дополнительная загрузка библиотек DLL и использование популярных сервисов для перенаправления, подчеркивает эволюцию тактики, используемой злоумышленниками для проведения успешных кибератак.
#ParsedReport #CompletenessHigh
10-05-2024
Kimsuky APT attack discovered using Facebook and MS management console
https://www.genians.co.kr/blog/threat_intelligence/facebook
Report completeness: High
Actors/Campaigns:
Kimsuky
Threats:
Reconshark
Spear-phishing_technique
Babyshark
Victims:
Facebook, Meta
Geo:
Usa, Korea, Germany, India, Korean, Japan, Gyeonggi-do, American, Japanese, German
ChatGPT TTPs:
T1566, T1071, T1105, T1204, T1053, T1027, T1557
IOCs:
File: 26
Domain: 6
IP: 6
Command: 1
Path: 1
Url: 27
Hash: 9
Soft:
Slack, task scheduler, WordPress, Microsoft OneDrive
Algorithms:
md5
Functions:
CreateObject, CreateTextFile
Win API:
gpath , bp, ( bpath ): E, GetObject, ExRuList
Languages:
php
10-05-2024
Kimsuky APT attack discovered using Facebook and MS management console
https://www.genians.co.kr/blog/threat_intelligence/facebook
Report completeness: High
Actors/Campaigns:
Kimsuky
Threats:
Reconshark
Spear-phishing_technique
Babyshark
Victims:
Facebook, Meta
Geo:
Usa, Korea, Germany, India, Korean, Japan, Gyeonggi-do, American, Japanese, German
ChatGPT TTPs:
do not use without manual checkT1566, T1071, T1105, T1204, T1053, T1027, T1557
IOCs:
File: 26
Domain: 6
IP: 6
Command: 1
Path: 1
Url: 27
Hash: 9
Soft:
Slack, task scheduler, WordPress, Microsoft OneDrive
Algorithms:
md5
Functions:
CreateObject, CreateTextFile
Win API:
gpath , bp, ( bpath ): E, GetObject, ExRuList
Languages:
php
www.genians.co.kr
페이스북과 MS관리콘솔을 활용한 Kimsuky APT 공격 발견
지니언스 시큐리티 센터는 Kimsuky APT 그룹이 새로운 공격 전략을 도입한 것을 발견했습니다.이번 APT 공격은 페이스북(Facebook) 서비스가 초기 침투에 활용됐습니다.
CTT Report Hub
#ParsedReport #CompletenessHigh 10-05-2024 Kimsuky APT attack discovered using Facebook and MS management console https://www.genians.co.kr/blog/threat_intelligence/facebook Report completeness: High Actors/Campaigns: Kimsuky Threats: Reconshark Spear…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Группа Kimsuky APT предприняла сложную кибератаку через Facebook и Microsoft Management Console, выдавая себя за государственных чиновников, чтобы атаковать лиц, занимающихся правами человека в Северной Корее и выступающих против Северной Кореи. Злоумышленники использовали тактику скрытого фишинга через Facebook Messenger для распространения вредоносных файлов, замаскированных под конкретные документы, используя вредоносное ПО OneDrive и ReconShark на базе MSC. Центр безопасности Genius (GSC) и Корейское агентство интернет-безопасности (KISA) совместно проанализировали эту новую стратегию атаки и отреагировали на нее. Угроза включала в себя тактику обмана, подключения к серверу C2 и макрофункции, что подчеркивало необходимость в решениях безопасности, основанных на поведении, таких как обнаружение конечных точек и реагирование на них (EDR).
-----
Группа Kimsuky APT провела кибератаку с использованием Facebook и Microsoft Management Console (MSC), выдавая себя за северокорейского чиновника по правам человека, с целью выявления лиц, занимающихся вопросами прав человека в Северной Корее и выступающих против Северной Кореи.
Для установления связи и установления доверия с целями были проведены фишинговые атаки через Facebook Messenger. Был предоставлен общий доступ к вредоносным файлам, замаскированным под определенные файлы документов с расширением .msc, что привело к развертыванию вредоносного ПО ReconShark.
Злоумышленники использовали обманную тактику, такую как сокрытие вредоносных команд в документах под названием "Режим безопасности", и подключились к хосту C2, зарегистрированному индийской службой хостинга, с соответствующим IP-адресом в Германии.
Атака APT включала использование облачного сервиса OneDrive, планирование задач для сохранения и выполнение команд повторной маркировки с помощью макрофункций, распространяемых через вредоносные документы, связанные с Северной Кореей.
Для борьбы с локализованными угрозами рекомендуется использовать специализированные решения для обнаружения и реагирования на конечные точки (EDR), о чем свидетельствуют кампании "BabyShark" и "ReconShark", нацеленные на организации в Корее и Японии.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Группа Kimsuky APT предприняла сложную кибератаку через Facebook и Microsoft Management Console, выдавая себя за государственных чиновников, чтобы атаковать лиц, занимающихся правами человека в Северной Корее и выступающих против Северной Кореи. Злоумышленники использовали тактику скрытого фишинга через Facebook Messenger для распространения вредоносных файлов, замаскированных под конкретные документы, используя вредоносное ПО OneDrive и ReconShark на базе MSC. Центр безопасности Genius (GSC) и Корейское агентство интернет-безопасности (KISA) совместно проанализировали эту новую стратегию атаки и отреагировали на нее. Угроза включала в себя тактику обмана, подключения к серверу C2 и макрофункции, что подчеркивало необходимость в решениях безопасности, основанных на поведении, таких как обнаружение конечных точек и реагирование на них (EDR).
-----
Группа Kimsuky APT провела кибератаку с использованием Facebook и Microsoft Management Console (MSC), выдавая себя за северокорейского чиновника по правам человека, с целью выявления лиц, занимающихся вопросами прав человека в Северной Корее и выступающих против Северной Кореи.
Для установления связи и установления доверия с целями были проведены фишинговые атаки через Facebook Messenger. Был предоставлен общий доступ к вредоносным файлам, замаскированным под определенные файлы документов с расширением .msc, что привело к развертыванию вредоносного ПО ReconShark.
Злоумышленники использовали обманную тактику, такую как сокрытие вредоносных команд в документах под названием "Режим безопасности", и подключились к хосту C2, зарегистрированному индийской службой хостинга, с соответствующим IP-адресом в Германии.
Атака APT включала использование облачного сервиса OneDrive, планирование задач для сохранения и выполнение команд повторной маркировки с помощью макрофункций, распространяемых через вредоносные документы, связанные с Северной Кореей.
Для борьбы с локализованными угрозами рекомендуется использовать специализированные решения для обнаружения и реагирования на конечные точки (EDR), о чем свидетельствуют кампании "BabyShark" и "ReconShark", нацеленные на организации в Корее и Японии.
#ParsedReport #CompletenessMedium
09-05-2024
Malicious code being distributed disguised as MS Office crack (XMRig, OrcusRAT, etc.)
https://asec.ahnlab.com/ko/65307
Report completeness: Medium
Threats:
Xmrig_miner
Orcusrat
Hvnc_tool
Purecryptor
Trojan/win.antiav.c5619969
Dropper/win.3proxy.c5619967
Trojan/win.3proxy.c5619966
Infostealer/mdp.behavior.m1965
Antivm
Malware/mdp.behavior.m3108
Victims:
Domestic users
Geo:
Korea
ChatGPT TTPs:
T1027, T1566.001, T1059.001, T1562.001, T1053.005, T1574.002, T1071.001, T1090, T1027.005, T1047, have more...
IOCs:
Domain: 4
File: 77
Hash: 13
Url: 6
Soft:
task scheduler, Telegram, Mastodon, VALORANT, Photoshop, openssl, 3Proxy
Algorithms:
base64, md5, 7zip
Languages:
powershell
09-05-2024
Malicious code being distributed disguised as MS Office crack (XMRig, OrcusRAT, etc.)
https://asec.ahnlab.com/ko/65307
Report completeness: Medium
Threats:
Xmrig_miner
Orcusrat
Hvnc_tool
Purecryptor
Trojan/win.antiav.c5619969
Dropper/win.3proxy.c5619967
Trojan/win.3proxy.c5619966
Infostealer/mdp.behavior.m1965
Antivm
Malware/mdp.behavior.m3108
Victims:
Domestic users
Geo:
Korea
ChatGPT TTPs:
do not use without manual checkT1027, T1566.001, T1059.001, T1562.001, T1053.005, T1574.002, T1071.001, T1090, T1027.005, T1047, have more...
IOCs:
Domain: 4
File: 77
Hash: 13
Url: 6
Soft:
task scheduler, Telegram, Mastodon, VALORANT, Photoshop, openssl, 3Proxy
Algorithms:
base64, md5, 7zip
Languages:
powershell
ASEC
MS 오피스 크랙을 위장하여 유포 중인 악성코드 (XMRig, OrcusRAT 등) - ASEC
AhnLab SEcurity intelligence Center(ASEC) 에서는 과거 “한글 워드 프로세서 크랙으로 위장하여 유포 중인 Orcus RAT” [1] 포스팅을 통해 국내 사용자들을 대상으로 RAT 및 코인 마이너를 유포하는 공격 사례를 공개한 바 있다. 공격자는 최근까지도 다운로더, 코인마이너, RAT, Proxy, AntiAV 등 다양한 악성코드들을 새롭게 제작해 유포하고 있다. 일반적으로 윈도우, 오피스 정품 인증 도구나 한글 워드 프로세서와…
CTT Report Hub
#ParsedReport #CompletenessMedium 09-05-2024 Malicious code being distributed disguised as MS Office crack (XMRig, OrcusRAT, etc.) https://asec.ahnlab.com/ko/65307 Report completeness: Medium Threats: Xmrig_miner Orcusrat Hvnc_tool Purecryptor Trojan/…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста - подробное описание случая атаки на отечественных пользователей, связанной с распространением троянских программ удаленного доступа (RATs) и майнеров монет. Злоумышленники маскируют вредоносные коды под взломанные версии легального программного обеспечения, чтобы заражать системы, особенно в Корее, и поддерживать их работоспособность с помощью планировщиков задач и обновлений вредоносных программ. Вредоносное ПО включает в себя различные функциональные возможности, такие как кейлоггинг, кража информации и майнинг. Из-за агрессивной тактики распространения происходит постоянное заражение вредоносными программами, и пользователям рекомендуется принимать меры предосторожности для предотвращения и удаления заражений.
-----
В тексте описывается случай атаки на отечественных пользователей, связанной с распространением троянских программ удаленного доступа (RATs) и майнеров монет. Злоумышленники создают и распространяют различные новые вредоносные коды, такие как Downloader, Coin Miner, RAT, Proxy и AntiAV, маскируя их под взломанные версии законного программного обеспечения, такого как Windows или Office activation tools. Таким образом, они заражают многие системы, особенно в Корее.
Злоумышленники обновляют вредоносное ПО, регистрируя планировщик задач на зараженных системах, который затем устанавливает вредоносное ПО, выполняя команды Powershell. Если планировщик задач не удаляется, в систему продолжает устанавливаться новое вредоносное ПО. Текущий продукт версии 3 может очищать установленный вредоносным ПО планировщик заданий, предотвращая постоянную установку вредоносных программ, когда пользователи неосознанно устанавливают вредоносные программы, замаскированные под трещины. Однако системы без версии 3 остаются уязвимыми для постоянных заражений вредоносными программами.
Злоумышленники распространяют вредоносное ПО, замаскированное под MS Office cracks, через веб-жесткие диски или торренты. Вредоносное ПО, разработанное с использованием .NET и замаскированное для маскировки, получает доступ к Telegram для получения адресов загрузки. Недавно распространенная вредоносная программа содержит адреса Telegram и Mastodon, а также строки, используемые для адресов Google Диска или GitHub. При расшифровке этих строк обнаруживаются команды Powershell, ответственные за установку различных вредоносных кодов.
Во время установки вредоносная программа копирует программу Powershell по определенному пути, загружает сжатые файлы с GitHub и Google Диска и распаковывает их с помощью программы 7zip. Ключевая вредоносная программа под названием Updater поддерживает постоянство, устанавливаясь под именем "software_reporter_tool.exe" и регистрируя планировщик задач для непрерывной работы.
Вредоносная программа включает в себя Orcus RAT для функций удаленного управления, таких как сбор системной информации и выполнение команд, а также возможности кейлоггинга и кражи информации. XMRig поддерживает майнинг и включает опции для остановки майнинга при выполнении определенных процессов. Вредоносная программа также использует 3Proxy для реализации функций прокси-сервера, внедряя его в обычные процессы.
Злоумышленники обходят диагностику файлов, регулярно распространяя новые вредоносные программы, что приводит к продолжению заражения даже после удаления предыдущих вредоносных программ. Пользователям рекомендуется быть осторожными с исполняемыми файлами с сайтов обмена данными, загружать программы из официальных источников и обновлять продукты безопасности, такие как V3, для предотвращения заражения. Для зараженных систем рекомендуется установить версию 3 и восстановить планировщик задач, чтобы остановить цикл установки вредоносного ПО.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста - подробное описание случая атаки на отечественных пользователей, связанной с распространением троянских программ удаленного доступа (RATs) и майнеров монет. Злоумышленники маскируют вредоносные коды под взломанные версии легального программного обеспечения, чтобы заражать системы, особенно в Корее, и поддерживать их работоспособность с помощью планировщиков задач и обновлений вредоносных программ. Вредоносное ПО включает в себя различные функциональные возможности, такие как кейлоггинг, кража информации и майнинг. Из-за агрессивной тактики распространения происходит постоянное заражение вредоносными программами, и пользователям рекомендуется принимать меры предосторожности для предотвращения и удаления заражений.
-----
В тексте описывается случай атаки на отечественных пользователей, связанной с распространением троянских программ удаленного доступа (RATs) и майнеров монет. Злоумышленники создают и распространяют различные новые вредоносные коды, такие как Downloader, Coin Miner, RAT, Proxy и AntiAV, маскируя их под взломанные версии законного программного обеспечения, такого как Windows или Office activation tools. Таким образом, они заражают многие системы, особенно в Корее.
Злоумышленники обновляют вредоносное ПО, регистрируя планировщик задач на зараженных системах, который затем устанавливает вредоносное ПО, выполняя команды Powershell. Если планировщик задач не удаляется, в систему продолжает устанавливаться новое вредоносное ПО. Текущий продукт версии 3 может очищать установленный вредоносным ПО планировщик заданий, предотвращая постоянную установку вредоносных программ, когда пользователи неосознанно устанавливают вредоносные программы, замаскированные под трещины. Однако системы без версии 3 остаются уязвимыми для постоянных заражений вредоносными программами.
Злоумышленники распространяют вредоносное ПО, замаскированное под MS Office cracks, через веб-жесткие диски или торренты. Вредоносное ПО, разработанное с использованием .NET и замаскированное для маскировки, получает доступ к Telegram для получения адресов загрузки. Недавно распространенная вредоносная программа содержит адреса Telegram и Mastodon, а также строки, используемые для адресов Google Диска или GitHub. При расшифровке этих строк обнаруживаются команды Powershell, ответственные за установку различных вредоносных кодов.
Во время установки вредоносная программа копирует программу Powershell по определенному пути, загружает сжатые файлы с GitHub и Google Диска и распаковывает их с помощью программы 7zip. Ключевая вредоносная программа под названием Updater поддерживает постоянство, устанавливаясь под именем "software_reporter_tool.exe" и регистрируя планировщик задач для непрерывной работы.
Вредоносная программа включает в себя Orcus RAT для функций удаленного управления, таких как сбор системной информации и выполнение команд, а также возможности кейлоггинга и кражи информации. XMRig поддерживает майнинг и включает опции для остановки майнинга при выполнении определенных процессов. Вредоносная программа также использует 3Proxy для реализации функций прокси-сервера, внедряя его в обычные процессы.
Злоумышленники обходят диагностику файлов, регулярно распространяя новые вредоносные программы, что приводит к продолжению заражения даже после удаления предыдущих вредоносных программ. Пользователям рекомендуется быть осторожными с исполняемыми файлами с сайтов обмена данными, загружать программы из официальных источников и обновлять продукты безопасности, такие как V3, для предотвращения заражения. Для зараженных систем рекомендуется установить версию 3 и восстановить планировщик задач, чтобы остановить цикл установки вредоносного ПО.
#ParsedReport #CompletenessLow
09-05-2024
macOS Cuckoo Stealer \| Ensuring Detection and Defense as New Samples Rapidly Emerge
https://www.sentinelone.com/blog/macos-cuckoo-stealer-ensuring-detection-and-defense-as-new-samples-rapidly-emerge
Report completeness: Low
Threats:
Cuckoo_stealer
Amos_stealer
Realst
Meta_stealer
Applescript
Pandora
ChatGPT TTPs:
T1587, T1204, T1555, T1027, T1547, T1059, T1553
IOCs:
File: 3
Hash: 54
Soft:
macOS, Android, Gatekeeper, acOS ne, Telegram
Algorithms:
sha1, xor
Platforms:
intel, apple, arm, x86
09-05-2024
macOS Cuckoo Stealer \| Ensuring Detection and Defense as New Samples Rapidly Emerge
https://www.sentinelone.com/blog/macos-cuckoo-stealer-ensuring-detection-and-defense-as-new-samples-rapidly-emerge
Report completeness: Low
Threats:
Cuckoo_stealer
Amos_stealer
Realst
Meta_stealer
Applescript
Pandora
ChatGPT TTPs:
do not use without manual checkT1587, T1204, T1555, T1027, T1547, T1059, T1553
IOCs:
File: 3
Hash: 54
Soft:
macOS, Android, Gatekeeper, acOS ne, Telegram
Algorithms:
sha1, xor
Platforms:
intel, apple, arm, x86
SentinelOne
macOS Cuckoo Stealer | Ensuring Detection and Defense as New Samples Rapidly Emerge
Learn about the mechanics of macOS Cuckoo Stealer, discover extended indicators and ensure your organization remains protected.