#ParsedReport #CompletenessMedium
02-06-2024
BlackSuit Attack Analysis
https://www.reliaquest.com/blog/blacksuit-attack-analysis
Report completeness: Medium
Threats:
Blacksuit
Kerberoasting_technique
Burden
Royal_ransomware
Conti
Rubeus_tool
Powersharppack_tool
Ntdsutil_tool
Industry:
Financial, Education, Healthcare
TTPs:
Tactics: 5
Technics: 0
IOCs:
File: 1
Path: 1
Command: 2
Soft:
PsExec, WinSCP, VirtualBox
Algorithms:
7zip, aes, rc4
Languages:
powershell
Links:
02-06-2024
BlackSuit Attack Analysis
https://www.reliaquest.com/blog/blacksuit-attack-analysis
Report completeness: Medium
Threats:
Blacksuit
Kerberoasting_technique
Burden
Royal_ransomware
Conti
Rubeus_tool
Powersharppack_tool
Ntdsutil_tool
Industry:
Financial, Education, Healthcare
TTPs:
Tactics: 5
Technics: 0
IOCs:
File: 1
Path: 1
Command: 2
Soft:
PsExec, WinSCP, VirtualBox
Algorithms:
7zip, aes, rc4
Languages:
powershell
Links:
https://github.com/S3cur3Th1sSh1t/PowerSharpPackReliaQuest
BlackSuit Attack Analysis - ReliaQuest
April 2024, a ReliaQuest analysis revealed BlackSuit ransomware's tactics, from Kerberoasting to data exfiltration, targeting critical US sectors since May 2023.
CTT Report Hub
#ParsedReport #CompletenessMedium 02-06-2024 BlackSuit Attack Analysis https://www.reliaquest.com/blog/blacksuit-attack-analysis Report completeness: Medium Threats: Blacksuit Kerberoasting_technique Burden Royal_ransomware Conti Rubeus_tool Powersharppack_tool…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что компания ReliaQuest, занимающаяся кибербезопасностью, обнаружила кибератаку, инициированную группой вымогателей BlackSuit, и отреагировала на нее, подчеркнув тактику группы, стратегии нацеливания и важность стратегий глубокой защиты и автоматизированного реагирования для организаций для смягчения воздействия таких угроз.
-----
Компания ReliaQuest, занимающаяся кибербезопасностью, обнаружила использование Kerberoasting в среде клиента в апреле 2024 года, что сигнализирует о начале кибератаки со стороны группы программ-вымогателей "BlackSuit". Эта атака привела к шифрованию критически важной системы и утечке конфиденциальных данных. С мая 2023 года BlackSuit атакует американские компании, особенно в таких секторах, как образование и производство промышленных товаров, используя различные методы для развертывания программ-вымогателей. Расследование, проведенное исследовательской группой ReliaQuest по изучению угроз, показало, что BlackSuit использует PsExec для бокового перемещения, керберинга, утечки данных и развертывания программ-вымогателей с виртуальной машины.
В отчете подчеркивается эффективность простых тактик, используемых BlackSuit, таких как грубое принуждение, PsExec и FTP для бокового перемещения и эксфильтрации, демонстрируя проблемы, связанные с устранением этих методов. Группа вымогателей BlackSuit была связана с операцией Royal ransomware, демонстрируя родословную опытных и технически грамотных операторов. Они нацелены на множество организаций в различных отраслях промышленности США, стремясь получить финансовую выгоду за счет использования секторов с ограниченными бюджетами на кибербезопасность или низкой терпимостью к простоям.
BlackSuit продемонстрировал предпочтение хорошо известным протоколам TTP, таким как PsExec, RDP и Rubeus, что указывает на необходимость принятия организациями комплексных стратегий защиты для противодействия таким угрозам. Анализ конкретной атаки показал, как злоумышленник получил первоначальный доступ с помощью перебора VPN, что привело к дальнейшим компрометациям с помощью Kerberoasting и утечки данных. В отчете предлагаются такие действия, как отключение поддержки слабого шифрования для Kerberoasting и внедрение "канареек" для общего доступа к сети, чтобы усилить защиту от таких атак.
В ходе расследования был подробно описан жизненный цикл атаки - от первоначального доступа через неправильно настроенный VPN до окончательного шифрования с помощью командной строки Windows Management Instrumentation (WMIC). Использование виртуальной машины Windows для маскировки развертывания программ-вымогателей и использование PsExec для горизонтального перемещения были названы важными шагами в цепочке атак. В отчете подчеркивалась важность автоматизации реагирования и сдерживания, чтобы переложить бремя ответственности на злоумышленника на критических этапах атаки.
Рекомендации, представленные в отчете, направлены на то, чтобы помочь организациям повысить эффективность защиты от программ-вымогателей, подобных тем, которые реализуются BlackSuit. В нем подчеркивается необходимость обеспечения полной видимости конечных точек, правильной настройки VPN и автоматизированных механизмов реагирования для обнаружения и предотвращения атак на ранних стадиях. Понимая простые TTP, используемые такими злоумышленниками, как BlackSuit, и противодействуя им, организации могут эффективно смягчать последствия кибератак.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что компания ReliaQuest, занимающаяся кибербезопасностью, обнаружила кибератаку, инициированную группой вымогателей BlackSuit, и отреагировала на нее, подчеркнув тактику группы, стратегии нацеливания и важность стратегий глубокой защиты и автоматизированного реагирования для организаций для смягчения воздействия таких угроз.
-----
Компания ReliaQuest, занимающаяся кибербезопасностью, обнаружила использование Kerberoasting в среде клиента в апреле 2024 года, что сигнализирует о начале кибератаки со стороны группы программ-вымогателей "BlackSuit". Эта атака привела к шифрованию критически важной системы и утечке конфиденциальных данных. С мая 2023 года BlackSuit атакует американские компании, особенно в таких секторах, как образование и производство промышленных товаров, используя различные методы для развертывания программ-вымогателей. Расследование, проведенное исследовательской группой ReliaQuest по изучению угроз, показало, что BlackSuit использует PsExec для бокового перемещения, керберинга, утечки данных и развертывания программ-вымогателей с виртуальной машины.
В отчете подчеркивается эффективность простых тактик, используемых BlackSuit, таких как грубое принуждение, PsExec и FTP для бокового перемещения и эксфильтрации, демонстрируя проблемы, связанные с устранением этих методов. Группа вымогателей BlackSuit была связана с операцией Royal ransomware, демонстрируя родословную опытных и технически грамотных операторов. Они нацелены на множество организаций в различных отраслях промышленности США, стремясь получить финансовую выгоду за счет использования секторов с ограниченными бюджетами на кибербезопасность или низкой терпимостью к простоям.
BlackSuit продемонстрировал предпочтение хорошо известным протоколам TTP, таким как PsExec, RDP и Rubeus, что указывает на необходимость принятия организациями комплексных стратегий защиты для противодействия таким угрозам. Анализ конкретной атаки показал, как злоумышленник получил первоначальный доступ с помощью перебора VPN, что привело к дальнейшим компрометациям с помощью Kerberoasting и утечки данных. В отчете предлагаются такие действия, как отключение поддержки слабого шифрования для Kerberoasting и внедрение "канареек" для общего доступа к сети, чтобы усилить защиту от таких атак.
В ходе расследования был подробно описан жизненный цикл атаки - от первоначального доступа через неправильно настроенный VPN до окончательного шифрования с помощью командной строки Windows Management Instrumentation (WMIC). Использование виртуальной машины Windows для маскировки развертывания программ-вымогателей и использование PsExec для горизонтального перемещения были названы важными шагами в цепочке атак. В отчете подчеркивалась важность автоматизации реагирования и сдерживания, чтобы переложить бремя ответственности на злоумышленника на критических этапах атаки.
Рекомендации, представленные в отчете, направлены на то, чтобы помочь организациям повысить эффективность защиты от программ-вымогателей, подобных тем, которые реализуются BlackSuit. В нем подчеркивается необходимость обеспечения полной видимости конечных точек, правильной настройки VPN и автоматизированных механизмов реагирования для обнаружения и предотвращения атак на ранних стадиях. Понимая простые TTP, используемые такими злоумышленниками, как BlackSuit, и противодействуя им, организации могут эффективно смягчать последствия кибератак.
#ParsedReport #CompletenessLow
03-06-2024
Unveiling Sharp Pandas new loader. Static analysis
https://securite360.net/unveiling-sharp-pandas-new-loader
Report completeness: Low
Actors/Campaigns:
Sharppanda
Threats:
Junk_code_technique
8t_dropper
Geo:
China, Asia, Chinese
ChatGPT TTPs:
T1566.001, T1027, T1055, T1140, T1105, T1547.001, T1056.001
IOCs:
File: 5
Hash: 1
Soft:
Microsoft Word, Windows Task Scheduler
Algorithms:
sha1
Functions:
SetWindowsHookEx
Win API:
LoadLibraryExW, CreateFileW, CoInitializeEx, CoInitializeSecurity, CoCreateInstance, TerminateProcess, SetWindowsHookExA, SetWindowsHookExW, UnhookWindowsHookEx, CallNextHookEx, have more...
Links:
03-06-2024
Unveiling Sharp Pandas new loader. Static analysis
https://securite360.net/unveiling-sharp-pandas-new-loader
Report completeness: Low
Actors/Campaigns:
Sharppanda
Threats:
Junk_code_technique
8t_dropper
Geo:
China, Asia, Chinese
ChatGPT TTPs:
do not use without manual checkT1566.001, T1027, T1055, T1140, T1105, T1547.001, T1056.001
IOCs:
File: 5
Hash: 1
Soft:
Microsoft Word, Windows Task Scheduler
Algorithms:
sha1
Functions:
SetWindowsHookEx
Win API:
LoadLibraryExW, CreateFileW, CoInitializeEx, CoInitializeSecurity, CoCreateInstance, TerminateProcess, SetWindowsHookExA, SetWindowsHookExW, UnhookWindowsHookEx, CallNextHookEx, have more...
Links:
https://github.com/mandiant/flare-floss
CTT Report Hub
#ParsedReport #CompletenessLow 03-06-2024 Unveiling Sharp Pandas new loader. Static analysis https://securite360.net/unveiling-sharp-pandas-new-loader Report completeness: Low Actors/Campaigns: Sharppanda Threats: Junk_code_technique 8t_dropper Geo:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея: В тексте содержится анализ новой вредоносной программы-дроппера, связанной с Sharp Panda, с подробным описанием ее методов обмана, функциональности в качестве загрузчика, механизмов сохранения и потенциального наличия возможностей кейлоггинга. Это знаменует собой изменение тактики Sharp Panda и вызывает опасения по поводу кражи данных, вызывая вопросы о ее истинных возможностях и возможных связях с другими группами угроз.
-----
В тексте описывается анализ новой вредоносной программы-дроппера, приписываемой Sharp Panda, с акцентом на ее функциональность и поведение. Вредоносная программа представляет собой 64-разрядный исполняемый файл, который выдает себя за документ Microsoft Word для обмана пользователей. Он использует такие методы, как API и хеширование строк, а также стековые строки, чтобы скрыть свою истинную природу.
Вредоносная программа действует как загрузчик, пытаясь загрузить вредоносные библиотеки DLL в память, используя такие функции, как LoadLibraryExW. Если существующие вредоносные библиотеки DLL не обнаружены, она расшифровывает путь к вредоносной библиотеке DLL для следующего этапа и записывает его на диск. Затем вредоносная программа создает документ-приманку в формате .docx и вредоносную библиотеку DLL, замаскированную под ini-файл. Она устанавливает запланированную задачу для сохранения и запуска вредоносной библиотеки DLL перед завершением собственного процесса.
Примечательно, что вредоносная программа содержит неиспользуемые фрагменты кода, которые предполагают возможности кейлоггинга, поддерживаемые импортом API-перехватчиков, обычно используемых кейлоггерами. Наличие этих функций указывает на злой умысел, что вызывает опасения по поводу потенциальной кражи данных с помощью мониторинга нажатий клавиш.
Кампания, связанная с этим вредоносным ПО, представляет собой изменение тактики Sharp Panda, которая отказывается от использования уязвимостей редактора Equation в Microsoft Word. В отчете Checkpoint говорится о появлении нового дроппера, используемого Sharp Panda, что вызывает вопросы о его истинных возможностях и потенциальных связях с другими группами угроз, связанными с Китаем. Компания Checkpoint провела ребрендинг Sharp Panda на Sharp Dragon, чтобы избежать путаницы с названиями других поставщиков.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея: В тексте содержится анализ новой вредоносной программы-дроппера, связанной с Sharp Panda, с подробным описанием ее методов обмана, функциональности в качестве загрузчика, механизмов сохранения и потенциального наличия возможностей кейлоггинга. Это знаменует собой изменение тактики Sharp Panda и вызывает опасения по поводу кражи данных, вызывая вопросы о ее истинных возможностях и возможных связях с другими группами угроз.
-----
В тексте описывается анализ новой вредоносной программы-дроппера, приписываемой Sharp Panda, с акцентом на ее функциональность и поведение. Вредоносная программа представляет собой 64-разрядный исполняемый файл, который выдает себя за документ Microsoft Word для обмана пользователей. Он использует такие методы, как API и хеширование строк, а также стековые строки, чтобы скрыть свою истинную природу.
Вредоносная программа действует как загрузчик, пытаясь загрузить вредоносные библиотеки DLL в память, используя такие функции, как LoadLibraryExW. Если существующие вредоносные библиотеки DLL не обнаружены, она расшифровывает путь к вредоносной библиотеке DLL для следующего этапа и записывает его на диск. Затем вредоносная программа создает документ-приманку в формате .docx и вредоносную библиотеку DLL, замаскированную под ini-файл. Она устанавливает запланированную задачу для сохранения и запуска вредоносной библиотеки DLL перед завершением собственного процесса.
Примечательно, что вредоносная программа содержит неиспользуемые фрагменты кода, которые предполагают возможности кейлоггинга, поддерживаемые импортом API-перехватчиков, обычно используемых кейлоггерами. Наличие этих функций указывает на злой умысел, что вызывает опасения по поводу потенциальной кражи данных с помощью мониторинга нажатий клавиш.
Кампания, связанная с этим вредоносным ПО, представляет собой изменение тактики Sharp Panda, которая отказывается от использования уязвимостей редактора Equation в Microsoft Word. В отчете Checkpoint говорится о появлении нового дроппера, используемого Sharp Panda, что вызывает вопросы о его истинных возможностях и потенциальных связях с другими группами угроз, связанными с Китаем. Компания Checkpoint провела ребрендинг Sharp Panda на Sharp Dragon, чтобы избежать путаницы с названиями других поставщиков.
#ParsedReport #CompletenessMedium
03-06-2024
Distribution of Malware Under the Guise of MS Office Cracked Versions (XMRig, OrcusRAT, etc.)
https://asec.ahnlab.com/en/66017
Report completeness: Medium
Threats:
Xmrig_miner
Orcusrat
Antiav
Hvnc_tool
Purecryptor
Dropper/win.3proxy.c5619967
Trojan/win.3proxy.c5619966
Infostealer/mdp.behavior.m1965
Antivm
Malware/mdp.behavior.m3108
Victims:
Korean users
Geo:
Korea, Korean
ChatGPT TTPs:
T1566, T1059, T1027, T1053, T1204, T1547, T1112, T1071, T1496
IOCs:
File: 77
Domain: 1
Hash: 13
Url: 6
Soft:
Microsoft Office, Task Scheduler, Telegram, Mastodon, VALORANT, Photoshop, openssl, 3Proxy
Algorithms:
7zip, md5, base64
Win API:
decompress
Languages:
powershell
03-06-2024
Distribution of Malware Under the Guise of MS Office Cracked Versions (XMRig, OrcusRAT, etc.)
https://asec.ahnlab.com/en/66017
Report completeness: Medium
Threats:
Xmrig_miner
Orcusrat
Antiav
Hvnc_tool
Purecryptor
Dropper/win.3proxy.c5619967
Trojan/win.3proxy.c5619966
Infostealer/mdp.behavior.m1965
Antivm
Malware/mdp.behavior.m3108
Victims:
Korean users
Geo:
Korea, Korean
ChatGPT TTPs:
do not use without manual checkT1566, T1059, T1027, T1053, T1204, T1547, T1112, T1071, T1496
IOCs:
File: 77
Domain: 1
Hash: 13
Url: 6
Soft:
Microsoft Office, Task Scheduler, Telegram, Mastodon, VALORANT, Photoshop, openssl, 3Proxy
Algorithms:
7zip, md5, base64
Win API:
decompress
Languages:
powershell
ASEC
Distribution of Malware Under the Guise of MS Office Cracked Versions (XMRig, OrcusRAT, etc.) - ASEC
Through a post titled “Orcus RAT Being Distributed Disguised as a Hangul Word Processor Crack” [1], AhnLab SEcurity intelligence Center (ASEC) previously disclosed an attack case in which a threat actor distributed RAT and CoinMiner to Korean users. Until…
CTT Report Hub
#ParsedReport #CompletenessMedium 03-06-2024 Distribution of Malware Under the Guise of MS Office Cracked Versions (XMRig, OrcusRAT, etc.) https://asec.ahnlab.com/en/66017 Report completeness: Medium Threats: Xmrig_miner Orcusrat Antiav Hvnc_tool Purecryptor…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста - подробный анализ недавнего случая кибератаки, раскрытого аналитическим центром безопасности AhnLab, в ходе которого злоумышленники распространяли различные вредоносные программы, замаскированные под взломанное программное обеспечение, среди корейских пользователей. Злоумышленники использовали тактику, связанную с планировщиком задач, для выполнения вредоносных команд PowerShell для установки вредоносного ПО, поддерживали постоянные заражения и постоянно обновляли свои вредоносные программы, чтобы усовершенствовать методы обхода. Распространяемое вредоносное ПО включало трояны удаленного доступа (RAT), CoinMiners, прокси-инструменты и майнеры криптовалют, с отличительными характеристиками и функциональными возможностями, описанными для каждого типа. В тексте также подчеркивается важность соблюдения осторожности при запуске исполняемых файлов из подозрительных источников, обновлении средств безопасности и принятии мер по исправлению ситуации для предотвращения повторных заражений.
-----
Ключевые факты, почерпнутые из текста:.
Аналитический центр безопасности AhnLab раскрыл недавний случай кибератаки, связанной с распространением троянских программ удаленного доступа (RAT) и CoinMiners среди корейских пользователей под видом взломанного программного обеспечения, в частности текстового процессора Hangul.
Злоумышленники использовали планировщик задач в зараженных системах для выполнения команд PowerShell для установки вредоносного ПО, что обеспечивало постоянное заражение.
Системы, в которых отсутствовали средства исправления, такие как V3 Security, постоянно сталкивались с установкой вредоносных программ из-за манипуляций с планировщиком задач.
Злоумышленники распространяли различные вредоносные программы, замаскированные под взломанные версии легального программного обеспечения, такого как MS Office, через файлообменные сервисы и торренты, обновляя свои вредоносные программы по URL-адресам загрузки, полученным через Telegram.
При установке вредоносного ПО использовались команды PowerShell из зашифрованных строк, размещенных в репозиториях GitHub и Google Drive. Отличительными особенностями вредоносного ПО были дублирование программ PowerShell, использование программы 7zip для распаковки сжатых файлов и использование вредоносного ПО Updater для постоянных операций.
Распространяемое вредоносное ПО включало Orcus RAT, XMRig для майнинга криптовалют, 3Proxy для функций прокси-сервера, PureCrypter для выполнения полезной нагрузки и вредоносное ПО AntiAV для нарушения работы средств безопасности.
Orcus RAT обеспечивал удаленное управление, ведение кейлогга, доступ к веб-камере и возможности управления экраном. XMRig miner включал в себя такие опции, как "стелс-цели", для оптимизации использования ресурсов.
Злоумышленники постоянно распространяли вредоносное ПО, замаскированное под взломанное программное обеспечение, нацеливаясь на корейских пользователей и используя методы персистентности для обеспечения повторного заражения.
Рекомендации включают осторожность при запуске исполняемых файлов из сомнительных источников, обновление средств защиты, таких как V3 Security, и исправление планировщика задач после установки в зараженных системах для предотвращения повторных заражений.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста - подробный анализ недавнего случая кибератаки, раскрытого аналитическим центром безопасности AhnLab, в ходе которого злоумышленники распространяли различные вредоносные программы, замаскированные под взломанное программное обеспечение, среди корейских пользователей. Злоумышленники использовали тактику, связанную с планировщиком задач, для выполнения вредоносных команд PowerShell для установки вредоносного ПО, поддерживали постоянные заражения и постоянно обновляли свои вредоносные программы, чтобы усовершенствовать методы обхода. Распространяемое вредоносное ПО включало трояны удаленного доступа (RAT), CoinMiners, прокси-инструменты и майнеры криптовалют, с отличительными характеристиками и функциональными возможностями, описанными для каждого типа. В тексте также подчеркивается важность соблюдения осторожности при запуске исполняемых файлов из подозрительных источников, обновлении средств безопасности и принятии мер по исправлению ситуации для предотвращения повторных заражений.
-----
Ключевые факты, почерпнутые из текста:.
Аналитический центр безопасности AhnLab раскрыл недавний случай кибератаки, связанной с распространением троянских программ удаленного доступа (RAT) и CoinMiners среди корейских пользователей под видом взломанного программного обеспечения, в частности текстового процессора Hangul.
Злоумышленники использовали планировщик задач в зараженных системах для выполнения команд PowerShell для установки вредоносного ПО, что обеспечивало постоянное заражение.
Системы, в которых отсутствовали средства исправления, такие как V3 Security, постоянно сталкивались с установкой вредоносных программ из-за манипуляций с планировщиком задач.
Злоумышленники распространяли различные вредоносные программы, замаскированные под взломанные версии легального программного обеспечения, такого как MS Office, через файлообменные сервисы и торренты, обновляя свои вредоносные программы по URL-адресам загрузки, полученным через Telegram.
При установке вредоносного ПО использовались команды PowerShell из зашифрованных строк, размещенных в репозиториях GitHub и Google Drive. Отличительными особенностями вредоносного ПО были дублирование программ PowerShell, использование программы 7zip для распаковки сжатых файлов и использование вредоносного ПО Updater для постоянных операций.
Распространяемое вредоносное ПО включало Orcus RAT, XMRig для майнинга криптовалют, 3Proxy для функций прокси-сервера, PureCrypter для выполнения полезной нагрузки и вредоносное ПО AntiAV для нарушения работы средств безопасности.
Orcus RAT обеспечивал удаленное управление, ведение кейлогга, доступ к веб-камере и возможности управления экраном. XMRig miner включал в себя такие опции, как "стелс-цели", для оптимизации использования ресурсов.
Злоумышленники постоянно распространяли вредоносное ПО, замаскированное под взломанное программное обеспечение, нацеливаясь на корейских пользователей и используя методы персистентности для обеспечения повторного заражения.
Рекомендации включают осторожность при запуске исполняемых файлов из сомнительных источников, обновление средств защиты, таких как V3 Security, и исправление планировщика задач после установки в зараженных системах для предотвращения повторных заражений.
#ParsedReport #CompletenessLow
03-06-2024
Shedding Zmiy: an in-depth technical analysis of deserialization VIEWSTATE
https://rt-solar.ru/solar-4rays/blog/4408
Report completeness: Low
Actors/Campaigns:
Shedding_zmiy
Obstinate_mogwai
Threats:
Xdhijack
Badstate_tool
Viewstateexecutor
Exchangeexporter
Shareip
Log4shell_vuln
Matryoshka_rat
Geo:
Russian, Asian
CVEs:
CVE-2021-45105 [Vulners]
CVSS V3.1: 5.9,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apache log4j (<2.3.1, <2.12.3, le2.16.0)
- netapp cloud manager (-)
- debian debian linux (10.0, 11.0)
- sonicwall email security (le10.0.12)
- sonicwall network security manager (<3.0)
have more...
CVE-2021-44228 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apache log4j (<2.3.1, <2.12.2, <2.15.0, 2.0)
- siemens sppa-t3000 ses3000 firmware (*)
- siemens captial (<2019.1)
- siemens comos (*)
- siemens desigo cc advanced reports (4.0, 4.1, 4.2, 5.0, 5.1)
have more...
CVE-2021-45046 [Vulners]
CVSS V3.1: 9.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apache log4j (<2.12.2, <2.16.0, 2.0)
- intel audio development kit (-)
- intel computer vision annotation tool (-)
- intel datacenter manager (-)
- intel genomics kernel library (-)
have more...
ChatGPT TTPs:
T1190, T1505, T1552.004, T1194, T1040, T1127, T1059.007, T1213
IOCs:
IP: 1
Path: 4
File: 7
Hash: 5
Soft:
ASP.NET
Algorithms:
base64, aes-128, sha1, md5, cbc, gzip, aes, sha256
Languages:
python
Platforms:
x64
Links:
03-06-2024
Shedding Zmiy: an in-depth technical analysis of deserialization VIEWSTATE
https://rt-solar.ru/solar-4rays/blog/4408
Report completeness: Low
Actors/Campaigns:
Shedding_zmiy
Obstinate_mogwai
Threats:
Xdhijack
Badstate_tool
Viewstateexecutor
Exchangeexporter
Shareip
Log4shell_vuln
Matryoshka_rat
Geo:
Russian, Asian
CVEs:
CVE-2021-45105 [Vulners]
CVSS V3.1: 5.9,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apache log4j (<2.3.1, <2.12.3, le2.16.0)
- netapp cloud manager (-)
- debian debian linux (10.0, 11.0)
- sonicwall email security (le10.0.12)
- sonicwall network security manager (<3.0)
have more...
CVE-2021-44228 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apache log4j (<2.3.1, <2.12.2, <2.15.0, 2.0)
- siemens sppa-t3000 ses3000 firmware (*)
- siemens captial (<2019.1)
- siemens comos (*)
- siemens desigo cc advanced reports (4.0, 4.1, 4.2, 5.0, 5.1)
have more...
CVE-2021-45046 [Vulners]
CVSS V3.1: 9.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apache log4j (<2.12.2, <2.16.0, 2.0)
- intel audio development kit (-)
- intel computer vision annotation tool (-)
- intel datacenter manager (-)
- intel genomics kernel library (-)
have more...
ChatGPT TTPs:
do not use without manual checkT1190, T1505, T1552.004, T1194, T1040, T1127, T1059.007, T1213
IOCs:
IP: 1
Path: 4
File: 7
Hash: 5
Soft:
ASP.NET
Algorithms:
base64, aes-128, sha1, md5, cbc, gzip, aes, sha256
Languages:
python
Platforms:
x64
Links:
https://github.com/pwntester/ysoserial.net/blob/master/ysoserial/Generators/XamlAssemblyLoadFromFileGenerator.cshttps://github.com/0xacb/viewgenhttps://github.com/0xacb/viewgen/blob/1e84b2e61c7ce8e28bd652aa8c8d5f063ec7a76f/viewgen#L120rt-solar.ru
Shedding Zmiy: углубленный анализ десериализации VIEWSTATE и методов эксплуатации
Откройте для себя, как Shedding Zmiy использует уязвимость десериализации VIEWSTATE в своих атаках. Подробный технический анализ и методы защиты от подобных угроз
CTT Report Hub
#ParsedReport #CompletenessLow 03-06-2024 Shedding Zmiy: an in-depth technical analysis of deserialization VIEWSTATE https://rt-solar.ru/solar-4rays/blog/4408 Report completeness: Low Actors/Campaigns: Shedding_zmiy Obstinate_mogwai Threats: Xdhijack…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея: В тексте анализируется сложная деятельность по борьбе с киберугрозами группы Shedding Zmiy, уделяя особое внимание использованию уязвимостей десериализации в среде ASP.NET с использованием таких инструментов, как платформа BADSTATE и пользовательские веб-оболочки, демонстрируя их передовые методы и постоянную разработку средств атаки.
-----
В тексте подробно описан анализ киберугроз, связанных с группой Shedding Zmiy, использующей уязвимость десериализации в параметре VIEWSTATE ASP.NET для проведения атак. Изначально целью атаки группы было использование уязвимости Log4j в системе управления проектами YouTrack, а затем атака на серверы Exchange с целью кражи ключей проверки и дешифрования VIEWSTATE.
Группа Shedding Zmiy использует самописный фреймворк BADSTATE, написанный на Python, для использования десериализации VIEWSTATE. Этот фреймворк включает в себя уникальные веб-оболочки, такие как ViewStateExecutor, которые выполняют произвольный код в системе жертвы посредством десериализации VIEWSTATE. Полезная нагрузка для каждой жертвы зашифрована и требует взлома ключей проверки и дешифрования, доступных из внешних приложений, таких как owa или ecp.
В тексте описывается метод, при котором Shedding Zmiy создает пользовательский гаджет, который распаковывает и вызывает гаджет XamlAssemblyLoadFromFile из набора ysoserial, облегчая активацию веб-оболочки ViewStateExecutor. Этот метод включает кодирование полезной нагрузки в base64 и использование обратного вызова десериализации для выполнения вредоносных команд в веб-оболочке.
Кроме того, в тексте подчеркивается уникальный подход Shedding Zmiy по сравнению с другими группами угроз, такими как Obstinate Mogwai, с акцентом на использование ими сложных пользовательских устройств и передовых методов десериализации. Анализ демонстрирует глубокое понимание Shedding Zmiy уязвимостей десериализации в среде ASP.NET.
В заключение в тексте утверждается, что фреймворки и веб-оболочки Shedding Zmiy все еще активно разрабатываются, что потенциально может привести к более изощренным атакам в будущем. Наличие нереализованных команд и неиспользуемых функций в веб-оболочке ViewStateExecutor указывает на постоянное совершенствование их средств атаки.
Таким образом, отказ от использования Zmiy платформы BADSTATE framework и пользовательских веб-оболочек для использования десериализации VIEWSTATE представляет собой сложную и эволюционирующую киберугрозу, демонстрирующую их опыт в использовании уязвимостей в среде ASP.NET для вредоносных целей.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея: В тексте анализируется сложная деятельность по борьбе с киберугрозами группы Shedding Zmiy, уделяя особое внимание использованию уязвимостей десериализации в среде ASP.NET с использованием таких инструментов, как платформа BADSTATE и пользовательские веб-оболочки, демонстрируя их передовые методы и постоянную разработку средств атаки.
-----
В тексте подробно описан анализ киберугроз, связанных с группой Shedding Zmiy, использующей уязвимость десериализации в параметре VIEWSTATE ASP.NET для проведения атак. Изначально целью атаки группы было использование уязвимости Log4j в системе управления проектами YouTrack, а затем атака на серверы Exchange с целью кражи ключей проверки и дешифрования VIEWSTATE.
Группа Shedding Zmiy использует самописный фреймворк BADSTATE, написанный на Python, для использования десериализации VIEWSTATE. Этот фреймворк включает в себя уникальные веб-оболочки, такие как ViewStateExecutor, которые выполняют произвольный код в системе жертвы посредством десериализации VIEWSTATE. Полезная нагрузка для каждой жертвы зашифрована и требует взлома ключей проверки и дешифрования, доступных из внешних приложений, таких как owa или ecp.
В тексте описывается метод, при котором Shedding Zmiy создает пользовательский гаджет, который распаковывает и вызывает гаджет XamlAssemblyLoadFromFile из набора ysoserial, облегчая активацию веб-оболочки ViewStateExecutor. Этот метод включает кодирование полезной нагрузки в base64 и использование обратного вызова десериализации для выполнения вредоносных команд в веб-оболочке.
Кроме того, в тексте подчеркивается уникальный подход Shedding Zmiy по сравнению с другими группами угроз, такими как Obstinate Mogwai, с акцентом на использование ими сложных пользовательских устройств и передовых методов десериализации. Анализ демонстрирует глубокое понимание Shedding Zmiy уязвимостей десериализации в среде ASP.NET.
В заключение в тексте утверждается, что фреймворки и веб-оболочки Shedding Zmiy все еще активно разрабатываются, что потенциально может привести к более изощренным атакам в будущем. Наличие нереализованных команд и неиспользуемых функций в веб-оболочке ViewStateExecutor указывает на постоянное совершенствование их средств атаки.
Таким образом, отказ от использования Zmiy платформы BADSTATE framework и пользовательских веб-оболочек для использования десериализации VIEWSTATE представляет собой сложную и эволюционирующую киберугрозу, демонстрирующую их опыт в использовании уязвимостей в среде ASP.NET для вредоносных целей.
#ParsedReport #CompletenessMedium
03-06-2024
Inside the Box: Malware s New Playground
https://research.checkpoint.com/2024/inside-the-box-malwares-new-playground
Report completeness: Medium
Threats:
Boxedapp_packer_tool
Boxedapp_bxilmerge_tool
Pe_injection_technique
Lockbit
Revenge_rat
Agent_tesla
Redline_stealer
Remcos_rat
Zxshell
Ramnit
Inline_hooking_technique
Ilmerge_tool
Scylla
Victims:
Financial institutions, Government industries
Industry:
Government
Geo:
Turkey, Germany
ChatGPT TTPs:
T1027, T1564.001, T1055, T1574.002, T1112, T1102.002
IOCs:
File: 7
Soft:
Windows Defender, NET Framework
Win API:
VirtualProtectEx, WriteProcessMemory, CreateRemoteThreadEx
YARA: Found
Links:
03-06-2024
Inside the Box: Malware s New Playground
https://research.checkpoint.com/2024/inside-the-box-malwares-new-playground
Report completeness: Medium
Threats:
Boxedapp_packer_tool
Boxedapp_bxilmerge_tool
Pe_injection_technique
Lockbit
Revenge_rat
Agent_tesla
Redline_stealer
Remcos_rat
Zxshell
Ramnit
Inline_hooking_technique
Ilmerge_tool
Scylla
Victims:
Financial institutions, Government industries
Industry:
Government
Geo:
Turkey, Germany
ChatGPT TTPs:
do not use without manual checkT1027, T1564.001, T1055, T1574.002, T1112, T1102.002
IOCs:
File: 7
Soft:
Windows Defender, NET Framework
Win API:
VirtualProtectEx, WriteProcessMemory, CreateRemoteThreadEx
YARA: Found
Links:
https://github.com/x64dbg/Scyllahttps://github.com/azraelrabbit/unboxedhttps://github.com/dotnet/ILMergehttps://github.com/horsicq/Detect-It-EasyCheck Point Research
Inside the Box: Malware’s New Playground - Check Point Research
Research by: Jiri Vinopal Highlights: Introduction Over the past few months, we have been monitoring the increasing abuse of BoxedApp products in the wild. BoxedApp products are commercial packers that provide advanced features such as Virtual Storage (Virtual…
CTT Report Hub
#ParsedReport #CompletenessMedium 03-06-2024 Inside the Box: Malware s New Playground https://research.checkpoint.com/2024/inside-the-box-malwares-new-playground Report completeness: Medium Threats: Boxedapp_packer_tool Boxedapp_bxilmerge_tool Pe_injection_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что исследование Check Point выявило тревожную тенденцию увеличения случаев неправомерного использования продуктов BoxedApp для развертывания различных семейств вредоносных программ с акцентом на расширенные возможности упаковки, которые затрудняют обнаружение. В последние месяцы участились случаи неправомерного использования продуктов BoxedApp, особенно в отношении финансовых учреждений и правительственных агентств, что привело к разработке злоумышленниками уникальных пользовательских упаковщиков. В тексте также подчеркивается необходимость разработки стратегий для уменьшения ложных срабатываний при обнаружении, подчеркивается распространенность вредоносных образцов, упакованных BoxedApp, и обсуждается влияние этих вредоносных действий на критически важные сектора во всем мире. Наконец, в тексте упоминается, что компания Check Point Research провела углубленный анализ внутренних компонентов BoxedApp и разработала сигнатуры Yara, которые помогут обнаружить и понять скрытую полезную нагрузку, заключенную в этих инструментах.
-----
Исследование Check Point Research (CPR) выявило значительный рост случаев неправомерного использования продуктов BoxedApp, особенно для развертывания троянских программ удаленного доступа (RATs) и кражи данных, нацеленных на финансовые учреждения и правительственные учреждения.
Пакет BoxedApp SDK позволяет создавать пользовательские пакеты с расширенными функциями, такими как виртуальное хранилище, виртуальные процессы и подключение к API, что значительно упрощает статическое обнаружение упакованных вредоносных программ.
Около 25% образцов, собранных BoxedApp и проанализированных на VirusTotal, были идентифицированы как вредоносные, что свидетельствует о существенной угрозе, исходящей от этих продуктов, которыми злоупотребляют.
BoxedApp Packer и BxILMerge - это основные продукты, которые часто используются в злонамеренных целях, позволяя злоумышленникам скрывать вредоносное ПО и эффективно уклоняться от обнаружения.
Злоумышленники из разных регионов, таких как Турция, Соединенные Штаты и Германия, используют BoxedApp для упаковки и развертывания вредоносных программ, таких как RATs, stealers и программы-вымогатели, такие как LockBit.
Компания Check Point Research провела углубленный анализ внутренних компонентов BoxedApp и разработала сигнатуры Yara, которые помогают в статическом обнаружении упаковщика и различении различных продуктов BoxedApp.
Исследование направлено на то, чтобы привлечь внимание к неправильному использованию продуктов BoxedApp для вредоносных действий и предоставить информацию, которая поможет обнаружить и понять полезную нагрузку, скрытую в этих упакованных двоичных файлах.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что исследование Check Point выявило тревожную тенденцию увеличения случаев неправомерного использования продуктов BoxedApp для развертывания различных семейств вредоносных программ с акцентом на расширенные возможности упаковки, которые затрудняют обнаружение. В последние месяцы участились случаи неправомерного использования продуктов BoxedApp, особенно в отношении финансовых учреждений и правительственных агентств, что привело к разработке злоумышленниками уникальных пользовательских упаковщиков. В тексте также подчеркивается необходимость разработки стратегий для уменьшения ложных срабатываний при обнаружении, подчеркивается распространенность вредоносных образцов, упакованных BoxedApp, и обсуждается влияние этих вредоносных действий на критически важные сектора во всем мире. Наконец, в тексте упоминается, что компания Check Point Research провела углубленный анализ внутренних компонентов BoxedApp и разработала сигнатуры Yara, которые помогут обнаружить и понять скрытую полезную нагрузку, заключенную в этих инструментах.
-----
Исследование Check Point Research (CPR) выявило значительный рост случаев неправомерного использования продуктов BoxedApp, особенно для развертывания троянских программ удаленного доступа (RATs) и кражи данных, нацеленных на финансовые учреждения и правительственные учреждения.
Пакет BoxedApp SDK позволяет создавать пользовательские пакеты с расширенными функциями, такими как виртуальное хранилище, виртуальные процессы и подключение к API, что значительно упрощает статическое обнаружение упакованных вредоносных программ.
Около 25% образцов, собранных BoxedApp и проанализированных на VirusTotal, были идентифицированы как вредоносные, что свидетельствует о существенной угрозе, исходящей от этих продуктов, которыми злоупотребляют.
BoxedApp Packer и BxILMerge - это основные продукты, которые часто используются в злонамеренных целях, позволяя злоумышленникам скрывать вредоносное ПО и эффективно уклоняться от обнаружения.
Злоумышленники из разных регионов, таких как Турция, Соединенные Штаты и Германия, используют BoxedApp для упаковки и развертывания вредоносных программ, таких как RATs, stealers и программы-вымогатели, такие как LockBit.
Компания Check Point Research провела углубленный анализ внутренних компонентов BoxedApp и разработала сигнатуры Yara, которые помогают в статическом обнаружении упаковщика и различении различных продуктов BoxedApp.
Исследование направлено на то, чтобы привлечь внимание к неправильному использованию продуктов BoxedApp для вредоносных действий и предоставить информацию, которая поможет обнаружить и понять полезную нагрузку, скрытую в этих упакованных двоичных файлах.
#ParsedReport #CompletenessLow
03-06-2024
Botnet installing NiceRAT malware
https://asec.ahnlab.com/ko/66040
Report completeness: Low
Threats:
Nicerat
Nitol
Nanocore_rat
Emotet
Amadey
Nanobot
Asyncrat
Trojan/win.generic.r628608
Trojan/win.generic.c4748805
Trojan/win32.agent.c3452224
Rbot
Malware/win32.generic.c2999777
Trojan/win32.generic.c2812697
Trojan/win32.generic.c2812698
Trojan/win32.agent.c2116237
Dropper/win32.agent.c2457947
ChatGPT TTPs:
T1583.001, T1071, T1092, T1566
IOCs:
Path: 1
File: 4
Domain: 9
Url: 3
Hash: 27
Soft:
Discord, task scheduler
Algorithms:
md5
Languages:
python
03-06-2024
Botnet installing NiceRAT malware
https://asec.ahnlab.com/ko/66040
Report completeness: Low
Threats:
Nicerat
Nitol
Nanocore_rat
Emotet
Amadey
Nanobot
Asyncrat
Trojan/win.generic.r628608
Trojan/win.generic.c4748805
Trojan/win32.agent.c3452224
Rbot
Malware/win32.generic.c2999777
Trojan/win32.generic.c2812697
Trojan/win32.generic.c2812698
Trojan/win32.agent.c2116237
Dropper/win32.agent.c2457947
ChatGPT TTPs:
do not use without manual checkT1583.001, T1071, T1092, T1566
IOCs:
Path: 1
File: 4
Domain: 9
Url: 3
Hash: 27
Soft:
Discord, task scheduler
Algorithms:
md5
Languages:
python
ASEC BLOG
NiceRAT 악성코드를 설치하는 봇넷 - ASEC BLOG
1. 개요 AhnLab Security intelligence Center(ASEC) 에서는 2019년부터 유행하던 봇넷을 통해 최근까지 NiceRAT 악성코드가 설치되는 것을 확인하였다. 봇넷은 악성코드에 감염되어 공격자에 의해 제어되는 집단으로 과거에는 공격자가 주로 봇넷을 이용한 DDoS 공격을 수행하여, Nitol과 같은 DDoS 공격에 사용되는 악성코드를 봇넷을 구성하는 주요 악성코드로 주목하였다. 하지만 최근에는 NanoCore와 이모텟 악성코드와…
CTT Report Hub
#ParsedReport #CompletenessLow 03-06-2024 Botnet installing NiceRAT malware https://asec.ahnlab.com/ko/66040 Report completeness: Low Threats: Nicerat Nitol Nanocore_rat Emotet Amadey Nanobot Asyncrat Trojan/win.generic.r628608 Trojan/win.generic.c4748805…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в подтверждении установки вредоносного ПО NiceRAT через ботнет, который действует с 2019 года, подчеркивая эволюцию ботнетов от традиционного использования для DDoS-атак до оснащения вредоносным ПО для кражи данных и установки дополнительного вредоносного ПО. В тексте рассказывается о том, как злоумышленники распространяют вредоносное ПО с помощью замаскированных инструментов и бесплатных игровых серверов, таких как NanoCore и Emotet, а также о процессе установки вредоносного ПО NiceRAT главным образом через NanoCore в ботнет, который взаимодействует с общим C&C-сервером. В нем также затрагиваются функциональные возможности NiceRAT, использование им системных уязвимостей и проблемы обнаружения из-за маскировки вредоносных программ под взломанные программы.
-----
Аналитический центр безопасности AhnLab (ASEC) недавно подтвердил установку вредоносного ПО NiceRAT через ботнет, который действует с 2019 года. Традиционно ботнеты использовались для DDoS-атак, при этом вредоносное ПО, подобное Nitol, было распространенным компонентом. Однако современные ботнеты теперь оснащены вредоносными программами, предназначенными для кражи данных и установки дополнительных вредоносных программ, таких как NanoCore и Emotet.
Злоумышленники распространяют вредоносное ПО для создания ботнетов, маскируя его под средства активации Windows или Office или серверы бесплатных игр на отечественных файлообменных сайтах и в блогах. Этот метод постоянно использовался на протяжении многих лет для обеспечения широкого распространения. Вредоносное ПО, распространяемое таким образом, включает в себя NanoCore, который создает расписания задач при их выполнении под такими названиями, как IAMP Service и SMTP Service.
Вредоносное ПО, замаскированное под средства аутентификации Windows Genuine, также используется для создания ботнетов. Компания AhnLab ASEC обнаружила вредоносное ПО NanoCore, распространяемое через личные блоги, что позволяет получать доступ и загружать его, как было подтверждено на момент написания статьи. В другом случае вредоносная программа Nitol использовалась для распространения вредоносного ПО Amadey Bot, что в конечном итоге привело к установке NiceRAT через давно существующую ботнет-сеть.
Процесс установки вредоносного ПО NiceRAT в основном осуществляется с помощью вредоносного ПО NanoCore, являющегося частью ботнета, который взаимодействует с общим C&C-сервером. Эта вредоносная программа типа ботнета продолжает устанавливать дополнительный вредоносный код, включая Nitol, даже по прошествии значительного времени с момента первоначального распространения.
NiceRAT - это программа с открытым исходным кодом, написанная на Python, разработанная с функциональностью для предотвращения отладки, обнаружения виртуальной машины, регистрации программы запуска, сбора IP-информации и связи с C& C сервером через Discord. Вредоносная программа использует уязвимости в системах для сбора различных данных, передавая их злоумышленникам через Discord.
Вредоносные программы, замаскированные под взломанные программы, нацеленные на внутренних пользователей, способствовали созданию ботнетов. Обычные пользователи часто используют эти программы совместно, что затрудняет их обнаружение, поскольку они содержат инструкции по обходу антивирусного программного обеспечения. В результате злоумышленники могут легко устанавливать новые вредоносные программы через существующие ботнеты, созданные некоторое время назад.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в подтверждении установки вредоносного ПО NiceRAT через ботнет, который действует с 2019 года, подчеркивая эволюцию ботнетов от традиционного использования для DDoS-атак до оснащения вредоносным ПО для кражи данных и установки дополнительного вредоносного ПО. В тексте рассказывается о том, как злоумышленники распространяют вредоносное ПО с помощью замаскированных инструментов и бесплатных игровых серверов, таких как NanoCore и Emotet, а также о процессе установки вредоносного ПО NiceRAT главным образом через NanoCore в ботнет, который взаимодействует с общим C&C-сервером. В нем также затрагиваются функциональные возможности NiceRAT, использование им системных уязвимостей и проблемы обнаружения из-за маскировки вредоносных программ под взломанные программы.
-----
Аналитический центр безопасности AhnLab (ASEC) недавно подтвердил установку вредоносного ПО NiceRAT через ботнет, который действует с 2019 года. Традиционно ботнеты использовались для DDoS-атак, при этом вредоносное ПО, подобное Nitol, было распространенным компонентом. Однако современные ботнеты теперь оснащены вредоносными программами, предназначенными для кражи данных и установки дополнительных вредоносных программ, таких как NanoCore и Emotet.
Злоумышленники распространяют вредоносное ПО для создания ботнетов, маскируя его под средства активации Windows или Office или серверы бесплатных игр на отечественных файлообменных сайтах и в блогах. Этот метод постоянно использовался на протяжении многих лет для обеспечения широкого распространения. Вредоносное ПО, распространяемое таким образом, включает в себя NanoCore, который создает расписания задач при их выполнении под такими названиями, как IAMP Service и SMTP Service.
Вредоносное ПО, замаскированное под средства аутентификации Windows Genuine, также используется для создания ботнетов. Компания AhnLab ASEC обнаружила вредоносное ПО NanoCore, распространяемое через личные блоги, что позволяет получать доступ и загружать его, как было подтверждено на момент написания статьи. В другом случае вредоносная программа Nitol использовалась для распространения вредоносного ПО Amadey Bot, что в конечном итоге привело к установке NiceRAT через давно существующую ботнет-сеть.
Процесс установки вредоносного ПО NiceRAT в основном осуществляется с помощью вредоносного ПО NanoCore, являющегося частью ботнета, который взаимодействует с общим C&C-сервером. Эта вредоносная программа типа ботнета продолжает устанавливать дополнительный вредоносный код, включая Nitol, даже по прошествии значительного времени с момента первоначального распространения.
NiceRAT - это программа с открытым исходным кодом, написанная на Python, разработанная с функциональностью для предотвращения отладки, обнаружения виртуальной машины, регистрации программы запуска, сбора IP-информации и связи с C& C сервером через Discord. Вредоносная программа использует уязвимости в системах для сбора различных данных, передавая их злоумышленникам через Discord.
Вредоносные программы, замаскированные под взломанные программы, нацеленные на внутренних пользователей, способствовали созданию ботнетов. Обычные пользователи часто используют эти программы совместно, что затрудняет их обнаружение, поскольку они содержат инструкции по обходу антивирусного программного обеспечения. В результате злоумышленники могут легко устанавливать новые вредоносные программы через существующие ботнеты, созданные некоторое время назад.
#ParsedReport #CompletenessLow
03-06-2024
Hellhounds: Operation Lahat. Windows OS attacks
https://habr.com/ru/companies/pt/articles/816455
Report completeness: Low
Actors/Campaigns:
Hellhounds
Lahat
Threats:
Decoy_dog
Pupy_rat
Sliver_c2_tool
Victims:
Russian companies, It companies
Geo:
Russian, Russia
ChatGPT TTPs:
T1071, T1105, T1090, T1566, T1190, T1134, T1574, T1027, T1497, T1092, have more...
IOCs:
File: 3
Domain: 4
IP: 1
Algorithms:
sha3, clefia, cbc, xor
Languages:
python
Links:
03-06-2024
Hellhounds: Operation Lahat. Windows OS attacks
https://habr.com/ru/companies/pt/articles/816455
Report completeness: Low
Actors/Campaigns:
Hellhounds
Lahat
Threats:
Decoy_dog
Pupy_rat
Sliver_c2_tool
Victims:
Russian companies, It companies
Geo:
Russian, Russia
ChatGPT TTPs:
do not use without manual checkT1071, T1105, T1090, T1566, T1190, T1134, T1574, T1027, T1497, T1092, have more...
IOCs:
File: 3
Domain: 4
IP: 1
Algorithms:
sha3, clefia, cbc, xor
Languages:
python
Links:
https://github.com/n1nj4sec/pupyХабр
Hellhounds: Операция Lahat. Атаки на ОС Windows
Привет, Хабр. С небольшим перерывом на связи снова специалисты из экспертного центра безопасности Positive Technologies (PT Expert Security Center). Если помните, в ноябре мы рассказывали об атаках...