CTT Report Hub
#ParsedReport #CompletenessHigh 13-05-2024 Kimsuky APT attack discovered using Facebook and MS management console https://www-genians-co-kr.translate.goog/blog/threat_intelligence/facebook?_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=en-US&_x_tr_pto=wapp Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста - подробный анализ недавней кибератаки, проведенной группой Kimsuky APT, которая использовала сложные тактики, такие как социальная инженерия через Facebook, размещение вредоносных файлов, замаскированных под законные документы, и использование нетрадиционных методов, таких как файлы MSC. В анализе подчеркивается сотрудничество между Genius Security Center (GSC) и Корейским агентством интернета и безопасности (KISA) в области анализа угроз и реагирования на них, что подчеркивает необходимость использования организациями решений безопасности, основанных на поведении, в дополнение к традиционным антивирусным сканерам.
-----
Группа Kimsuky APT применила новую стратегию атаки с использованием Facebook и консоли управления Microsoft, чтобы атаковать лиц, занимающихся вопросами прав человека и безопасности в Северной Корее.
Злоумышленники маскировались под государственного служащего и использовали тактику социальной инженерии в Facebook Messenger для доставки вредоносной информации с помощью поддельных удостоверений личности и вредоносных URL-ссылок, замаскированных под файлы документов.
Вредоносный файл с именем "msc", выдаваемый за документ о функциях безопасности, был использован для подключения к командно-диспетчерскому узлу с именем "brandwizer.co.in", расположенному в Германии.
Атака продолжалась с помощью таких задач, как "OneDriveUpdate", повторяющихся каждые 41 минуту, и использовала документы-приманки с названиями, относящимися к сфере безопасности Японии, чтобы заманить жертв.
Злоумышленники также использовали документы-приманки, такие как "warm.vbs", и удаленный скрипт под названием "ttt.hta" для сбора и отправки информации на сервер C2.
GSC сотрудничала с KISA для анализа угрозы и реагирования на нее, подчеркивая необходимость в решениях безопасности, основанных на поведении, наряду с защитой на основе сигнатур.
Более широкая тенденция использования фишинга и комбинаций вредоносных файлов при APT-атаках в Корее подчеркивает меняющийся ландшафт угроз и необходимость использования передовых решений безопасности, таких как EDR, для противодействия таким угрозам.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста - подробный анализ недавней кибератаки, проведенной группой Kimsuky APT, которая использовала сложные тактики, такие как социальная инженерия через Facebook, размещение вредоносных файлов, замаскированных под законные документы, и использование нетрадиционных методов, таких как файлы MSC. В анализе подчеркивается сотрудничество между Genius Security Center (GSC) и Корейским агентством интернета и безопасности (KISA) в области анализа угроз и реагирования на них, что подчеркивает необходимость использования организациями решений безопасности, основанных на поведении, в дополнение к традиционным антивирусным сканерам.
-----
Группа Kimsuky APT применила новую стратегию атаки с использованием Facebook и консоли управления Microsoft, чтобы атаковать лиц, занимающихся вопросами прав человека и безопасности в Северной Корее.
Злоумышленники маскировались под государственного служащего и использовали тактику социальной инженерии в Facebook Messenger для доставки вредоносной информации с помощью поддельных удостоверений личности и вредоносных URL-ссылок, замаскированных под файлы документов.
Вредоносный файл с именем "msc", выдаваемый за документ о функциях безопасности, был использован для подключения к командно-диспетчерскому узлу с именем "brandwizer.co.in", расположенному в Германии.
Атака продолжалась с помощью таких задач, как "OneDriveUpdate", повторяющихся каждые 41 минуту, и использовала документы-приманки с названиями, относящимися к сфере безопасности Японии, чтобы заманить жертв.
Злоумышленники также использовали документы-приманки, такие как "warm.vbs", и удаленный скрипт под названием "ttt.hta" для сбора и отправки информации на сервер C2.
GSC сотрудничала с KISA для анализа угрозы и реагирования на нее, подчеркивая необходимость в решениях безопасности, основанных на поведении, наряду с защитой на основе сигнатур.
Более широкая тенденция использования фишинга и комбинаций вредоносных файлов при APT-атаках в Корее подчеркивает меняющийся ландшафт угроз и необходимость использования передовых решений безопасности, таких как EDR, для противодействия таким угрозам.
#ParsedReport #CompletenessHigh
13-05-2024
Mallox affiliate leverages PureCrypter in MS-SQL exploitation campaigns
https://blog.sekoia.io/mallox-ransomware-affiliate-leverages-purecrypter-in-microsoft-sql-exploitation-campaigns
Report completeness: High
Actors/Campaigns:
8220_gang
Threats:
Targetcompany
Purecryptor
Xollam
Sqlshell_tool
Trigona
Crackmapexec_tool
Metasploit_tool
Purecoder_actor
Pureminer
Purelogs
Pure_clipper
Shadow_copies_delete_technique
Bcedit_tool
Victims:
High-revenue entities, Ms-sql servers
Industry:
Financial, E-commerce, Retail, Aerospace, Government
Geo:
Australia, Asian, Germany, Canada, Colombian, Seychelles, Qatar, Ukraine, Kazakhstan, London, Indian, Indonesia, England, Russia
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
T1110, T1486, T1490, T1218, T1553, T1041, T1071, T1105
IOCs:
File: 5
Command: 1
Url: 3
Domain: 1
Soft:
MS-SQL, Microsoft SQL, OneNote, Microsoft Defender, Ole Automation, Windows Defender, Telegram, bcdedit
Crypto:
bitcoin, tether
Algorithms:
cbc, aes
Win API:
EtwEventWrite, SeDebugPrivilege, SeTakeOwnershipPrivilege, Netbios
Languages:
powershell
Links:
13-05-2024
Mallox affiliate leverages PureCrypter in MS-SQL exploitation campaigns
https://blog.sekoia.io/mallox-ransomware-affiliate-leverages-purecrypter-in-microsoft-sql-exploitation-campaigns
Report completeness: High
Actors/Campaigns:
8220_gang
Threats:
Targetcompany
Purecryptor
Xollam
Sqlshell_tool
Trigona
Crackmapexec_tool
Metasploit_tool
Purecoder_actor
Pureminer
Purelogs
Pure_clipper
Shadow_copies_delete_technique
Bcedit_tool
Victims:
High-revenue entities, Ms-sql servers
Industry:
Financial, E-commerce, Retail, Aerospace, Government
Geo:
Australia, Asian, Germany, Canada, Colombian, Seychelles, Qatar, Ukraine, Kazakhstan, London, Indian, Indonesia, England, Russia
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1110, T1486, T1490, T1218, T1553, T1041, T1071, T1105
IOCs:
File: 5
Command: 1
Url: 3
Domain: 1
Soft:
MS-SQL, Microsoft SQL, OneNote, Microsoft Defender, Ole Automation, Windows Defender, Telegram, bcdedit
Crypto:
bitcoin, tether
Algorithms:
cbc, aes
Win API:
EtwEventWrite, SeDebugPrivilege, SeTakeOwnershipPrivilege, Netbios
Languages:
powershell
Links:
https://github.com/sandboxie-plus/Sandboxiehttps://github.com/protobuf-net/protobuf-netSekoia.io Blog
Mallox affiliate leverages PureCrypter in MS-SQL exploitation campaigns
Learn about the techniques used by the Mallox ransomware affiliate to compromise an MS-SQL server. Dive into our detailed technical analysis.
CTT Report Hub
#ParsedReport #CompletenessHigh 13-05-2024 Mallox affiliate leverages PureCrypter in MS-SQL exploitation campaigns https://blog.sekoia.io/mallox-ransomware-affiliate-leverages-purecrypter-in-microsoft-sql-exploitation-campaigns Report completeness: High…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в анализе кибератаки с использованием программы-вымогателя Mallox, с подробным описанием тактики злоумышленника, эволюции операций программы-вымогателя, включая стратегии двойного вымогательства, схемы коммуникации, стратегии нацеливания, детали инфраструктуры и филиалы, вовлеченные во вредоносную деятельность. Анализ также вызывает обеспокоенность по поводу потенциального участия конкретной организации в деятельности по отмыванию денег, подчеркивая меняющийся характер киберугроз и необходимость принятия упреждающих мер кибербезопасности.
-----
Кибератака на MS-SQL honeypot.
Тактика грубой силы использовалась для развертывания программы-вымогателя Mallox с помощью PureCrypter и MS-SQL.
Были выявлены два различных филиала Mallox, специализирующихся на различных аспектах эксплуатации.
Инцидент произошел 15 апреля 2024 года и был направлен против уязвимых серверов MS-SQL.
Вредоносная сборка "shell", созданная для размещения вредоносного ПО CLR SqlShell для выполнения команд.
Скрипты PowerShell, используемые для загрузки и выполнения двоичных файлов с использованием методов обхода.
Загрузчик PureCrypter используется для загрузки и запуска программы-вымогателя Mallox, распространяемой компанией PureCoder.
Mallox использует стратегию двойного вымогательства, угрожая обнародовать украденные данные наряду с шифрованием.
Программы-вымогатели в первую очередь были нацелены на высокодоходные сектора в США, Великобритании, Канаде, Австралии и Германии.
Mallox демонстрирует деструктивное поведение в зараженных системах, такое как шифрование файлов, удаление теневых копий и т.д.
Методы коммуникации, требования выкупа, стратегии таргетинга и информация об инфраструктуре атак, полученная в результате анализа.
Указаны уникальные имена пользователей и фиксированная сумма выкупа (5000 долларов за каждый инцидент).
В Mallox были выявлены аффилированные лица с различными требованиями о выкупе и тактикой их применения.
Подключения к инфраструктуре выявляют связи с IP-адресами под номером AS208091, принадлежащими Xhost Internet Solutions LP.
Были высказаны опасения по поводу возможной деятельности по отмыванию денег, связанной с компанией Xhost Internet Solutions LP.
Методы Mallox, препятствующие восстановлению системы и маскирующие вредоносные файлы с целью их удаления.
Была освещена эволюция программ-вымогателей Mallox, включая модель "Программа-вымогатель как услуга" и стратегию двойного вымогательства.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в анализе кибератаки с использованием программы-вымогателя Mallox, с подробным описанием тактики злоумышленника, эволюции операций программы-вымогателя, включая стратегии двойного вымогательства, схемы коммуникации, стратегии нацеливания, детали инфраструктуры и филиалы, вовлеченные во вредоносную деятельность. Анализ также вызывает обеспокоенность по поводу потенциального участия конкретной организации в деятельности по отмыванию денег, подчеркивая меняющийся характер киберугроз и необходимость принятия упреждающих мер кибербезопасности.
-----
Кибератака на MS-SQL honeypot.
Тактика грубой силы использовалась для развертывания программы-вымогателя Mallox с помощью PureCrypter и MS-SQL.
Были выявлены два различных филиала Mallox, специализирующихся на различных аспектах эксплуатации.
Инцидент произошел 15 апреля 2024 года и был направлен против уязвимых серверов MS-SQL.
Вредоносная сборка "shell", созданная для размещения вредоносного ПО CLR SqlShell для выполнения команд.
Скрипты PowerShell, используемые для загрузки и выполнения двоичных файлов с использованием методов обхода.
Загрузчик PureCrypter используется для загрузки и запуска программы-вымогателя Mallox, распространяемой компанией PureCoder.
Mallox использует стратегию двойного вымогательства, угрожая обнародовать украденные данные наряду с шифрованием.
Программы-вымогатели в первую очередь были нацелены на высокодоходные сектора в США, Великобритании, Канаде, Австралии и Германии.
Mallox демонстрирует деструктивное поведение в зараженных системах, такое как шифрование файлов, удаление теневых копий и т.д.
Методы коммуникации, требования выкупа, стратегии таргетинга и информация об инфраструктуре атак, полученная в результате анализа.
Указаны уникальные имена пользователей и фиксированная сумма выкупа (5000 долларов за каждый инцидент).
В Mallox были выявлены аффилированные лица с различными требованиями о выкупе и тактикой их применения.
Подключения к инфраструктуре выявляют связи с IP-адресами под номером AS208091, принадлежащими Xhost Internet Solutions LP.
Были высказаны опасения по поводу возможной деятельности по отмыванию денег, связанной с компанией Xhost Internet Solutions LP.
Методы Mallox, препятствующие восстановлению системы и маскирующие вредоносные файлы с целью их удаления.
Была освещена эволюция программ-вымогателей Mallox, включая модель "Программа-вымогатель как услуга" и стратегию двойного вымогательства.
#ParsedReport #CompletenessLow
13-05-2024
Smart-sex-toy users targeted by clicker trojan
https://news.drweb.com/show/?i=14860&lng=en&c=5
Report completeness: Low
Victims:
Users of love spouse app, Users of qrunning app, Users of v88mini tv box, Users of x96q tv box
Industry:
Media
Geo:
Chinese
ChatGPT TTPs:
T1475, T1406, T1518, T1557, T1444, T1496
IOCs:
File: 1
Hash: 8
Domain: 9
IP: 2
Soft:
Android, Love Spouse, QRunning
Languages:
javascript
Links:
13-05-2024
Smart-sex-toy users targeted by clicker trojan
https://news.drweb.com/show/?i=14860&lng=en&c=5
Report completeness: Low
Victims:
Users of love spouse app, Users of qrunning app, Users of v88mini tv box, Users of x96q tv box
Industry:
Media
Geo:
Chinese
ChatGPT TTPs:
do not use without manual checkT1475, T1406, T1518, T1557, T1444, T1496
IOCs:
File: 1
Hash: 8
Domain: 9
IP: 2
Soft:
Android, Love Spouse, QRunning
Languages:
javascript
Links:
https://github.com/DoctorWebLtd/malware-iocs/tree/master/Android.Click.414.originDr.Web
Smart-sex-toy users targeted by clicker trojan
Virus analysts at Doctor Web uncovered an Android application containing a clicker trojan that silently opens advertising sites and clicks on webpages. Such trojans can be used to stealthily display ads, generate click fraud, sign up unsuspecting victims…
CTT Report Hub
#ParsedReport #CompletenessLow 13-05-2024 Smart-sex-toy users targeted by clicker trojan https://news.drweb.com/show/?i=14860&lng=en&c=5 Report completeness: Low Victims: Users of love spouse app, Users of qrunning app, Users of v88mini tv box, Users of…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в обнаружении и анализе вирусными аналитиками "Доктор Веб" троянца Android clicker, подчеркивающих его возможности, распространение в популярных приложениях, а также важность сохранения бдительности и принятия строгих мер безопасности против появляющихся вредоносных программ, нацеленных на устройства Android.
-----
Вирусные аналитики "Доктор Веб" недавно обнаружили Android-приложение, содержащее троянскую программу clicker, предназначенную для подпольного открытия рекламных сайтов и перехода по веб-страницам. Эти трояны известны тем, что генерируют мошенничество с кликами, показывают рекламу, подписывают ничего не подозревающих жертв на платные подписки и запускают DDoS-атаки. Технология Origins Tracing, используемая антивирусом "Доктор Веб" для Android, сыграла решающую роль в обнаружении троянца Android.Click.414.origin clicker в приложении Love Party, которое обычно используется для управления игрушками для взрослых. Троянец был замаскирован в библиотеке com.android.logcatch и поначалу не был замечен пользователями. Кроме того, тот же троянец был обнаружен в приложении для отслеживания физической активности QRunning, разработанном китайскими разработчиками и в совокупности установленном на более чем 1,5 миллионах устройств.
Примечательно, что вредоносный код был представлен в последних версиях этих приложений, и хотя разработчик Love Cousse оперативно удалил троянца в версии 1.8.8 после его обнаружения, никаких корректирующих мер для приложения QRunning предпринято не было. Этот троян-кликер является усовершенствованной формой трояна Android.Click.410.origin, который привлек к себе внимание в апреле прошлого года, когда был обнаружен на телевизоре V88mini, а затем на телевизоре X96Q. В последнем случае троянец распространялся через приложение Desk Clock на устройстве.
Троянец имеет модульную структуру, в которой один модуль собирает информацию об устройстве, в то время как два других модуля автоматически выполняют такие действия, как загрузка веб-страниц, показ рекламы и выполнение кликов. Троянец может даже определить, работает ли он в контролируемой среде, и воздержаться от отправки рекламных заданий в таких сценариях. Кроме того, троянец имеет языковую защиту и позволяет избежать работы на устройствах с настройками интерфейса на китайском языке.
После запуска троянец передает подробную информацию об устройстве на свой управляющий сервер, активирует определенные стратегии, незаметно загружает веб-страницы, используя для взаимодействия компонент Android WebView, выполняет код JavaScript, полученный с сервера, и даже может захватывать и анализировать скриншоты веб-контента. Для решения определенных задач он использует поисковые системы, такие как Bing, Yahoo и Google, для предоставления настраиваемых рекламных ссылок на основе ключевых слов. Проникновение троянца в официальный магазин Google Play в феврале 2024 года, в частности, через скомпрометированное приложение Love Wife после версии 1.8.1, вызвало опасения по поводу безопасности широко используемых платформ, таких как Google Play.
В ответ на эти угрозы "Доктор Веб" подчеркивает важность соблюдения бдительности при установке программного обеспечения и подчеркивает защитные возможности Dr.Web Security Space для Android в выявлении и нейтрализации троянских программ Android.Click. Это расследование подчеркивает непрерывную эволюцию и изощренность вредоносных программ, нацеленных на устройства Android, что требует постоянной бдительности и надежных мер безопасности для защиты от подобных угроз.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в обнаружении и анализе вирусными аналитиками "Доктор Веб" троянца Android clicker, подчеркивающих его возможности, распространение в популярных приложениях, а также важность сохранения бдительности и принятия строгих мер безопасности против появляющихся вредоносных программ, нацеленных на устройства Android.
-----
Вирусные аналитики "Доктор Веб" недавно обнаружили Android-приложение, содержащее троянскую программу clicker, предназначенную для подпольного открытия рекламных сайтов и перехода по веб-страницам. Эти трояны известны тем, что генерируют мошенничество с кликами, показывают рекламу, подписывают ничего не подозревающих жертв на платные подписки и запускают DDoS-атаки. Технология Origins Tracing, используемая антивирусом "Доктор Веб" для Android, сыграла решающую роль в обнаружении троянца Android.Click.414.origin clicker в приложении Love Party, которое обычно используется для управления игрушками для взрослых. Троянец был замаскирован в библиотеке com.android.logcatch и поначалу не был замечен пользователями. Кроме того, тот же троянец был обнаружен в приложении для отслеживания физической активности QRunning, разработанном китайскими разработчиками и в совокупности установленном на более чем 1,5 миллионах устройств.
Примечательно, что вредоносный код был представлен в последних версиях этих приложений, и хотя разработчик Love Cousse оперативно удалил троянца в версии 1.8.8 после его обнаружения, никаких корректирующих мер для приложения QRunning предпринято не было. Этот троян-кликер является усовершенствованной формой трояна Android.Click.410.origin, который привлек к себе внимание в апреле прошлого года, когда был обнаружен на телевизоре V88mini, а затем на телевизоре X96Q. В последнем случае троянец распространялся через приложение Desk Clock на устройстве.
Троянец имеет модульную структуру, в которой один модуль собирает информацию об устройстве, в то время как два других модуля автоматически выполняют такие действия, как загрузка веб-страниц, показ рекламы и выполнение кликов. Троянец может даже определить, работает ли он в контролируемой среде, и воздержаться от отправки рекламных заданий в таких сценариях. Кроме того, троянец имеет языковую защиту и позволяет избежать работы на устройствах с настройками интерфейса на китайском языке.
После запуска троянец передает подробную информацию об устройстве на свой управляющий сервер, активирует определенные стратегии, незаметно загружает веб-страницы, используя для взаимодействия компонент Android WebView, выполняет код JavaScript, полученный с сервера, и даже может захватывать и анализировать скриншоты веб-контента. Для решения определенных задач он использует поисковые системы, такие как Bing, Yahoo и Google, для предоставления настраиваемых рекламных ссылок на основе ключевых слов. Проникновение троянца в официальный магазин Google Play в феврале 2024 года, в частности, через скомпрометированное приложение Love Wife после версии 1.8.1, вызвало опасения по поводу безопасности широко используемых платформ, таких как Google Play.
В ответ на эти угрозы "Доктор Веб" подчеркивает важность соблюдения бдительности при установке программного обеспечения и подчеркивает защитные возможности Dr.Web Security Space для Android в выявлении и нейтрализации троянских программ Android.Click. Это расследование подчеркивает непрерывную эволюцию и изощренность вредоносных программ, нацеленных на устройства Android, что требует постоянной бдительности и надежных мер безопасности для защиты от подобных угроз.
#ParsedReport #CompletenessLow
13-05-2024
LNK File Disguised as Certificate Distributing RokRAT Malware
https://asec.ahnlab.com/en/65076
Report completeness: Low
Actors/Campaigns:
Scarcruft
Threats:
Rokrat
Dropper/lnk.s2343
Trojan/bat.runner
Infostealer/win.agent.r579429
Victims:
Individuals associated with korean unification, Military, Education
Industry:
Education, Military
Geo:
Korean, Korea
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1566.002, T1059.001, T1204.002, T1547.009, T1027, T1047, T1071.001, T1105
IOCs:
File: 5
Email: 4
Hash: 8
Languages:
powershell
13-05-2024
LNK File Disguised as Certificate Distributing RokRAT Malware
https://asec.ahnlab.com/en/65076
Report completeness: Low
Actors/Campaigns:
Scarcruft
Threats:
Rokrat
Dropper/lnk.s2343
Trojan/bat.runner
Infostealer/win.agent.r579429
Victims:
Individuals associated with korean unification, Military, Education
Industry:
Education, Military
Geo:
Korean, Korea
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1566.002, T1059.001, T1204.002, T1547.009, T1027, T1047, T1071.001, T1105
IOCs:
File: 5
Email: 4
Hash: 8
Languages:
powershell
ASEC
LNK File Disguised as Certificate Distributing RokRAT Malware - ASEC
LNK File Disguised as Certificate Distributing RokRAT Malware ASEC
CTT Report Hub
#ParsedReport #CompletenessLow 13-05-2024 LNK File Disguised as Certificate Distributing RokRAT Malware https://asec.ahnlab.com/en/65076 Report completeness: Low Actors/Campaigns: Scarcruft Threats: Rokrat Dropper/lnk.s2343 Trojan/bat.runner Infostea…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея: Аналитический центр безопасности AhnLab (ASEC) обнаружил распространение файлов быстрого доступа ненормального размера, содержащих вредоносное ПО типа "черный ход", предназначенное для южнокорейских пользователей, имеющих связи с Северной Кореей, в частности, использующее вредоносное ПО RokRAT backdoor. Эта кампания включает в себя сложные действия, инициируемые командами PowerShell, встроенными в файлы LNK, для выполнения вредоносных действий, ведущих к краже данных, компрометации системы и шпионажу, что подчеркивает необходимость бдительности и усиления мер кибербезопасности в целевых секторах.
-----
Аналитический центр безопасности AhnLab (ASEC) обнаружил продолжающееся распространение файлов быстрого доступа ненормального размера (*.LNK), содержащих вредоносное ПО типа "черного хода", специально предназначенное для южнокорейских пользователей, имеющих связи с Северной Кореей. Было обнаружено, что файлы LNK содержат команды PowerShell, выполняемые с помощью CMD, аналогично предыдущим случаям, о которых сообщала служба ASEC. Эти файлы выделяются тем, что в них встроены файлы подлинных документов, код скрипта и вредоносные PE-данные. Работу вредоносной программы можно разбить на несколько этапов: при запуске файл LNK запускает команды PowerShell для создания и запуска файла легитимного документа с именем "find.bat". Затем "find.bat" запускает "search.dat" через PowerShell, который затем считывает файл "viewer.dat" и управляет им без использования файлов. В конечном счете, содержимое "viewer.dat" оказалось вредоносной программой RokRAT backdoor, сложной угрозой, способной использовать облачные API для сбора пользовательских данных и выполнения ряда вредоносных действий в соответствии с инструкциями злоумышленника.
Потенциальные вредоносные действия, которые могут быть организованы злоумышленниками с помощью RokRAT, включают кражу данных, компрометацию системы, шпионаж и многое другое. Кроме того, собранные данные временно хранятся в каталоге %TEMP% перед передачей на облачный сервер злоумышленника. Адреса электронной почты, связанные с этими злоумышленниками, были выявлены в ходе анализа этой вредоносной кампании. ASEC постоянно сообщала о распространении вредоносных файлов быстрого доступа в своем блоге, подчеркивая распространенность таких инцидентов и особое внимание уделяя лицам, связанным с объединением Кореи, военным и образовательным секторами. Эта устойчивая тенденция подчеркивает важность проявления бдительности и внедрения соответствующих мер кибербезопасности в этих целевых секторах для эффективного устранения потенциальных угроз.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея: Аналитический центр безопасности AhnLab (ASEC) обнаружил распространение файлов быстрого доступа ненормального размера, содержащих вредоносное ПО типа "черный ход", предназначенное для южнокорейских пользователей, имеющих связи с Северной Кореей, в частности, использующее вредоносное ПО RokRAT backdoor. Эта кампания включает в себя сложные действия, инициируемые командами PowerShell, встроенными в файлы LNK, для выполнения вредоносных действий, ведущих к краже данных, компрометации системы и шпионажу, что подчеркивает необходимость бдительности и усиления мер кибербезопасности в целевых секторах.
-----
Аналитический центр безопасности AhnLab (ASEC) обнаружил продолжающееся распространение файлов быстрого доступа ненормального размера (*.LNK), содержащих вредоносное ПО типа "черного хода", специально предназначенное для южнокорейских пользователей, имеющих связи с Северной Кореей. Было обнаружено, что файлы LNK содержат команды PowerShell, выполняемые с помощью CMD, аналогично предыдущим случаям, о которых сообщала служба ASEC. Эти файлы выделяются тем, что в них встроены файлы подлинных документов, код скрипта и вредоносные PE-данные. Работу вредоносной программы можно разбить на несколько этапов: при запуске файл LNK запускает команды PowerShell для создания и запуска файла легитимного документа с именем "find.bat". Затем "find.bat" запускает "search.dat" через PowerShell, который затем считывает файл "viewer.dat" и управляет им без использования файлов. В конечном счете, содержимое "viewer.dat" оказалось вредоносной программой RokRAT backdoor, сложной угрозой, способной использовать облачные API для сбора пользовательских данных и выполнения ряда вредоносных действий в соответствии с инструкциями злоумышленника.
Потенциальные вредоносные действия, которые могут быть организованы злоумышленниками с помощью RokRAT, включают кражу данных, компрометацию системы, шпионаж и многое другое. Кроме того, собранные данные временно хранятся в каталоге %TEMP% перед передачей на облачный сервер злоумышленника. Адреса электронной почты, связанные с этими злоумышленниками, были выявлены в ходе анализа этой вредоносной кампании. ASEC постоянно сообщала о распространении вредоносных файлов быстрого доступа в своем блоге, подчеркивая распространенность таких инцидентов и особое внимание уделяя лицам, связанным с объединением Кореи, военным и образовательным секторами. Эта устойчивая тенденция подчеркивает важность проявления бдительности и внедрения соответствующих мер кибербезопасности в этих целевых секторах для эффективного устранения потенциальных угроз.
#ParsedReport #CompletenessLow
13-05-2024
GoTo Meeting loads Remcos RAT via Rust Shellcode Loader
https://www.gdatasoftware.com/blog/2024/05/37906-gotomeeting-loads-remcos
Report completeness: Low
Threats:
Remcos_rat
Dll_sideloading_technique
Geo:
Russian
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1204, T1055, T1547, T1027, T1059
IOCs:
Hash: 17
Url: 1
Soft:
Speakeasy
Algorithms:
zip
Languages:
rust, jscript, powershell
Links:
13-05-2024
GoTo Meeting loads Remcos RAT via Rust Shellcode Loader
https://www.gdatasoftware.com/blog/2024/05/37906-gotomeeting-loads-remcos
Report completeness: Low
Threats:
Remcos_rat
Dll_sideloading_technique
Geo:
Russian
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1204, T1055, T1547, T1027, T1059
IOCs:
Hash: 17
Url: 1
Soft:
Speakeasy
Algorithms:
zip
Languages:
rust, jscript, powershell
Links:
https://github.com/mandiant/speakeasyGdatasoftware
GoTo Meeting loads Remcos RAT via Rust Shellcode Loader
CTT Report Hub
#ParsedReport #CompletenessLow 13-05-2024 GoTo Meeting loads Remcos RAT via Rust Shellcode Loader https://www.gdatasoftware.com/blog/2024/05/37906-gotomeeting-loads-remcos Report completeness: Low Threats: Remcos_rat Dll_sideloading_technique Geo: Russian…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В тексте подробно описывается, как злоумышленники манипулируют законными приложениями, такими как GoTo Meeting, для развертывания вредоносного ПО Remcos RAT, используя обманчивые приманки и цепочки выполнения, чтобы обманом заставить пользователей запустить вредоносное ПО.
-----
В тексте описывается, как можно манипулировать законными приложениями, такими как GoTo Meeting, для развертывания вредоносных программ, таких как Remcos RAT. Злоумышленники используют различные приманки, включая загрузку порнографии, файлы настройки программного обеспечения и налоговые формы с именами файлов на русском и английском языках, чтобы обманом заставить пользователей запустить вредоносное ПО. Цепочка выполнения Remcos RAT, злоупотребляющей исполняемым файлом GoTo Meeting, включает в себя ряд шагов, которые облегчают развертывание вредоносного ПО.
При двойном щелчке по определенному файлу, myrecentfiles.lnk, открывается безвредный PDF-файл с именем MLD.pdf и одновременно выполняется файл GoTo Meeting PE32, подписанный winsys.odt. Затем исполняемый файл GoTo Meeting загружает DLL-файл с именем g2m.dll из той же папки. В этом случае для запуска вредоносной библиотеки DLL-файлов вместо чистого файла g2m.dll, который обычно загружается GoTo Meeting, используется метод дополнительной загрузки DLL-файлов.
Вредоносная библиотека DLL, написанная на Rust, экспортирует 20 функций для GoTo Meeting, но все они указывают на один и тот же пустой адрес из-за отсутствия реализации. Несмотря на нерабочие функции, DllMain из g2m.dll будет запущена, что позволит загрузчику вредоносного по выполнить свою работу. Код Rust в вредоносной программе считывает файл с именем data.bin, выделяет для него память RWX и создает новый поток для выполнения содержащегося в нем шелл-кода, который также включает зашифрованные полезные данные. Шелл-код расшифровывает и выполняет полезную нагрузку, что приводит к развертыванию исполняемого файла Remcos RAT.
Далее в тексте обсуждаются различные мошеннические файлы, в том числе поддельные настройки LeonardoAI2, поддельные настройки OnlyFans Livestreams, поддельные налоговые документы, поддельные налоговые органайзеры и русский ZIP-файл с именем __.rar.zip, что переводится как "приложение для геодезических устройств". Эти файлы предназначены для того, чтобы обманом заставить пользователей невольно запустить вредоносную программу. У каждого файла может быть несколько иная цепочка выполнения, например, у JScript-файла Teen Girl Leak Porn.js, предназначенного для пользователей контента для взрослых.
В случае с файлом JScript он инициирует цепочку заражения, загружая скрипт PowerShell из службы вставки markdown. Затем скрипт PowerShell загружает файл file2.zip и создает постоянство, добавляя файл RunBatchFile.lnk в папку автозагрузки. Этот ярлык запускает run.bat из архива, перезапуская ту же цепочку выполнения, что и ранее, но через другую точку входа.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В тексте подробно описывается, как злоумышленники манипулируют законными приложениями, такими как GoTo Meeting, для развертывания вредоносного ПО Remcos RAT, используя обманчивые приманки и цепочки выполнения, чтобы обманом заставить пользователей запустить вредоносное ПО.
-----
В тексте описывается, как можно манипулировать законными приложениями, такими как GoTo Meeting, для развертывания вредоносных программ, таких как Remcos RAT. Злоумышленники используют различные приманки, включая загрузку порнографии, файлы настройки программного обеспечения и налоговые формы с именами файлов на русском и английском языках, чтобы обманом заставить пользователей запустить вредоносное ПО. Цепочка выполнения Remcos RAT, злоупотребляющей исполняемым файлом GoTo Meeting, включает в себя ряд шагов, которые облегчают развертывание вредоносного ПО.
При двойном щелчке по определенному файлу, myrecentfiles.lnk, открывается безвредный PDF-файл с именем MLD.pdf и одновременно выполняется файл GoTo Meeting PE32, подписанный winsys.odt. Затем исполняемый файл GoTo Meeting загружает DLL-файл с именем g2m.dll из той же папки. В этом случае для запуска вредоносной библиотеки DLL-файлов вместо чистого файла g2m.dll, который обычно загружается GoTo Meeting, используется метод дополнительной загрузки DLL-файлов.
Вредоносная библиотека DLL, написанная на Rust, экспортирует 20 функций для GoTo Meeting, но все они указывают на один и тот же пустой адрес из-за отсутствия реализации. Несмотря на нерабочие функции, DllMain из g2m.dll будет запущена, что позволит загрузчику вредоносного по выполнить свою работу. Код Rust в вредоносной программе считывает файл с именем data.bin, выделяет для него память RWX и создает новый поток для выполнения содержащегося в нем шелл-кода, который также включает зашифрованные полезные данные. Шелл-код расшифровывает и выполняет полезную нагрузку, что приводит к развертыванию исполняемого файла Remcos RAT.
Далее в тексте обсуждаются различные мошеннические файлы, в том числе поддельные настройки LeonardoAI2, поддельные настройки OnlyFans Livestreams, поддельные налоговые документы, поддельные налоговые органайзеры и русский ZIP-файл с именем __.rar.zip, что переводится как "приложение для геодезических устройств". Эти файлы предназначены для того, чтобы обманом заставить пользователей невольно запустить вредоносную программу. У каждого файла может быть несколько иная цепочка выполнения, например, у JScript-файла Teen Girl Leak Porn.js, предназначенного для пользователей контента для взрослых.
В случае с файлом JScript он инициирует цепочку заражения, загружая скрипт PowerShell из службы вставки markdown. Затем скрипт PowerShell загружает файл file2.zip и создает постоянство, добавляя файл RunBatchFile.lnk в папку автозагрузки. Этот ярлык запускает run.bat из архива, перезапуская ту же цепочку выполнения, что и ранее, но через другую точку входа.
#ParsedReport #CompletenessLow
13-05-2024
Security Brief: Millions of Messages Distribute LockBit Black Ransomware
https://www.proofpoint.com/us/blog/threat-insight/security-brief-millions-messages-distribute-lockbit-black-ransomware
Report completeness: Low
Threats:
Lockbit
Phorpiex
Phorphiex_botnet
Emotet
ChatGPT TTPs:
T1566, T1193, T1090, T1486, T1027, T1071
IOCs:
Email: 1
IP: 2
Hash: 14
Algorithms:
zip, exhibit, sha256
13-05-2024
Security Brief: Millions of Messages Distribute LockBit Black Ransomware
https://www.proofpoint.com/us/blog/threat-insight/security-brief-millions-messages-distribute-lockbit-black-ransomware
Report completeness: Low
Threats:
Lockbit
Phorpiex
Phorphiex_botnet
Emotet
ChatGPT TTPs:
do not use without manual checkT1566, T1193, T1090, T1486, T1027, T1071
IOCs:
Email: 1
IP: 2
Hash: 14
Algorithms:
zip, exhibit, sha256
Proofpoint
Millions of Emails Distribute LockBit Black 3.0 Ransomware | Proofpoint US
Proofpoint observed millions of emails delivering LockBit Black 3.0 ransomware. Learn more about what it is, who is distributing it, and why it matters.
CTT Report Hub
#ParsedReport #CompletenessLow 13-05-2024 Security Brief: Millions of Messages Distribute LockBit Black Ransomware https://www.proofpoint.com/us/blog/threat-insight/security-brief-millions-messages-distribute-lockbit-black-ransomware Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В тексте обсуждается кампания по борьбе с киберугрозами, в ходе которой ботнет Phorpiex использовался для распространения программы-вымогателя LockBit Black с помощью массовых рассылок по электронной почте. Кампания была нацелена на организации по всему миру, демонстрируя эволюцию киберугроз и необходимость принятия надежных мер кибербезопасности.
-----
Кампания началась 24 апреля 2024 года с масштабных рассылок по электронной почте через ботнет Phorpiex, распространяющий программу-вымогатель LockBit Black.
Первый обнаруженный случай массового распространения программы-вымогателя LockBit Black через Phorpiex, вероятно, связанный с утечкой LockBit builder.
Электронные письма, приписываемые "Дженни Грин", содержали вложенный ZIP-файл с исполняемым файлом, который загружал полезную нагрузку программы-вымогателя при запуске.
Атакуйте организации по всему миру, работающие в различных отраслях, без каких-либо конкретных намерений.
Кампания отражает эволюцию ландшафта киберугроз, делая упор на адаптацию и эволюцию участников угроз.
Конвергенция LockBit Black builder с ботнетом Phorpiex увеличивает угрозу успешных атак программ-вымогателей.
Кампания не была связана с известным субъектом угрозы, Phorpiex работает как базовый ботнет, предоставляющий вредоносное ПО как услугу.
LockBit Black - это усовершенствованная версия, представленная в июне 2022 года, и ее использование в кампаниях по борьбе с угрозами по электронной почте в глобальном масштабе является редкостью.
Важность IOCS для специалистов по кибербезопасности заключается в выявлении и устранении аналогичных угроз в их среде.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В тексте обсуждается кампания по борьбе с киберугрозами, в ходе которой ботнет Phorpiex использовался для распространения программы-вымогателя LockBit Black с помощью массовых рассылок по электронной почте. Кампания была нацелена на организации по всему миру, демонстрируя эволюцию киберугроз и необходимость принятия надежных мер кибербезопасности.
-----
Кампания началась 24 апреля 2024 года с масштабных рассылок по электронной почте через ботнет Phorpiex, распространяющий программу-вымогатель LockBit Black.
Первый обнаруженный случай массового распространения программы-вымогателя LockBit Black через Phorpiex, вероятно, связанный с утечкой LockBit builder.
Электронные письма, приписываемые "Дженни Грин", содержали вложенный ZIP-файл с исполняемым файлом, который загружал полезную нагрузку программы-вымогателя при запуске.
Атакуйте организации по всему миру, работающие в различных отраслях, без каких-либо конкретных намерений.
Кампания отражает эволюцию ландшафта киберугроз, делая упор на адаптацию и эволюцию участников угроз.
Конвергенция LockBit Black builder с ботнетом Phorpiex увеличивает угрозу успешных атак программ-вымогателей.
Кампания не была связана с известным субъектом угрозы, Phorpiex работает как базовый ботнет, предоставляющий вредоносное ПО как услугу.
LockBit Black - это усовершенствованная версия, представленная в июне 2022 года, и ее использование в кампаниях по борьбе с угрозами по электронной почте в глобальном масштабе является редкостью.
Важность IOCS для специалистов по кибербезопасности заключается в выявлении и устранении аналогичных угроз в их среде.