CTT Report Hub
#ParsedReport #CompletenessLow 21-05-2024 Ikarus Red Team \| Hacktivist Group Leverages Ransomware for Attention Not Profit https://www.sentinelone.com/blog/ikarus-red-team-hacktivist-group-leverages-ransomware-for-attention-not-profit Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в деятельности Ikaruz Red Team (IRT), политически мотивированной группы хактивистов, использующей полезные программы-вымогатели для атаки на критически важную инфраструктуру на Филиппинах и привлечения внимания к политическим причинам, наряду с другими объединенными группами, проводящими аналогичные атаки в регионе.
-----
В тексте содержится подробный обзор деятельности команды Ikaruz Red Team (IRT), политически мотивированной группы хактивистов, которая использует полезные программы-вымогатели для атаки на критически важную инфраструктуру на Филиппинах и привлечения внимания к политическим причинам. Группа использовала утечку информации о разработчиках программ-вымогателей, в частности LockBit, для проведения атак на различные организации на Филиппинах, включая Министерство науки и технологий.
В последние месяцы IRT, наряду с такими связанными с ней группами, как Turk Hack Team и Anka Underground, проводила атаки на инфраструктуру Филиппин. Эти атаки, которые включают в себя подделку данных, мелкомасштабные DDoS-атаки и кампании по вымогательству, рассматриваются как часть более широкой тенденции группировок хактивистов, сосредоточенных в регионе. Геополитический контекст, в частности напряженность в отношениях с Китаем и стратегическое значение Филиппин в Индо-Тихоокеанском регионе, делают страну привлекательной мишенью для угроз, стремящихся вызвать гражданские беспорядки.
Команда Ikaruz Red изменила свою тактику, перейдя от взлома веб-сайтов к запуску программ-вымогателей с использованием модифицированных полезных программ LockBit 3. Группа рекламирует утечки данных из организаций на Филиппинах и изменяет уведомления о требовании выкупа, добавляя их название, при этом используя стандартные исполняемые файлы LockBit. Зашифрованные файлы имеют специальное расширение со ссылками на IRT, а в записках о выкупе жертвам дается инструкция по оплате. Кроме того, IRT использует изображения и фирменный стиль официальных правительственных программ, таких как CERT-PH, для своей собственной деятельности, включая создание контрафактных изображений и профилей в социальных сетях.
Исполнитель угроз активно взаимодействует со своей аудиторией на различных платформах социальных сетей под псевдонимами, такими как "IkaruzRT" и "Ikaruz Reignor". Эти персонажи присутствуют на популярных форумах и в общедоступных профилях на таких платформах, как GitHub, Facebook, Twitter и Imgur. Актер публикует сообщения об утечках данных от жертв на Филиппинах и поддерживает репозиторий на GitHub, содержащий инструменты для веб-оболочек и искажений. IRT заявляет о своей причастности к другим группам хактивистов, включая Anka Red Team, Anka Underground Team и Turk Hack Team, которые известны своей порчей веб-сайтов и DDoS-атаками.
Вызывает беспокойство рост числа политически мотивированных атак на Филиппины, особенно со стороны таких групп, как Ikaruz Red Team, Turk Hack Team и PHEDS. Эти атаки варьируются от взлома правительственных данных до кампаний по сбору программ-вымогателей, чему способствует доступность утекших компонентов программ-вымогателей и сценариев для кибератак. Хакеры-вымогатели используют программы-вымогатели для дезинформации и политических заявлений, а не для получения денежной выгоды. Эти действия являются частью более широкой тенденции к совершению несложных, но разрушительных атак в регионе, которые потенциально связаны с ростом напряженности в отношениях с Китаем и попытками дестабилизировать важнейшую инфраструктуру Филиппин.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в деятельности Ikaruz Red Team (IRT), политически мотивированной группы хактивистов, использующей полезные программы-вымогатели для атаки на критически важную инфраструктуру на Филиппинах и привлечения внимания к политическим причинам, наряду с другими объединенными группами, проводящими аналогичные атаки в регионе.
-----
В тексте содержится подробный обзор деятельности команды Ikaruz Red Team (IRT), политически мотивированной группы хактивистов, которая использует полезные программы-вымогатели для атаки на критически важную инфраструктуру на Филиппинах и привлечения внимания к политическим причинам. Группа использовала утечку информации о разработчиках программ-вымогателей, в частности LockBit, для проведения атак на различные организации на Филиппинах, включая Министерство науки и технологий.
В последние месяцы IRT, наряду с такими связанными с ней группами, как Turk Hack Team и Anka Underground, проводила атаки на инфраструктуру Филиппин. Эти атаки, которые включают в себя подделку данных, мелкомасштабные DDoS-атаки и кампании по вымогательству, рассматриваются как часть более широкой тенденции группировок хактивистов, сосредоточенных в регионе. Геополитический контекст, в частности напряженность в отношениях с Китаем и стратегическое значение Филиппин в Индо-Тихоокеанском регионе, делают страну привлекательной мишенью для угроз, стремящихся вызвать гражданские беспорядки.
Команда Ikaruz Red изменила свою тактику, перейдя от взлома веб-сайтов к запуску программ-вымогателей с использованием модифицированных полезных программ LockBit 3. Группа рекламирует утечки данных из организаций на Филиппинах и изменяет уведомления о требовании выкупа, добавляя их название, при этом используя стандартные исполняемые файлы LockBit. Зашифрованные файлы имеют специальное расширение со ссылками на IRT, а в записках о выкупе жертвам дается инструкция по оплате. Кроме того, IRT использует изображения и фирменный стиль официальных правительственных программ, таких как CERT-PH, для своей собственной деятельности, включая создание контрафактных изображений и профилей в социальных сетях.
Исполнитель угроз активно взаимодействует со своей аудиторией на различных платформах социальных сетей под псевдонимами, такими как "IkaruzRT" и "Ikaruz Reignor". Эти персонажи присутствуют на популярных форумах и в общедоступных профилях на таких платформах, как GitHub, Facebook, Twitter и Imgur. Актер публикует сообщения об утечках данных от жертв на Филиппинах и поддерживает репозиторий на GitHub, содержащий инструменты для веб-оболочек и искажений. IRT заявляет о своей причастности к другим группам хактивистов, включая Anka Red Team, Anka Underground Team и Turk Hack Team, которые известны своей порчей веб-сайтов и DDoS-атаками.
Вызывает беспокойство рост числа политически мотивированных атак на Филиппины, особенно со стороны таких групп, как Ikaruz Red Team, Turk Hack Team и PHEDS. Эти атаки варьируются от взлома правительственных данных до кампаний по сбору программ-вымогателей, чему способствует доступность утекших компонентов программ-вымогателей и сценариев для кибератак. Хакеры-вымогатели используют программы-вымогатели для дезинформации и политических заявлений, а не для получения денежной выгоды. Эти действия являются частью более широкой тенденции к совершению несложных, но разрушительных атак в регионе, которые потенциально связаны с ростом напряженности в отношениях с Китаем и попытками дестабилизировать важнейшую инфраструктуру Филиппин.
#ParsedReport #CompletenessMedium
20-05-2024
DNS Early Detection - Breaking the BlackCat Ransomware Kill Chain
https://blogs.infoblox.com/threat-intelligence/dns-early-detection-breaking-the-blackcat-ransomware-kill-chain
Report completeness: Medium
Threats:
Blackcat
Cobalt_strike
Evilginx_tool
Industry:
Financial, Government
Geo:
Russian
TTPs:
Tactics: 3
Technics: 5
IOCs:
Domain: 2
Soft:
Active Directory, Windows Task Scheduler
Languages:
powershell
Platforms:
intel
20-05-2024
DNS Early Detection - Breaking the BlackCat Ransomware Kill Chain
https://blogs.infoblox.com/threat-intelligence/dns-early-detection-breaking-the-blackcat-ransomware-kill-chain
Report completeness: Medium
Threats:
Blackcat
Cobalt_strike
Evilginx_tool
Industry:
Financial, Government
Geo:
Russian
TTPs:
Tactics: 3
Technics: 5
IOCs:
Domain: 2
Soft:
Active Directory, Windows Task Scheduler
Languages:
powershell
Platforms:
intel
Infoblox Blog
DNS Early Detection - Breaking the BlackCat Ransomware Kill Chain | Infoblox
Discover the increasing danger of malicious internet domain names and how you can detect and block them sooner using Infoblox suspicious domain feeds. Learn how to protect your organization from these DNS-based threats.
CTT Report Hub
#ParsedReport #CompletenessMedium 20-05-2024 DNS Early Detection - Breaking the BlackCat Ransomware Kill Chain https://blogs.infoblox.com/threat-intelligence/dns-early-detection-breaking-the-blackcat-ransomware-kill-chain Report completeness: Medium Threats:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста посвящена атаке программы-вымогателя Blackcat и важности инструментов анализа угроз, таких как программа раннего обнаружения DNS от Infoblox, для обнаружения и устранения киберугроз, таких как программа-вымогатель Blackcat. В тексте рассказывается о тактике и действиях злоумышленников Blackcat, важнейшей роли анализа угроз в выявлении вредоносных доменов и важности упреждающих мер кибербезопасности для борьбы с возникающими угрозами.
-----
22 февраля 2025 года Агентство по критической инфраструктуре и безопасности (CISA) выпустило предупреждение об атаке программы-вымогателя Blackcat. В это предупреждение была включена информация, полученная из различных источников, включая агентства и OSINT, начиная с 2022 года. В предупреждении были представлены новые индикаторы компрометации (IoC), которые указывают на домены серверов управления (C&C), необходимые для операций цепочки уничтожения Blackcat. Программа-вымогатель Blackcat - это чрезвычайно опасная угроза, связанная с российскими субъектами и известная своей бизнес-моделью "программа-вымогатель как услуга" (RaaS).
Злоумышленники используют тактику тройного вымогательства, требуя выкуп, угрожая утечкой данных и дополнительными атаками типа "Отказ в обслуживании" (DoS). ФБР задокументировало случаи, когда жертвы платили выкуп, но не могли расшифровать свои данные с помощью предоставленного ключа. Цепочка убийств Blackcat включает использование скомпрометированных учетных данных для доступа к системам жертв, компрометацию учетных записей Active Directory и развертывание программ-вымогателей с использованием планировщика задач Windows, вредоносных объектов групповой политики (GPO), сценариев PowerShell и Cobalt Strike.
Программа раннего обнаружения DNS от Infoblox играет жизненно важную роль в выявлении вредоносных доменов и сопоставлении их с источниками OSINT. Программа помогает блокировать подозрительные домены до того, как они будут широко представлены в OSINT. Технология Infoblox Threat Intel позволяет обнаруживать подозрительные домены быстрее, чем традиционные методы, что помогает организациям снижать риски и предотвращать утечку данных. Информация о подозрительных доменах дает значительные преимущества в использовании анализа угроз DNS для эффективного противодействия новым угрозам.
Записи WHOIS предоставляют точные данные о датах регистрации вредоносных доменов, что помогает оценить эффективность систем анализа угроз. Злоумышленники, в том числе те, кто стоит за кампаниями Blackcat, постоянно создают и меняют домены, чтобы избежать обнаружения. Подразделение Infoblox по борьбе с угрозами Intel Group предоставляет своевременные и точные оповещения и отчеты об угрозах, предоставляя расширенную информацию для ранней блокировки вредоносных доменов.
Система отслеживания подозрительных доменов Infoblox, появившаяся в 2022 году, помогла тысячам клиентов своевременно блокировать потенциальные угрозы. Использование данных об угрозах Infoblox сводит к минимуму ложные срабатывания и обеспечивает единую политику безопасности в организациях. Используя систему раннего обнаружения DNS и защитные меры, организации могут повысить уровень своей кибербезопасности в отношении новых угроз, таких как программы-вымогатели Blackcat.
Для получения дополнительной информации о подозрительных доменах, раннем обнаружении DNS, расширенной защите DNS и рекомендациях таких агентств, как NSA и CISA, организации могут обратиться к соответствующим ресурсам, предоставляемым Infoblox. Командам по кибербезопасности важно сохранять бдительность, использовать инструменты анализа угроз и принимать упреждающие меры для эффективной борьбы с возникающими киберугрозами, такими как программы-вымогатели Blackcat.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста посвящена атаке программы-вымогателя Blackcat и важности инструментов анализа угроз, таких как программа раннего обнаружения DNS от Infoblox, для обнаружения и устранения киберугроз, таких как программа-вымогатель Blackcat. В тексте рассказывается о тактике и действиях злоумышленников Blackcat, важнейшей роли анализа угроз в выявлении вредоносных доменов и важности упреждающих мер кибербезопасности для борьбы с возникающими угрозами.
-----
22 февраля 2025 года Агентство по критической инфраструктуре и безопасности (CISA) выпустило предупреждение об атаке программы-вымогателя Blackcat. В это предупреждение была включена информация, полученная из различных источников, включая агентства и OSINT, начиная с 2022 года. В предупреждении были представлены новые индикаторы компрометации (IoC), которые указывают на домены серверов управления (C&C), необходимые для операций цепочки уничтожения Blackcat. Программа-вымогатель Blackcat - это чрезвычайно опасная угроза, связанная с российскими субъектами и известная своей бизнес-моделью "программа-вымогатель как услуга" (RaaS).
Злоумышленники используют тактику тройного вымогательства, требуя выкуп, угрожая утечкой данных и дополнительными атаками типа "Отказ в обслуживании" (DoS). ФБР задокументировало случаи, когда жертвы платили выкуп, но не могли расшифровать свои данные с помощью предоставленного ключа. Цепочка убийств Blackcat включает использование скомпрометированных учетных данных для доступа к системам жертв, компрометацию учетных записей Active Directory и развертывание программ-вымогателей с использованием планировщика задач Windows, вредоносных объектов групповой политики (GPO), сценариев PowerShell и Cobalt Strike.
Программа раннего обнаружения DNS от Infoblox играет жизненно важную роль в выявлении вредоносных доменов и сопоставлении их с источниками OSINT. Программа помогает блокировать подозрительные домены до того, как они будут широко представлены в OSINT. Технология Infoblox Threat Intel позволяет обнаруживать подозрительные домены быстрее, чем традиционные методы, что помогает организациям снижать риски и предотвращать утечку данных. Информация о подозрительных доменах дает значительные преимущества в использовании анализа угроз DNS для эффективного противодействия новым угрозам.
Записи WHOIS предоставляют точные данные о датах регистрации вредоносных доменов, что помогает оценить эффективность систем анализа угроз. Злоумышленники, в том числе те, кто стоит за кампаниями Blackcat, постоянно создают и меняют домены, чтобы избежать обнаружения. Подразделение Infoblox по борьбе с угрозами Intel Group предоставляет своевременные и точные оповещения и отчеты об угрозах, предоставляя расширенную информацию для ранней блокировки вредоносных доменов.
Система отслеживания подозрительных доменов Infoblox, появившаяся в 2022 году, помогла тысячам клиентов своевременно блокировать потенциальные угрозы. Использование данных об угрозах Infoblox сводит к минимуму ложные срабатывания и обеспечивает единую политику безопасности в организациях. Используя систему раннего обнаружения DNS и защитные меры, организации могут повысить уровень своей кибербезопасности в отношении новых угроз, таких как программы-вымогатели Blackcat.
Для получения дополнительной информации о подозрительных доменах, раннем обнаружении DNS, расширенной защите DNS и рекомендациях таких агентств, как NSA и CISA, организации могут обратиться к соответствующим ресурсам, предоставляемым Infoblox. Командам по кибербезопасности важно сохранять бдительность, использовать инструменты анализа угроз и принимать упреждающие меры для эффективной борьбы с возникающими киберугрозами, такими как программы-вымогатели Blackcat.
#ParsedReport #CompletenessLow
21-05-2024
Hunting Black Bastas Cobalt Strike
https://medium.com/@Intel_Ops/hunting-black-bastas-cobalt-strike-96a81a6ea781
Report completeness: Low
Threats:
Blackbasta
Cobalt_strike
Lockbit
Pikabot
Geo:
Chinese
ChatGPT TTPs:
T1583, T1584, T1071, T1048
IOCs:
Domain: 5
IP: 10
21-05-2024
Hunting Black Bastas Cobalt Strike
https://medium.com/@Intel_Ops/hunting-black-bastas-cobalt-strike-96a81a6ea781
Report completeness: Low
Threats:
Blackbasta
Cobalt_strike
Lockbit
Pikabot
Geo:
Chinese
ChatGPT TTPs:
do not use without manual checkT1583, T1584, T1071, T1048
IOCs:
Domain: 5
IP: 10
Medium
Hunting Black Basta’s Cobalt Strike
Last week, the FBI and CISA released a #StopRansomware alert for the Black Basta ransomware group…
CTT Report Hub
#ParsedReport #CompletenessLow 21-05-2024 Hunting Black Bastas Cobalt Strike https://medium.com/@Intel_Ops/hunting-black-bastas-cobalt-strike-96a81a6ea781 Report completeness: Low Threats: Blackbasta Cobalt_strike Lockbit Pikabot Geo: Chinese ChatGPT…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что ФБР и CISA выпустили предупреждение в отношении группы программ-вымогателей Black Basta, подчеркнув, что они используют Cobalt Strike и конкретные детали инфраструктуры, такие как кластеризация серверов и DNS-маяки. Intel-Ops активно следит за деятельностью группы и предоставляет рекомендации о том, как отслеживать ее и защищаться от нее.
-----
ФБР и CISA недавно выпустили предупреждение #StopRansomware для группы вымогателей Black Basta, которая в 2024 году заняла третье место по общему числу жертв программ-вымогателей после LockBit и Play. В рекомендациях подчеркивается, что группа использует Cobalt Strike, а Intel-Ops активно отслеживает работу этих серверов в дикой природе. Некоторые ключевые выводы, сделанные в ходе анализа, включают выявление различных серверов Cobalt Strike, большинство из которых размещены у таких провайдеров, как Vultr, Digital Ocean и других.
Инфраструктура Black Basta разделена на отдельные кластеры, на серверах которых наблюдаются доминирующие водяные знаки. Большинство серверов Cobalt Strike используют DNS-маяки, указывающие на то, что эти серверы преимущественно размещены у определенных провайдеров. Выявлены дополнительные маяки Cobalt Strike для DNS, включая недавно обнаруженные домены, которые соответствуют соглашению об именовании известных маяков, перечисленных в рекомендациях.
Были обнаружены скопления маяков Cobalt Strike в инфраструктуре Black Basta, причем некоторые домены ранее были связаны с инцидентами Black Basta, связанными с Pikabot. Кроме того, эти серверы Cobalt Strike связаны с определенными кластерами и схемами распространения, включая китайских хостинг-провайдеров и записи DNS.
Служба Intel-Ops обнаружила несколько маяков Cobalt Strike со специфическими водяными знаками, что позволило идентифицировать IP-адреса, связанные с недавними инцидентами с Black Basta. Анализ выявил различия в схемах размещения, основанных на водяных знаках, что позволяет предположить наличие различных кластеров в инфраструктуре Black Basta.
Анализ показателей Black Basta advisory охватывает только известные факторы, что указывает на дополнительные кластеры и корреляции. Аналитики по безопасности могут усилить свою защиту от таких групп, как Black Basta, используя методы, которым обучают на соответствующих курсах. Intel-Ops активно отслеживает эти показатели и предлагает информацию об угрозах уровня C2, а также дополнительные рекомендации, доступные на их курсах для систем отслеживания, таких как Cobalt Strike, и групп угроз, таких как Black Basta.
В конце статьи пользователям предлагается обратиться в Intel-Ops за дополнительной информацией о каналах C2, возможностях зачисления на курсы, узнать, как отслеживать инфраструктуру злоумышленников, и использовать их платформу для повышения безопасности. В тексте также перечислены конкретные IP-адреса, связанные с серверами Black Basta Cobalt Strike, на которых ведется охота.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что ФБР и CISA выпустили предупреждение в отношении группы программ-вымогателей Black Basta, подчеркнув, что они используют Cobalt Strike и конкретные детали инфраструктуры, такие как кластеризация серверов и DNS-маяки. Intel-Ops активно следит за деятельностью группы и предоставляет рекомендации о том, как отслеживать ее и защищаться от нее.
-----
ФБР и CISA недавно выпустили предупреждение #StopRansomware для группы вымогателей Black Basta, которая в 2024 году заняла третье место по общему числу жертв программ-вымогателей после LockBit и Play. В рекомендациях подчеркивается, что группа использует Cobalt Strike, а Intel-Ops активно отслеживает работу этих серверов в дикой природе. Некоторые ключевые выводы, сделанные в ходе анализа, включают выявление различных серверов Cobalt Strike, большинство из которых размещены у таких провайдеров, как Vultr, Digital Ocean и других.
Инфраструктура Black Basta разделена на отдельные кластеры, на серверах которых наблюдаются доминирующие водяные знаки. Большинство серверов Cobalt Strike используют DNS-маяки, указывающие на то, что эти серверы преимущественно размещены у определенных провайдеров. Выявлены дополнительные маяки Cobalt Strike для DNS, включая недавно обнаруженные домены, которые соответствуют соглашению об именовании известных маяков, перечисленных в рекомендациях.
Были обнаружены скопления маяков Cobalt Strike в инфраструктуре Black Basta, причем некоторые домены ранее были связаны с инцидентами Black Basta, связанными с Pikabot. Кроме того, эти серверы Cobalt Strike связаны с определенными кластерами и схемами распространения, включая китайских хостинг-провайдеров и записи DNS.
Служба Intel-Ops обнаружила несколько маяков Cobalt Strike со специфическими водяными знаками, что позволило идентифицировать IP-адреса, связанные с недавними инцидентами с Black Basta. Анализ выявил различия в схемах размещения, основанных на водяных знаках, что позволяет предположить наличие различных кластеров в инфраструктуре Black Basta.
Анализ показателей Black Basta advisory охватывает только известные факторы, что указывает на дополнительные кластеры и корреляции. Аналитики по безопасности могут усилить свою защиту от таких групп, как Black Basta, используя методы, которым обучают на соответствующих курсах. Intel-Ops активно отслеживает эти показатели и предлагает информацию об угрозах уровня C2, а также дополнительные рекомендации, доступные на их курсах для систем отслеживания, таких как Cobalt Strike, и групп угроз, таких как Black Basta.
В конце статьи пользователям предлагается обратиться в Intel-Ops за дополнительной информацией о каналах C2, возможностях зачисления на курсы, узнать, как отслеживать инфраструктуру злоумышленников, и использовать их платформу для повышения безопасности. В тексте также перечислены конкретные IP-адреса, связанные с серверами Black Basta Cobalt Strike, на которых ведется охота.
#ParsedReport #CompletenessMedium
21-05-2024
Analysis of "Hidden Shovel" Mining Trojan Activity
https://www.antiy.com/response/HideShoveling.html
Report completeness: Medium
Threats:
Hiddenshovel
Dll_hijacking_technique
Xmrig_miner
Process_injection_technique
TTPs:
Tactics: 3
Technics: 0
ChatGPT TTPs:
T1055, T1574, T1562, T1053, T1218, T1485, T1574.002
IOCs:
File: 28
Path: 8
IP: 6
Command: 2
Registry: 1
Url: 16
Hash: 10
Domain: 4
Soft:
curl, Windows Defender
Algorithms:
crc-64
Win Services:
bits
Languages:
powershell, golang
21-05-2024
Analysis of "Hidden Shovel" Mining Trojan Activity
https://www.antiy.com/response/HideShoveling.html
Report completeness: Medium
Threats:
Hiddenshovel
Dll_hijacking_technique
Xmrig_miner
Process_injection_technique
TTPs:
Tactics: 3
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1055, T1574, T1562, T1053, T1218, T1485, T1574.002
IOCs:
File: 28
Path: 8
IP: 6
Command: 2
Registry: 1
Url: 16
Hash: 10
Domain: 4
Soft:
curl, Windows Defender
Algorithms:
crc-64
Win Services:
bits
Languages:
powershell, golang
CTT Report Hub
#ParsedReport #CompletenessMedium 21-05-2024 Analysis of "Hidden Shovel" Mining Trojan Activity https://www.antiy.com/response/HideShoveling.html Report completeness: Medium Threats: Hiddenshovel Dll_hijacking_technique Xmrig_miner Process_injection_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в обнаружении и анализе новой троянской атаки на майнинг под названием "Скрытая лопата", разработанной Antiy CERT, с подробным описанием ее усовершенствованной тактики уклонения, механизмов сохранения и важности надежных мер кибербезопасности для эффективного противодействия таким угрозам.
-----
Недавно в ходе мониторинга сетевой безопасности Antiy CERT обнаружила новую атаку троянской программы для майнинга под названием "Скрытая лопата". Впервые обнаруженная в ноябре 2023 года, эта вредоносная программа прошла многочисленные обновления, и ее текущая версия - 3.0. Атака продолжается, и число заражений растет, что объясняется его надежной маскировкой и функциями защиты от анализа. Заслуживающие внимания характеристики трояна включают в себя бэкдор для перехвата библиотек DLL и методы внедрения шеллкода.
В борьбе с антивирусным программным обеспечением злоумышленники использовали инновационную тактику. Один из методов заключался в использовании старых версий драйвера ядра антивирусного программного обеспечения для отключения антивирусного программного обеспечения и защиты от EDR. Это было достигнуто с помощью сценария PowerShell, который загружает и устанавливает устаревший драйвер, автономного сценария PowerShell и исполняемого файла контроллера для управления. В другом методе использовалась служба MSDTC для загрузки DLL-библиотеки бэкдоров для самозапускающихся бэкдоров и обеспечения сохраняемости. Используя компонент MTxOCI в MSDTC, злоумышленники смогли загрузить переименованную DLL-библиотеку бэкдора для обеспечения постоянных операций. Эти методы были успешными в обходе и нарушении работы многих антивирусных решений.
Было подтверждено, что система защиты терминала Antiy Zhijia остается незатронутой более старым драйвером антивирусного ядра и может эффективно обнаруживать и устранять DLL-бэкдор. Процесс запуска троянской программы для майнинга "Hidden Shovel" включает загрузку скрипта PowerShell с именем "get.png" со взломанного сервера. После расшифровки скрипт выполняет проверку хэша, планирует задачи, отключает системное антивирусное программное обеспечение и создает службы. После этого загружаются дополнительные скрипты и файлы, что приводит к развертыванию старых драйверов ядра для завершения работы программ безопасности с использованием контроллера в процессе powershell.exe.
Злоумышленники также используют службу MSDTC для перехвата DLL-файлов, загружая DLL-файлы с черного хода. Скрипт также содержит ссылки на будущие загрузки скриптов, такие как "backup.png", для получения дополнительных функциональных возможностей. В конечном итоге троянец-майнинг загружает программу для майнинга вместе с ее компонентами для целей майнинга.
Чтобы обеспечить успешную работу и избежать обнаружения, злоумышленники предпринимают действия, направленные на устранение постоянных операций конкурирующих троянских программ для майнинга. Они используют такие механизмы, как службы DoH, традиционные DNS-запросы и резервные IP-адреса для разрешения IP-адресов. Детали конфигурации в рамках атаки включают конкретные строки и манипуляции с сервисом MSDTC для определения исполняемого файла и загрузки компонентов интеллектуального анализа данных с сервера злоумышленника.
Более того, Antiy спланировал весь процесс атаки, подробно описав каждый шаг злоумышленника, запускающего троянскую программу для майнинга, и сопоставив ее с платформой MITRE ATT&CK для ознакомления и анализа.
Подводя итог, можно сказать, что троян для майнинга "Hidden Shovel" представляет собой сложную и эволюционирующую угрозу с передовыми методами обхода, механизмами сохранения и возможностями взлома программного обеспечения безопасности, что подчеркивает важность надежных мер кибербезопасности для эффективного снижения таких рисков. Специалисты по кибербезопасности должны сохранять бдительность и проактивность при защите от возникающих угроз, подобных этому троянскому майнингу.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в обнаружении и анализе новой троянской атаки на майнинг под названием "Скрытая лопата", разработанной Antiy CERT, с подробным описанием ее усовершенствованной тактики уклонения, механизмов сохранения и важности надежных мер кибербезопасности для эффективного противодействия таким угрозам.
-----
Недавно в ходе мониторинга сетевой безопасности Antiy CERT обнаружила новую атаку троянской программы для майнинга под названием "Скрытая лопата". Впервые обнаруженная в ноябре 2023 года, эта вредоносная программа прошла многочисленные обновления, и ее текущая версия - 3.0. Атака продолжается, и число заражений растет, что объясняется его надежной маскировкой и функциями защиты от анализа. Заслуживающие внимания характеристики трояна включают в себя бэкдор для перехвата библиотек DLL и методы внедрения шеллкода.
В борьбе с антивирусным программным обеспечением злоумышленники использовали инновационную тактику. Один из методов заключался в использовании старых версий драйвера ядра антивирусного программного обеспечения для отключения антивирусного программного обеспечения и защиты от EDR. Это было достигнуто с помощью сценария PowerShell, который загружает и устанавливает устаревший драйвер, автономного сценария PowerShell и исполняемого файла контроллера для управления. В другом методе использовалась служба MSDTC для загрузки DLL-библиотеки бэкдоров для самозапускающихся бэкдоров и обеспечения сохраняемости. Используя компонент MTxOCI в MSDTC, злоумышленники смогли загрузить переименованную DLL-библиотеку бэкдора для обеспечения постоянных операций. Эти методы были успешными в обходе и нарушении работы многих антивирусных решений.
Было подтверждено, что система защиты терминала Antiy Zhijia остается незатронутой более старым драйвером антивирусного ядра и может эффективно обнаруживать и устранять DLL-бэкдор. Процесс запуска троянской программы для майнинга "Hidden Shovel" включает загрузку скрипта PowerShell с именем "get.png" со взломанного сервера. После расшифровки скрипт выполняет проверку хэша, планирует задачи, отключает системное антивирусное программное обеспечение и создает службы. После этого загружаются дополнительные скрипты и файлы, что приводит к развертыванию старых драйверов ядра для завершения работы программ безопасности с использованием контроллера в процессе powershell.exe.
Злоумышленники также используют службу MSDTC для перехвата DLL-файлов, загружая DLL-файлы с черного хода. Скрипт также содержит ссылки на будущие загрузки скриптов, такие как "backup.png", для получения дополнительных функциональных возможностей. В конечном итоге троянец-майнинг загружает программу для майнинга вместе с ее компонентами для целей майнинга.
Чтобы обеспечить успешную работу и избежать обнаружения, злоумышленники предпринимают действия, направленные на устранение постоянных операций конкурирующих троянских программ для майнинга. Они используют такие механизмы, как службы DoH, традиционные DNS-запросы и резервные IP-адреса для разрешения IP-адресов. Детали конфигурации в рамках атаки включают конкретные строки и манипуляции с сервисом MSDTC для определения исполняемого файла и загрузки компонентов интеллектуального анализа данных с сервера злоумышленника.
Более того, Antiy спланировал весь процесс атаки, подробно описав каждый шаг злоумышленника, запускающего троянскую программу для майнинга, и сопоставив ее с платформой MITRE ATT&CK для ознакомления и анализа.
Подводя итог, можно сказать, что троян для майнинга "Hidden Shovel" представляет собой сложную и эволюционирующую угрозу с передовыми методами обхода, механизмами сохранения и возможностями взлома программного обеспечения безопасности, что подчеркивает важность надежных мер кибербезопасности для эффективного снижения таких рисков. Специалисты по кибербезопасности должны сохранять бдительность и проактивность при защите от возникающих угроз, подобных этому троянскому майнингу.
#ParsedReport #CompletenessLow
22-05-2024
Stealers, stealers and more stealers
https://securelist.com/crimeware-report-stealers/112633
Report completeness: Low
Threats:
Acrid_stealer
Scarletstealer
Sys01_stealer
Acridrain
Heavens_gate_technique
Penguish
Album_stealer
S1deload
Ioncube_tool
Geo:
Indonesia, Africa, Usa, Egypt, Algeria, Vietnam, Portugal, Turkey, India, Brazil
ChatGPT TTPs:
T1566, T1547, T1218, T1574, T1027, T1562, T1071
IOCs:
File: 10
Path: 1
Hash: 6
Soft:
Chrome
Wallets:
metamask
Algorithms:
zip
Languages:
powershell, php
22-05-2024
Stealers, stealers and more stealers
https://securelist.com/crimeware-report-stealers/112633
Report completeness: Low
Threats:
Acrid_stealer
Scarletstealer
Sys01_stealer
Acridrain
Heavens_gate_technique
Penguish
Album_stealer
S1deload
Ioncube_tool
Geo:
Indonesia, Africa, Usa, Egypt, Algeria, Vietnam, Portugal, Turkey, India, Brazil
ChatGPT TTPs:
do not use without manual checkT1566, T1547, T1218, T1574, T1027, T1562, T1071
IOCs:
File: 10
Path: 1
Hash: 6
Soft:
Chrome
Wallets:
metamask
Algorithms:
zip
Languages:
powershell, php
Securelist
Crimeware report: Acrid, ScarletStealer and Sys01 stealers
In this report, we discuss two new stealers: Acrid and ScarletStealer, and an evolution of the known Sys01 stealer, with the latter two dividing stealer functionality across several modules.
CTT Report Hub
#ParsedReport #CompletenessLow 22-05-2024 Stealers, stealers and more stealers https://securelist.com/crimeware-report-stealers/112633 Report completeness: Low Threats: Acrid_stealer Scarletstealer Sys01_stealer Acridrain Heavens_gate_technique Penguish…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в постоянной угрозе, исходящей от похитителей вредоносных программ, и подчеркивает появление новых вариантов, таких как Acrid, ScarletStealer и Sys01. В нем описываются функциональные возможности, методы распространения и уровни сложности каждого взломщика, подчеркивается необходимость применения надежных методов кибербезопасности для снижения рисков и защиты от таких угроз.
-----
Стилеры по-прежнему представляют серьезную угрозу в мире вредоносных программ, и продолжающиеся исследования выявляют новые варианты, такие как Acrid, ScarletStealer и Sys01. Acrid, обнаруженный в декабре, использует технологию "Небесных врат" для обхода контроля безопасности и работает на 32-разрядных системах, несмотря на преобладание 64-разрядных систем. Он обладает типичными для stealer функциями архивирования и отправки собранных данных на свой сервер управления и контроля, демонстрируя среднюю степень сложности, например, шифрование строк, но не обладая инновационными функциями.
ScarletStealer, идентифицированный с помощью анализа загрузчика под названием Penguish, выделяется тем, что размещает свои функции по краже в других загружаемых им двоичных файлах, ориентируясь на файлы, связанные с криптовалютой, и расширения Chrome. The stealer, распространяемый в основном в таких странах, как Бразилия, Турция и США, содержит множество ошибок и избыточный код, что указывает на недостаточную разработанность, несмотря на то, что он подписан цифровыми сертификатами.
SYS01, или "Album Stealer", появился как малоизвестный стилер, который в 2022 году перешел с C# на PHP-фреймворк. Он распространяется с помощью тактики обмана, маскируя вредоносную нагрузку в поддельных видеоархивах для взрослых, распространяемых через скомпрометированные платформы, такие как Facebook. Злоумышленник, воздействующий на жертв по всему миру с фокусом в Алжире, извлекает данные Facebook, сведения о браузере и включает в себя функции бэкдора для выполнения команд, демонстрируя предпочтение доменам верхнего уровня.top.
Эволюция и разнообразие программ-перехватчиков подчеркивает постоянный спрос на такие вредоносные программы на криминальном рынке. Различные уровни сложности и функциональности программ-перехватчиков подчеркивают необходимость применения надежных методов обеспечения кибербезопасности. Для снижения рисков, связанных с перехватчиками и другими угрозами, рекомендуется регулярно обновлять программное обеспечение, соблюдать осторожность при загрузке и следить за подозрительными электронными письмами. Кроме того, использование решений безопасности, таких как SystemWatcher, для мониторинга поведения системы может повысить общую защиту от вредоносных действий.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в постоянной угрозе, исходящей от похитителей вредоносных программ, и подчеркивает появление новых вариантов, таких как Acrid, ScarletStealer и Sys01. В нем описываются функциональные возможности, методы распространения и уровни сложности каждого взломщика, подчеркивается необходимость применения надежных методов кибербезопасности для снижения рисков и защиты от таких угроз.
-----
Стилеры по-прежнему представляют серьезную угрозу в мире вредоносных программ, и продолжающиеся исследования выявляют новые варианты, такие как Acrid, ScarletStealer и Sys01. Acrid, обнаруженный в декабре, использует технологию "Небесных врат" для обхода контроля безопасности и работает на 32-разрядных системах, несмотря на преобладание 64-разрядных систем. Он обладает типичными для stealer функциями архивирования и отправки собранных данных на свой сервер управления и контроля, демонстрируя среднюю степень сложности, например, шифрование строк, но не обладая инновационными функциями.
ScarletStealer, идентифицированный с помощью анализа загрузчика под названием Penguish, выделяется тем, что размещает свои функции по краже в других загружаемых им двоичных файлах, ориентируясь на файлы, связанные с криптовалютой, и расширения Chrome. The stealer, распространяемый в основном в таких странах, как Бразилия, Турция и США, содержит множество ошибок и избыточный код, что указывает на недостаточную разработанность, несмотря на то, что он подписан цифровыми сертификатами.
SYS01, или "Album Stealer", появился как малоизвестный стилер, который в 2022 году перешел с C# на PHP-фреймворк. Он распространяется с помощью тактики обмана, маскируя вредоносную нагрузку в поддельных видеоархивах для взрослых, распространяемых через скомпрометированные платформы, такие как Facebook. Злоумышленник, воздействующий на жертв по всему миру с фокусом в Алжире, извлекает данные Facebook, сведения о браузере и включает в себя функции бэкдора для выполнения команд, демонстрируя предпочтение доменам верхнего уровня.top.
Эволюция и разнообразие программ-перехватчиков подчеркивает постоянный спрос на такие вредоносные программы на криминальном рынке. Различные уровни сложности и функциональности программ-перехватчиков подчеркивают необходимость применения надежных методов обеспечения кибербезопасности. Для снижения рисков, связанных с перехватчиками и другими угрозами, рекомендуется регулярно обновлять программное обеспечение, соблюдать осторожность при загрузке и следить за подозрительными электронными письмами. Кроме того, использование решений безопасности, таких как SystemWatcher, для мониторинга поведения системы может повысить общую защиту от вредоносных действий.
#ParsedReport #CompletenessMedium
22-05-2024
CatDDoS. Analysis on the recent surge in activities of CatDDoS groups
https://blog.xlab.qianxin.com/catddos-derivative-cn
Report completeness: Medium
Actors/Campaigns:
Meow
Threats:
Catddos
Log4shell_vuln
Netis
Mirai
Fodcha
Victims:
United arab emirates telecommunications regulatory authority, Cloud vendors, Education, Scientific research, Information transmission, Public management, Construction
Industry:
Healthcare, Iot, Telco, Education
Geo:
Brazil, Emirates, Germany, France, China
ChatGPT TTPs:
T1583, T1046, T1095, T1090, T1132, T1027, T1486, T1071
IOCs:
File: 24
Hash: 12
Domain: 27
IP: 13
Soft:
ActiveMQ, Rocketmq, FreePBX, Android, Hadoop, Jenkins, LB-LINK, Metabase, Ruckus, Tenda, have more...
Algorithms:
chacha20, xxtea
Languages:
javascript
22-05-2024
CatDDoS. Analysis on the recent surge in activities of CatDDoS groups
https://blog.xlab.qianxin.com/catddos-derivative-cn
Report completeness: Medium
Actors/Campaigns:
Meow
Threats:
Catddos
Log4shell_vuln
Netis
Mirai
Fodcha
Victims:
United arab emirates telecommunications regulatory authority, Cloud vendors, Education, Scientific research, Information transmission, Public management, Construction
Industry:
Healthcare, Iot, Telco, Education
Geo:
Brazil, Emirates, Germany, France, China
ChatGPT TTPs:
do not use without manual checkT1583, T1046, T1095, T1090, T1132, T1027, T1486, T1071
IOCs:
File: 24
Hash: 12
Domain: 27
IP: 13
Soft:
ActiveMQ, Rocketmq, FreePBX, Android, Hadoop, Jenkins, LB-LINK, Metabase, Ruckus, Tenda, have more...
Algorithms:
chacha20, xxtea
Languages:
javascript
奇安信 X 实验室
CatDDoS系团伙近期活动激增分析
概述
XLab大网威胁感知系统会对当前活跃的主流DDoS僵尸网络家族进行持续跟踪和监控,最近3个月,这套系统观察到CatDDoS系团伙持续活跃,利用的漏洞数量达80+,攻击目标数量最大峰值300+/d,鉴于其活跃程度,我们整理了一份近期的各种数据分享给社区以供参考。
漏洞利用
根据视野内的数据,我们观察到CatDDoS系团伙最近3个月使用了大量的已知漏洞传播样本,总数达80多个。具体漏洞如下:
这些漏洞影响的厂商设备如下:
vendor Name
product Name…
XLab大网威胁感知系统会对当前活跃的主流DDoS僵尸网络家族进行持续跟踪和监控,最近3个月,这套系统观察到CatDDoS系团伙持续活跃,利用的漏洞数量达80+,攻击目标数量最大峰值300+/d,鉴于其活跃程度,我们整理了一份近期的各种数据分享给社区以供参考。
漏洞利用
根据视野内的数据,我们观察到CatDDoS系团伙最近3个月使用了大量的已知漏洞传播样本,总数达80多个。具体漏洞如下:
这些漏洞影响的厂商设备如下:
vendor Name
product Name…
CTT Report Hub
#ParsedReport #CompletenessMedium 22-05-2024 CatDDoS. Analysis on the recent surge in activities of CatDDoS groups https://blog.xlab.qianxin.com/catddos-derivative-cn Report completeness: Medium Actors/Campaigns: Meow Threats: Catddos Log4shell_vuln Netis…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что система оповещения о сетевых угрозах XLabBig активно отслеживает группу CatDDoS, разновидность ботнета Mirai, которая использует уязвимости в различных отраслях по всему миру. В тексте также рассматриваются различные варианты CatDDoS-атак, совместное использование шаблонов различными группами ботнетов и тенденция к возникновению конфликтов между различными операторами ботнетов. В нем подчеркивается важность использования передовых систем анализа угроз для проведения детального анализа угроз.
-----
Система оповещения о сетевых угрозах XLabBig в течение последних трех месяцев активно отслеживала CatDDoS, разновидность ботнета Mirai. Система отметила, что в ходе CatDDoS-атак постоянно использовались уязвимости, при этом количество использованных уязвимостей превысило 80, а максимальное количество ежедневных целей атаки превысило 300. Данные, собранные системой, указывают на то, что CatDDoS-атаки имеют глобальный охват, а цели атак охватывают различные отрасли, такие как поставщики облачных услуг, образование, научные исследования, передача информации и государственное управление. Регулирующий орган телекоммуникаций Объединенных Арабских Эмиратов также стал объектом CatDDoS-атак.
CatDDoS имеет множество вариантов, среди которых наиболее активными являются CatDDoS версии 2.0.4 и v-Rebirth (RebirthLTD). Несмотря на различия в работе, эти варианты имеют сходство в коде, дизайне связи, строках и методах расшифровки. Известные варианты в семействе CatDDoS включают v-snow_slide и v-ihateyou, каждый из которых обладает своими отличными характеристиками. v-snow_slide, обнаруженный в октябре 2023 года, демонстрирует особенности, предполагающие подключение к ботнету Fodcha, в частности, с помощью общих элементов кода и протоколов связи.
В тексте также подчеркивается концепция совместного использования шаблонов различными группами ботнетов, при которой идентичный исходный код модифицируется и передается онлайн для последующей разработки. Этот обмен информацией распространяется и на использование алгоритма chacha20, при этом по меньшей мере три семейства ботнетов идентифицированы как использующие один и тот же алгоритм с идентичными комбинациями ключей и одноразовых значений. Более того, анализ целей CatDDoS-атак выявляет тенденцию нацеливания на объекты C2 других вариантов или семейств, что указывает на продолжающиеся столкновения и конфликты между различными операторами ботнетов, что является общей чертой ботнетов Интернета вещей.
В статье подчеркивается важность использования передовых систем анализа угроз, таких как XLabBig, для проведения детального анализа угроз. Исследователи призывают заинтересованные стороны связаться с нами через Twitter для получения дополнительной информации о результатах их исследований и методологиях.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что система оповещения о сетевых угрозах XLabBig активно отслеживает группу CatDDoS, разновидность ботнета Mirai, которая использует уязвимости в различных отраслях по всему миру. В тексте также рассматриваются различные варианты CatDDoS-атак, совместное использование шаблонов различными группами ботнетов и тенденция к возникновению конфликтов между различными операторами ботнетов. В нем подчеркивается важность использования передовых систем анализа угроз для проведения детального анализа угроз.
-----
Система оповещения о сетевых угрозах XLabBig в течение последних трех месяцев активно отслеживала CatDDoS, разновидность ботнета Mirai. Система отметила, что в ходе CatDDoS-атак постоянно использовались уязвимости, при этом количество использованных уязвимостей превысило 80, а максимальное количество ежедневных целей атаки превысило 300. Данные, собранные системой, указывают на то, что CatDDoS-атаки имеют глобальный охват, а цели атак охватывают различные отрасли, такие как поставщики облачных услуг, образование, научные исследования, передача информации и государственное управление. Регулирующий орган телекоммуникаций Объединенных Арабских Эмиратов также стал объектом CatDDoS-атак.
CatDDoS имеет множество вариантов, среди которых наиболее активными являются CatDDoS версии 2.0.4 и v-Rebirth (RebirthLTD). Несмотря на различия в работе, эти варианты имеют сходство в коде, дизайне связи, строках и методах расшифровки. Известные варианты в семействе CatDDoS включают v-snow_slide и v-ihateyou, каждый из которых обладает своими отличными характеристиками. v-snow_slide, обнаруженный в октябре 2023 года, демонстрирует особенности, предполагающие подключение к ботнету Fodcha, в частности, с помощью общих элементов кода и протоколов связи.
В тексте также подчеркивается концепция совместного использования шаблонов различными группами ботнетов, при которой идентичный исходный код модифицируется и передается онлайн для последующей разработки. Этот обмен информацией распространяется и на использование алгоритма chacha20, при этом по меньшей мере три семейства ботнетов идентифицированы как использующие один и тот же алгоритм с идентичными комбинациями ключей и одноразовых значений. Более того, анализ целей CatDDoS-атак выявляет тенденцию нацеливания на объекты C2 других вариантов или семейств, что указывает на продолжающиеся столкновения и конфликты между различными операторами ботнетов, что является общей чертой ботнетов Интернета вещей.
В статье подчеркивается важность использования передовых систем анализа угроз, таких как XLabBig, для проведения детального анализа угроз. Исследователи призывают заинтересованные стороны связаться с нами через Twitter для получения дополнительной информации о результатах их исследований и методологиях.
#ParsedReport #CompletenessLow
22-05-2024
XMRig CoinMiner installed via game emulator
https://asec.ahnlab.com/ko/65604
Report completeness: Low
Threats:
Xmrig_miner
Coinminer
Trojan/win.agent.c5623899
Trojan/win.generic.r603077
ChatGPT TTPs:
T1566, T1204, T1059, T1547, T1106
IOCs:
File: 3
Registry: 1
Path: 2
Hash: 2
Soft:
task scheduler
Languages:
powershell
22-05-2024
XMRig CoinMiner installed via game emulator
https://asec.ahnlab.com/ko/65604
Report completeness: Low
Threats:
Xmrig_miner
Coinminer
Trojan/win.agent.c5623899
Trojan/win.generic.r603077
ChatGPT TTPs:
do not use without manual checkT1566, T1204, T1059, T1547, T1106
IOCs:
File: 3
Registry: 1
Path: 2
Hash: 2
Soft:
task scheduler
Languages:
powershell
ASEC BLOG
게임 에뮬레이터를 통해 설치되는 XMRig 코인마이너 - ASEC BLOG
AhnLab SEcurity intelligence Center(ASEC)은 최근 게임 에뮬레이터를 통해 XMRig코인마이너가 유포되고 있는 정황을 확인하였다. 이러한 사례들은 이미 아래의 ASEC 블로그와 같이 다수 소개된 바 있다. 1. 유포 경로 코인마이너가 유포된 경로는 유명 게임기기의 게임 에뮬레이터를 배포하는 사이트로 확인되었으며, 해당 사이트의 우측에 있는 다운로드 버튼을 누를 시 게임 에뮬레이터의 압축파일을 다운로드 받을 수 있다. 실제…