#ParsedReport #CompletenessLow
13-06-2024

Ransomware Attackers May Have Used Privilege Escalation Vulnerability as Zero-day

https://symantec-enterprise-blogs.security.com/threat-intelligence/black-basta-ransomware-zero-day

Report completeness: Low

Actors/Campaigns:
Storm_1811
Unc4393

Threats:
Blackbasta
Qakbot
Screenconnect_tool

CVEs:
CVE-2024-26169 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows 10 1507 (<10.0.10240.20526)
- microsoft windows 10 1607 (<10.0.14393.6796)
- microsoft windows 10 1809 (<10.0.17763.5576)
- microsoft windows 10 21h2 (<10.0.19044.4170)
- microsoft windows 10 22h2 (<10.0.19045.4170)
have more...

ChatGPT TTPs:
do not use without manual check
T1068, T1036, T1486

IOCs:
File: 1
Registry: 1
Hash: 6

Soft:
Windows Error Reporting

Algorithms:
sha256

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: киберпреступная группа Cardinal, также известная как Storm-1811 и UNC4393, подозревается в использовании уязвимости повышения привилегий Windows, CVE-2024-26169, в качестве "нулевого дня" в недавних атаках с использованием программы-вымогателя Black Basta. Несмотря на то, что Microsoft исправила уязвимость, анализ показывает, что инструмент эксплойта, используемый при атаках, возможно, был скомпилирован до внесения исправлений, что указывает на потенциальную возможность использования с нулевого дня. Команда Symantec Threat Hunter расследовала неудачную атаку программ-вымогателей, приписываемую группе Cardinal, тактика которой очень напоминает тактику Black Basta. Этот инцидент подчеркивает настойчивость Cardinal в поиске жертв и совершенствовании своих методов после уничтожения ботнета Qakbot.
-----

Киберпреступная группа Cardinal, также известная как Storm-1811 и UNC4393, была связана с программой-вымогателем Black Basta. Недавние данные свидетельствуют о том, что злоумышленники, возможно, воспользовались уязвимостью CVE-2024-26169, связанной с повышением привилегий Windows, в качестве "нулевого дня". Эта уязвимость, присутствующая в службе отчетов об ошибках Windows, позволяет злоумышленникам повысить свои привилегии в уязвимых системах. Хотя корпорация Майкрософт исправила эту уязвимость 12 марта 2024 года, анализ эксплойт-инструмента, использовавшегося при недавних атаках, показывает, что он мог быть скомпилирован до установки исправления, что указывает на потенциальное использование уязвимости с нулевого дня по крайней мере одной группой.

Команда Symantec Threat Hunter расследовала недавнюю попытку атаки программ-вымогателей, в ходе которой был применен эксплойт. Несмотря на то, что злоумышленникам не удалось внедрить программу-вымогатель в ходе этого конкретного инцидента, их тактика, методы и процедуры (TTP) были очень похожи на те, что были связаны с программой-вымогателем Black Basta. Эти TTP включали использование пакетных сценариев, замаскированных под обновления программного обеспечения. Сходство в TTP убедительно указывает на то, что это была неудавшаяся атака Black Basta.

Программа-вымогатель Black Basta была запущена компанией Cardinal в апреле 2022 года и изначально была связана с ботнетом Qakbot в качестве основного источника заражения. Qakbot был известным ботнетом для распространения вредоносных программ, пока не был удален, что привело к снижению активности Black Basta. Однако с тех пор "Кардинал" возобновил атаки, что свидетельствует о том, что они упорно нацеливаются на потенциальных жертв и используют различные методы для получения доступа.

#ParsedReport #CompletenessLow
14-06-2024

Cisco Talos Blog. How we can separate botnets from the malware operations that rely on them

https://blog.talosintelligence.com/threat-source-newsletter-june-13-2024

Report completeness: Low

Actors/Campaigns:
Volt_typhoon
Cosmic_leopard (motivation: cyber_espionage)

Threats:
Icedid
Trickbot
Smokeloader
Gravity_rat
Heavylift
Spear-phishing_technique
Kuaibu8
Scar

Victims:
Snowflake, Ticketmaster, Santander bank, Lending tree, Hospitals, General practitioners offices, Synnovis

Industry:
Government, Healthcare, Financial

Geo:
Poland, Pakistani, Usa, England, London

ChatGPT TTPs:
do not use without manual check
T1078, T1110.001, T1078, T1083, T1566.001

IOCs:
Hash: 10
File: 5

Soft:
Windows Hello

Algorithms:
md5

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста сосредоточена на недавних событиях в области кибербезопасности, связанных со сбоями в работе ботнетов, затрагивающими основных участников угроз и семейства вредоносных программ, существенной утечке данных, затронувшей поставщика облачных хранилищ Snowflake, и кибератаке на больницы в Лондоне. В тексте также обсуждается операция по кибершпионажу, приписываемая пакистанской группе исполнителей угроз, известной как "Космический леопард"..
-----

Недавние сбои в работе ботнетов затронули основных участников угроз и семейства вредоносных программ, таких как банковский троян IcedID, программа-вымогатель Trickbot и вредоносный загрузчик Smokeloader.

Сбои в работе ботнетов не обязательно приводят к полному прекращению работы участников угроз, но могут препятствовать их способности осуществлять вредоносные действия.

Удаление устройств из ботнетов нарушает возможности злоумышленников, но не исключает использования конечных полезных программ, таких как программы-вымогатели.

Ботнеты используются для различных целей, включая рассылку спама по электронной почте, проведение DDoS-атак, целенаправленных сетевых вторжений и финансовых краж.

Утечка данных, затронувшая провайдера облачных хранилищ Snowflake, может стать одним из крупнейших событий в области безопасности за всю историю. Исследователи в области безопасности заявляют, что киберпреступники, мотивированные финансовыми соображениями, похитили значительный объем данных у сотен клиентов.

Специалисты по реагированию на инциденты обнаружили, что злоумышленники использовали украденные учетные данные для доступа к экземплярам Snowflake клиентов и кражи ценных данных.

Устранение последствий кибератаки, затронувшей несколько крупных больниц в Лондоне, может занять несколько месяцев, что затронет 2 миллиона пациентов.

Операция с использованием GravityRAT, вредоносного ПО для Android, и загрузчика вредоносных программ для Windows, известного как "HeavyLift", приписываемого пакистанской группе злоумышленников, известной как "Космический леопард", была сосредоточена на шпионаже и слежке.

Cosmic Leopard нацелен на высокопоставленных лиц, используя мобильное вредоносное ПО для шпионажа, шпионской рассылки электронных писем и попыток фишинга в социальных сетях.

#ParsedReport #CompletenessMedium
14-06-2024

Operation Celestial Force employs mobile and desktop malware to target Indian entities. Operation Celestial Force: A multi-campaign, multi-component infections operation

https://blog.talosintelligence.com/cosmic-leopard

Report completeness: Medium

Actors/Campaigns:
Celestial_force (motivation: cyber_espionage)
Cosmic_leopard (motivation: cyber_espionage)
Transparenttribe

Threats:
Gravity_rat
Heavylift
Spear-phishing_technique
Findzip
Foxtrot

Industry:
Government

Geo:
Pakistani, Indian, Quebec, India

ChatGPT TTPs:
do not use without manual check
T1071.001, T1070.004, T1053.005, T1566.002, T1071.003, T1057, T1218.005

IOCs:
Domain: 20
Command: 1
Hash: 17
Url: 45

Soft:
Android, macOS, crontab, VirtualBox

Algorithms:
zip

Languages:
javascript

Links:
https://github.com/Cisco-Talos/IOCs/tree/main/2024/06

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 1, code: 2, table: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в подробном анализе новой вредоносной кампании под названием "Операция Celestial Force", проводимой злоумышленниками, известными как "Космический леопард", базирующимися в Пакистане. Операция предполагает использование множества вредоносных программ, таких как GravityRAT и HeavyLift, нацеленных на индийские предприятия оборонного, государственного и смежных технологических секторов. Операция демонстрирует сходство с другой группой APT под названием Transparent Tribe и использует различные тактики, методы и виктимологию для ведения шпионажа и слежки, используя фишинг и социальную инженерию в качестве основных переносчиков инфекции. Анализ показывает эволюцию и постоянное совершенствование GravityRAT, нацеленного на устройства Android, а также использование вредоносных программ для распространения HeavyLift.
-----

Cisco Talos раскрыла вредоносную кампанию, известную как "Операция Celestial Force", в которой использовались вредоносные программы GravityRAT и HeavyLift, нацеленные на индийские компании.

Операция связана с группой исполнителей угроз под названием "Космический леопард", базирующейся в Пакистане и занимающейся шпионской деятельностью.

Кампания похожа на другую группу под названием Transparent Tribe и использует для атак социальную инженерию и точечный фишинг.

Компоненты операции включают GravityRAT, HeavyLift и GravityAdmin, управляющие различными панелями кампании.

GravityRAT, изначально предназначенный для Windows, был расширен для устройств на базе Android и обладает расширенными возможностями шпионажа в отношении индийских организаций.

#ParsedReport #CompletenessHigh
13-06-2024

DISGOMOJI Malware Used to Target Indian Government

https://www.volexity.com/blog/2024/06/13/disgomoji-malware-used-to-target-indian-government

Report completeness: High

Actors/Campaigns:
Uta0137 (motivation: cyber_espionage)
Sidecopy

Threats:
Disgomoji
Discord-c2
Dirty_pipe_vuln
Upx_tool
Wan_conf_tool
Nmap_tool
Chisel_tool
Ligolo
Zenity_tool

Victims:
Government entities

Industry:
Government

Geo:
Pakistani, India, Pakistan, Indian

CVEs:
CVE-2022-0847 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- linux linux kernel (<5.10.102, <5.15.25, <5.16.11)


TTPs:

ChatGPT TTPs:
do not use without manual check
T1543.001, T1053.003, T1059.004, T1071.001, T1105, T1567.002, T1210, T1140, T1562.001

IOCs:
File: 10
Domain: 105
Url: 2
IP: 5
Hash: 45

Soft:
Discord, crontab, Volexity Volcano

Algorithms:
md5, zip

Languages:
golang

Links:
https://github.com/sysdream/ligolo
https://github.com/AlexisAhmed/CVE-2022-0847-DirtyPipe-Exploits
https://github.com/bmdyy/discord-c2
https://github.com/volexity/threat-intel/blob/main/2024/2024-06-13%20DISGOMOJI/indicators/iocs.csv
https://github.com/jpillora/chisel
https://github.com/volexity/threat-intel/blob/main/2024/2024-06-13%20DISGOMOJI/indicators/rules.yar

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в раскрытии Volexity информации об операции кибершпионажа, проведенной предполагаемым злоумышленником, известным как UTA0137, базирующимся в Пакистане, целью которой были правительственные учреждения в Индии с использованием сложного вредоносного ПО DISGOMOJI. Вредоносное ПО использует серверы Discord для командной и контрольной связи, демонстрирует механизмы сохранения, использует уязвимости, такие как DirtyPipe, для повышения привилегий и использует различные тактики, включая утечку данных, оперативную адаптацию, обман и социальную инженерию, для компрометации важных целей.
-----

Недавно компания Volexity раскрыла информацию об операции кибершпионажа, проведенной предполагаемым злоумышленником, известным как UTA0137, который, как полагают, базируется в Пакистане. Эта кампания была направлена против правительственных учреждений в Индии с использованием сложного вредоносного ПО DISGOMOJI. Разработанный на Golang и адаптированный для платформ Linux, DISGOMOJI представляет собой вариант платформы discord-c2, использующий серверы Discord для обмена данными между командами и контролем (C2). Примечательно, что вредоносная программа демонстрирует механизмы сохранения, используя задания cron и способность выдерживать перезагрузки системы.

Успешная деятельность UTA0137 в основном сосредоточена на предприятиях в Индии, особенно на тех, которые используют дистрибутив BOSS Linux. Чтобы расширить свои возможности, злоумышленник использует эксплойт повышения привилегий DirtyPipe для систем, работающих под управлением "BOSS 9", что свидетельствует о стратегическом подходе к компрометации важных целей. Кроме того, UTA0137 использует скрипт с именем UEVENT_SEQNUM.sh для извлечения файлов с подключенных USB-устройств в целях эксфильтрации.

Анализ, проведенный Volexity, показал, что UTA0137 использует сторонние сервисы хранения данных для фильтрации данных, демонстрируя сложную операционную инфраструктуру. Вредоносная программа устанавливает связь с сервером C2 через Discord, отправляя сообщение о регистрации по выделенному каналу, используя эмодзи как часть своего коммуникационного протокола. Различные команды с эмодзи, такие как "Часы" и "Кнопка с галочкой", используются DISGOMOJI для выполнения инструкций, полученных с сервера C2.

В последних версиях DISGOMOJI были внесены улучшения, в том числе улучшены механизмы сохранения данных за счет добавления файлов рабочего стола в каталоги автозапуска и динамического управления токенами аутентификации и идентификаторами сервера. Эти изменения позволяют UTA0137 быстро адаптироваться к сбоям в работе, таким как блокировка сервера Discord или отзыв токенов, обеспечивая постоянную эффективность работы.

Кроме того, UTA0137 ввел в DISGOMOJI преднамеренный обман, включив вводящие в заблуждение строки, чтобы скрыть его истинную природу и назначение. Злоумышленник использует вспомогательные инструменты, такие как Nmap, Chisel, Ligolo и служба обмена файлами oshi.at для разведки сети, туннелирования и промежуточных операций. Тактика социальной инженерии с использованием утилиты Zenity также используется для обмана жертв с целью раскрытия конфиденциальной информации, демонстрируя многогранный подход UTA0137 к кибероперациям.

Особую обеспокоенность вызывает использование UTA0137 уязвимости DirtyPipe (CVE-2022-0847) для повышения привилегий, что подчеркивает готовность злоумышленника использовать известные уязвимости в злонамеренных целях. Оценка Volexity указывает на умеренную степень уверенности в том, что UTA0137 принадлежит злоумышленнику из Пакистана, ссылаясь на такие показатели, как жестко заданные часовые пояса, модели использования языка и предпочтения таргетинга.

#ParsedReport #CompletenessMedium
13-06-2024

New backdoor BadSpace delivered by high-ranking infected websites

https://www.gdatasoftware.com/blog/2024/06/37947-badspace-backdoor

Report completeness: Medium

Threats:
Warmcookie
Api_obfuscation_technique
Socgholish_loader
Revil

ChatGPT TTPs:
do not use without manual check
T1189, T1204.002, T1071, T1059.001, T1027, T1036.005

IOCs:
File: 1
Registry: 2
Hash: 23
IP: 2
Domain: 2

Soft:
WordPress, Google Chrome

Algorithms:
base64, sha256, crc-32, rc4

Win API:
LoadLibraryW, GetProcAddress

Languages:
javascript, python, powershell, jscript

Links:
https://github.com/struppigel/hedgehog-tools/blob/main/BadSpace/badspace\_idapython\_string\_decrypter.py
https://github.com/X-Junior/Malware-String-Decryptor-Scripts/blob/main/Badspace/badspace.py
https://gist.github.com/OALabs/04ef6b2d6203d162c5b3b0eefd49530c

#ParsedReport #ExtractedSchema

Classified images:
chart: 1, schema: 1, code: 8, table: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в появлении нового бэкдора под названием "BadSpace", который представляет серьезную угрозу кибербезопасности из-за своей сложной многоэтапной цепочки атак, методов доставки, нацеленных на веб-сайты и браузеры, методов обфускации и расширенной связи с серверами управления. Сообщество специалистов по кибербезопасности активно анализирует и разрабатывает стратегии обнаружения и смягчения угрозы, исходящей от BadSpace.
-----

19 мая аналитик по анализу угроз Gi7w0rm рассказал о новом бэкдоре под названием "BadSpace", первоначально обнаруженном исследователем @kevross33, который представляет серьезную угрозу кибербезопасности. Бэкдор распространяется по сложной многоэтапной цепочке атак, включающей зараженные веб-сайты, серверы управления, поддельные обновления браузера и загрузчики JScript, с целью внедрения вредоносного ПО в системы жертв.

Метод доставки BadSpace включает в себя установку зараженными веб-сайтами файлов cookie для отслеживания посещений пользователей, создание URL-адресов с информацией, относящейся к конкретному пользователю, и, в конечном счете, перезапись запрошенных веб-страниц вредоносной полезной информацией. Вредоносная программа, как правило, нацелена на сайты WordPress и внедряет вредоносный код в библиотеки JavaScript, такие как jQuery, или непосредственно в индексные страницы. Некоторые веб-сайты вводят пользователей в заблуждение с помощью поддельных обновлений Google Chrome, которые загружают бэкдор в систему после загрузки.

Бэкдор использует файлы JScript для развертывания, используя подмену расширений, например ".pdf.js", чтобы избежать обнаружения. Он использует методы обфускации, чтобы скрыть свои вредоносные намерения, при этом в каждом примере используются уникальные методы для переименования переменных и функций в коде. Запутанный файл JScript в конечном итоге загружает и запускает бэкдор BadSpace, который представляет собой DLL-файл PE32+, который запутан, но не упакован.

Исследователи в области безопасности разработали такие инструменты, как скрипты IDA на Python и автономные скрипты на Python для расшифровки строк и API-интерфейсов в вредоносной программе BadSpace для целей анализа и обнаружения. Вредоносная программа включает в себя проверки на защиту от "песочницы" и создает уникальный мьютекс для сохранения, что затрудняет ее обнаружение и удаление.

BadSpace обменивается данными со своим сервером управления, отправляя зашифрованную системную информацию в файле cookie, за что он получил прозвище "WarmCookie". Эти данные включают в себя такие детали, как название компьютера, версия операционной системы и ключ RC4, используемый для шифрования связи C2. Шаблон агента пользователя, используемый бэкдором для связи C2, содержит дополнительные пробелы по сравнению со стандартными шаблонами агентов, отсюда и его название "BadSpace"..

Совместные усилия специалистов в области кибербезопасности позволили глубже понять угрозу BadSpace и механизмы ее распространения. Анализируя поведение и код бэкдора, аналитики стремятся усовершенствовать стратегии обнаружения и смягчения последствий для защиты пользователей и систем от этой развивающейся киберугрозы. Сложность и малозаметные возможности BadSpace подчеркивают необходимость упреждающего сбора и анализа информации об угрозах для защиты от таких сложных вредоносных атак.

#ParsedReport #CompletenessLow
13-06-2024

APT-C-55KimsukyRandomQueryRAT. Analysis of the APT-C-55 (Kimsuky) organization's attack activities of delivering open source RAT in the RandomQuery campaign

https://www.ctfiot.com/187452.html

Report completeness: Low

Actors/Campaigns:
Kimsuky (motivation: information_theft)

Threats:
Randomquery
Babyshark
Trurat
Xenorat

Victims:
Think tanks, Government diplomatic departments, News media, Educational institutions

Industry:
Education, Military, Financial, Government

Geo:
Russia, Korean

ChatGPT TTPs:
do not use without manual check
T1566.001, T1204.002, T1071.001, T1027, T1059.001, T1105, T1574.002, T1036.005

IOCs:
Hash: 10
File: 2

Soft:
WeChat

Algorithms:
base64, aes

Win API:
decompress

Languages:
php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - о группе киберугроз APT-C-55, также известной как Kimsuky, и их тактике, нацеленной на южнокорейские организации и распространяющей свои операции на Соединенные Штаты, Россию и Европу для кражи разведывательных данных. Анализ сосредоточен на их атакующих действиях, таких как случайный запрос, использование компонентов RAT с открытым исходным кодом и важность понимания их тактики для предотвращения угроз в будущем. Стратегии смягчения последствий включают обучение сотрудников распознаванию фишинговых сообщений электронной почты, надежные средства защиты электронной почты, мониторинг необычных действий и постоянное информирование о новых киберугрозах для усиления защиты от продвинутых злоумышленников.
-----

APT-C-55, также известный как Mystery Baby, Baby Coin, Smoke Screen, BabyShark, Cobra Venom и другие псевдонимы, был впервые идентифицирован Касперским в 2013 году. Группа в первую очередь нацелена на такие южнокорейские организации, как аналитические центры, правительственные ведомства, средства массовой информации и образовательные учреждения. Недавно Kimsuky расширила свою деятельность, включив в нее Соединенные Штаты, Россию и Европу, сосредоточившись на краже разведывательных данных в политических и военных целях. Детальный анализ, проведенный Институтом перспективных исследований угроз 360, выявил действия группы, известные как RandomQuery, в ходе которых использовались компоненты RAT с открытым исходным кодом. Это позволило глубже понять тактику Kimsuky и имеет важное значение для предотвращения угроз в будущем.

Злоумышленники реализовали свою схему с помощью вредоносных электронных писем, содержащих вложения в виде HTML-скриптов, замаскированных под обычный контент, например уведомления о вознаграждениях. Используя файлы LNK и документы-приманки, они побуждали получателей открывать вложения, что позволяло использовать компоненты RAT для кражи информации. Данные Public threat intelligence показали, что перехваченные образцы вредоносных программ совпадают с предыдущими атаками Kimsuky на RandomQuery, что позволяет предположить их причастность к этому организованному инциденту.

Чтобы смягчить такие угрозы, необходимо принять меры безопасности, включая обучение сотрудников распознаванию фишинговых сообщений электронной почты, надежные средства защиты электронной почты, ограничения на использование файлов из неизвестных источников, регулярное сканирование системы, мониторинг необычных действий, резервное копирование данных и планы реагирования на чрезвычайные ситуации. Кроме того, злоумышленники продемонстрировали продвинутую тактику, внедрив специальные вредоносные скрипты, основанные на URL-суффиксах, которые улучшают маскировку и уклонение. Анализ компонентов атаки выявил сложные функциональные возможности и использование компонентов RAT с открытым исходным кодом, таких как TutRAT и xeno-rat, для удаленного управления и утечки данных.

Кроме того, злоумышленники продемонстрировали свое техническое мастерство, расшифровав компоненты с использованием алгоритма AES, внедрив динамическую адресацию сервера C2 для обеспечения гибкости и изменив TutRAT для выполнения сценариев с помощью запланированных задач. Внедрение новейших средств и методов атаки подчеркивает эволюционный характер киберугроз, исходящих от таких групп, как Kimsuky. Организациям необходимо сохранять бдительность, обновлять свои протоколы безопасности и извлекать уроки из подобных инцидентов, чтобы усилить свою киберзащиту от продвинутых злоумышленников.

#ParsedReport #CompletenessLow
14-06-2024

911 S5. The digital legacy of the botnet 911 S5

https://blog.netlab.360.com/911s5

Report completeness: Low

Threats:
911s5
Residential_proxy_technique

ChatGPT TTPs:
do not use without manual check
T1036, T1078, T1105

IOCs:
Hash: 10
Domain: 37
Url: 5
IP: 34