#ParsedReport #CompletenessLow
14-06-2024
911 S5. The digital legacy of the botnet 911 S5
https://blog.netlab.360.com/911s5
Report completeness: Low
Threats:
911s5
Residential_proxy_technique
ChatGPT TTPs:
T1036, T1078, T1105
IOCs:
Hash: 10
Domain: 37
Url: 5
IP: 34
14-06-2024
911 S5. The digital legacy of the botnet 911 S5
https://blog.netlab.360.com/911s5
Report completeness: Low
Threats:
911s5
Residential_proxy_technique
ChatGPT TTPs:
do not use without manual checkT1036, T1078, T1105
IOCs:
Hash: 10
Domain: 37
Url: 5
IP: 34
360 Netlab Blog - Network Security Research Lab at 360
僵尸网络911 S5的数字遗产
概述
2024年5月29日,美国司法部发布通告,声称其执法活动摧毁了"史上最大的僵尸网络" 911 S5,查封了相关域名,并且逮捕了其管理员YunHe Wang。Wang及其同伙通过创建并分发包含恶意代码的免费VPN程序感染用户,并且在名为911 S5的住宅代理服务中出售对被感染设备构成的代理网络的访问权。
按照360威胁情报中心的分析,911S5从2014年开始运营,到2022年7月关停,在2023年10月又摇身一变,化名CloudRouter继续其肮脏生意,终于在2024年5月被多国联合执法摧毁…
2024年5月29日,美国司法部发布通告,声称其执法活动摧毁了"史上最大的僵尸网络" 911 S5,查封了相关域名,并且逮捕了其管理员YunHe Wang。Wang及其同伙通过创建并分发包含恶意代码的免费VPN程序感染用户,并且在名为911 S5的住宅代理服务中出售对被感染设备构成的代理网络的访问权。
按照360威胁情报中心的分析,911S5从2014年开始运营,到2022年7月关停,在2023年10月又摇身一变,化名CloudRouter继续其肮脏生意,终于在2024年5月被多国联合执法摧毁…
CTT Report Hub
#ParsedReport #CompletenessLow 14-06-2024 911 S5. The digital legacy of the botnet 911 S5 https://blog.netlab.360.com/911s5 Report completeness: Low Threats: 911s5 Residential_proxy_technique ChatGPT TTPs: do not use without manual check T1036, T1078…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в уничтожении "крупнейшего ботнета в истории" 911 S5, управляемого YunHe Wang and associates, который распространял вредоносный код с помощью бесплатных VPN-программ для создания прокси-сервиса. Несмотря на то, что международные правоохранительные органы ликвидировали остатки 911S5, они по-прежнему представляют серьезную угрозу для киберпространства, что подчеркивает необходимость постоянных мер кибербезопасности.
-----
29 мая 2024 года Министерство юстиции США объявило о ликвидации "крупнейшего ботнета в истории" под названием 911 S5. Ботнет управлялся Юньхэ Ваном и его сообщниками, которые распространяли бесплатные VPN-программы, содержащие вредоносный код для заражения пользователей. Затем они продавали доступ к скомпрометированным устройствам с помощью прокси-сервиса, известного как 911 S5. Центр анализа угроз 360 сообщил, что 911S5 начал функционировать в 2014 году, был закрыт в июле 2022 года, вновь появился как CloudRouter в октябре 2023 года и, наконец, был отключен в мае 2024 года международными правоохранительными органами.
Сеть 911S5, охватывающая 19 миллионов IP-адресов во многих странах, продемонстрировала значительную и постоянную вредоносную активность. Несмотря на то, что правоохранительные органы успешно ликвидировали ботнет, его цифровые остатки продолжают представлять серьезную угрозу для киберпространства.
Работа 911S5 включала заражение миллионов устройств вредоносным кодом с помощью бесплатных VPN-программ, таких как ProxyGate, MaskVPN, DewVPN и ShineVPN. Эти программы устанавливали бэкдоры на устройствах жертв, позволяя предоставлять прокси-сервисы клиентам 911S5. После отключения 911S5 в июле 2022 года его операторы в феврале 2023 года оперативно запустили его преемника под названием CloudRouter, который воспроизводил аналогичные вредоносные действия с использованием PaladinVPN и Shield VPN.
Анализ популярности доменных имен, связанных с 911S5, показал, что такие домены, как 911.re и 911s5.com, пользуются большим спросом, а их пиковые значения популярности близки к 6. Кроме того, в ходе расследования были обнаружены инфраструктурные связи между 911S5 и различными бесплатными VPN-сервисами, о чем свидетельствуют разрешения домена на один и тот же IP-адрес сервера - 173.244.211.96. Эта общая инфраструктура предполагает наличие общего оператора между 911S5 и конкретными программами VPN.
Удаление 911 S5 представляет собой значительное достижение в борьбе с киберпреступностью, в частности, в уничтожении крупной ботнет-сети, ответственной за многочисленные вредоносные действия. Однако постоянный характер киберугроз подчеркивает постоянную необходимость принятия упреждающих мер кибербезопасности для защиты от аналогичных угроз в будущем.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в уничтожении "крупнейшего ботнета в истории" 911 S5, управляемого YunHe Wang and associates, который распространял вредоносный код с помощью бесплатных VPN-программ для создания прокси-сервиса. Несмотря на то, что международные правоохранительные органы ликвидировали остатки 911S5, они по-прежнему представляют серьезную угрозу для киберпространства, что подчеркивает необходимость постоянных мер кибербезопасности.
-----
29 мая 2024 года Министерство юстиции США объявило о ликвидации "крупнейшего ботнета в истории" под названием 911 S5. Ботнет управлялся Юньхэ Ваном и его сообщниками, которые распространяли бесплатные VPN-программы, содержащие вредоносный код для заражения пользователей. Затем они продавали доступ к скомпрометированным устройствам с помощью прокси-сервиса, известного как 911 S5. Центр анализа угроз 360 сообщил, что 911S5 начал функционировать в 2014 году, был закрыт в июле 2022 года, вновь появился как CloudRouter в октябре 2023 года и, наконец, был отключен в мае 2024 года международными правоохранительными органами.
Сеть 911S5, охватывающая 19 миллионов IP-адресов во многих странах, продемонстрировала значительную и постоянную вредоносную активность. Несмотря на то, что правоохранительные органы успешно ликвидировали ботнет, его цифровые остатки продолжают представлять серьезную угрозу для киберпространства.
Работа 911S5 включала заражение миллионов устройств вредоносным кодом с помощью бесплатных VPN-программ, таких как ProxyGate, MaskVPN, DewVPN и ShineVPN. Эти программы устанавливали бэкдоры на устройствах жертв, позволяя предоставлять прокси-сервисы клиентам 911S5. После отключения 911S5 в июле 2022 года его операторы в феврале 2023 года оперативно запустили его преемника под названием CloudRouter, который воспроизводил аналогичные вредоносные действия с использованием PaladinVPN и Shield VPN.
Анализ популярности доменных имен, связанных с 911S5, показал, что такие домены, как 911.re и 911s5.com, пользуются большим спросом, а их пиковые значения популярности близки к 6. Кроме того, в ходе расследования были обнаружены инфраструктурные связи между 911S5 и различными бесплатными VPN-сервисами, о чем свидетельствуют разрешения домена на один и тот же IP-адрес сервера - 173.244.211.96. Эта общая инфраструктура предполагает наличие общего оператора между 911S5 и конкретными программами VPN.
Удаление 911 S5 представляет собой значительное достижение в борьбе с киберпреступностью, в частности, в уничтожении крупной ботнет-сети, ответственной за многочисленные вредоносные действия. Однако постоянный характер киберугроз подчеркивает постоянную необходимость принятия упреждающих мер кибербезопасности для защиты от аналогичных угроз в будущем.
#ParsedReport #CompletenessLow
13-06-2024
UNC3944 Targets SaaS Applications
https://cloud.google.com/blog/topics/threat-intelligence/unc3944-targets-saas-applications
Report completeness: Low
Actors/Campaigns:
0ktapus (motivation: financially_motivated, information_theft)
Threats:
Mimikatz_tool
Adrecon
Impacket_tool
Blackcat
Golden_saml_technique
ChatGPT TTPs:
T1078, T1566, T1098, T1021, T1556.004, T1070.004, T1213, T1552, T1606.002, T1083, have more...
IOCs:
File: 1
Soft:
Telegram, Microsoft Defender, RSOCX, ESXI, adfs, Active Directory, Microsoft Office
Languages:
python, powershell
Links:
13-06-2024
UNC3944 Targets SaaS Applications
https://cloud.google.com/blog/topics/threat-intelligence/unc3944-targets-saas-applications
Report completeness: Low
Actors/Campaigns:
0ktapus (motivation: financially_motivated, information_theft)
Threats:
Mimikatz_tool
Adrecon
Impacket_tool
Blackcat
Golden_saml_technique
ChatGPT TTPs:
do not use without manual checkT1078, T1566, T1098, T1021, T1556.004, T1070.004, T1213, T1552, T1606.002, T1083, have more...
IOCs:
File: 1
Soft:
Telegram, Microsoft Defender, RSOCX, ESXI, adfs, Active Directory, Microsoft Office
Languages:
python, powershell
Links:
https://github.com/massgravel/Microsoft-Activation-Scriptshttps://gist.github.com/rounk-ctrl/e76cc8c969747b605a5f2c9769bf9a5bGoogle Cloud Blog
UNC3944 Targets SaaS Applications | Google Cloud Blog
UNC3944's recent attacks against SaaS applications provide insights into the group's evolving TTPs.
CTT Report Hub
#ParsedReport #CompletenessLow 13-06-2024 UNC3944 Targets SaaS Applications https://cloud.google.com/blog/topics/threat-intelligence/unc3944-targets-saas-applications Report completeness: Low Actors/Campaigns: 0ktapus (motivation: financially_motivated…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что UNC3944 - это финансово мотивированная группа злоумышленников, которая занимается кражей и вымогательством данных, используя сложную тактику, методы социальной инженерии, инструменты облачной синхронизации, злоупотребление правами доступа и методы сохранения данных. Группа постоянно совершенствует свою тактику и нацелена на организации в различных отраслях, демонстрируя их изощренность и адаптивность к кибероперациям. Бдительность и надежные меры безопасности необходимы для снижения рисков, связанных с UNC3944 и аналогичными группами угроз.
-----
UNC3944 - это финансово мотивированная группа по борьбе с угрозами, действующая как минимум с мая 2022 года.
Он значительно пересекается с другими группами угроз, такими как "0ktapus," "Octo Tempest," "Scatter Swine," и "Scattered Spider".
Группа переключилась в основном на кражу данных и вымогательство без использования программ-вымогателей.
UNC3944 использует методы социальной инженерии, SMS-фишинговые кампании и атаки на колл-центры, нацеленные на корпоративные службы поддержки.
Они получают внутренний доступ к приложениям Microsoft, таким как SharePoint, и используют сторонние инструменты для удаленного доступа.
Группа использует злоупотребление правами доступа Okta и создает новые виртуальные машины в vSphere и Azure для обеспечения сохраняемости.
UNC3944 предназначен для клиентских SaaS-приложений, таких как vCenter, CyberArk, SalesForce, Azure, CrowdStrike, AWS и GCP.
Они используют средства обнаружения конечных точек и реагирования на них и используют для доступа федеративные службы Active Directory (ADFS).
UNC3944 использует такие инструменты, как Airbyte и Fivetran, для фильтрации данных и использует приложения Microsoft 365, такие как Delve, для разведки и интеллектуального анализа данных.
Группа по борьбе с угрозами постоянно совершенствует тактику и фокусируется на вымогательстве данных, подчеркивая ее изощренность и адаптивность.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что UNC3944 - это финансово мотивированная группа злоумышленников, которая занимается кражей и вымогательством данных, используя сложную тактику, методы социальной инженерии, инструменты облачной синхронизации, злоупотребление правами доступа и методы сохранения данных. Группа постоянно совершенствует свою тактику и нацелена на организации в различных отраслях, демонстрируя их изощренность и адаптивность к кибероперациям. Бдительность и надежные меры безопасности необходимы для снижения рисков, связанных с UNC3944 и аналогичными группами угроз.
-----
UNC3944 - это финансово мотивированная группа по борьбе с угрозами, действующая как минимум с мая 2022 года.
Он значительно пересекается с другими группами угроз, такими как "0ktapus," "Octo Tempest," "Scatter Swine," и "Scattered Spider".
Группа переключилась в основном на кражу данных и вымогательство без использования программ-вымогателей.
UNC3944 использует методы социальной инженерии, SMS-фишинговые кампании и атаки на колл-центры, нацеленные на корпоративные службы поддержки.
Они получают внутренний доступ к приложениям Microsoft, таким как SharePoint, и используют сторонние инструменты для удаленного доступа.
Группа использует злоупотребление правами доступа Okta и создает новые виртуальные машины в vSphere и Azure для обеспечения сохраняемости.
UNC3944 предназначен для клиентских SaaS-приложений, таких как vCenter, CyberArk, SalesForce, Azure, CrowdStrike, AWS и GCP.
Они используют средства обнаружения конечных точек и реагирования на них и используют для доступа федеративные службы Active Directory (ADFS).
UNC3944 использует такие инструменты, как Airbyte и Fivetran, для фильтрации данных и использует приложения Microsoft 365, такие как Delve, для разведки и интеллектуального анализа данных.
Группа по борьбе с угрозами постоянно совершенствует тактику и фокусируется на вымогательстве данных, подчеркивая ее изощренность и адаптивность.
#ParsedReport #CompletenessMedium
14-06-2024
SolarMarker Impersonates Job Employment Website, Indeed, with a Team Building-themed Lure
https://www.esentire.com/blog/solarmarker-impersonates-job-employment-website-indeed-with-a-team-building-themed-lure
Report completeness: Medium
Threats:
Solarmarker
Stellarinjector
Solarphantom
Hvnc_tool
Saturn
Seo_poisoning_technique
ChatGPT TTPs:
T1204.002, T1071, T1055.001, T1083
IOCs:
IP: 3
Hash: 3
File: 2
Url: 3
Algorithms:
crc-32, aes, xor, md5
Win Services:
bits
Platforms:
x86
Links:
14-06-2024
SolarMarker Impersonates Job Employment Website, Indeed, with a Team Building-themed Lure
https://www.esentire.com/blog/solarmarker-impersonates-job-employment-website-indeed-with-a-team-building-themed-lure
Report completeness: Medium
Threats:
Solarmarker
Stellarinjector
Solarphantom
Hvnc_tool
Saturn
Seo_poisoning_technique
ChatGPT TTPs:
do not use without manual checkT1204.002, T1071, T1055.001, T1083
IOCs:
IP: 3
Hash: 3
File: 2
Url: 3
Algorithms:
crc-32, aes, xor, md5
Win Services:
bits
Platforms:
x86
Links:
https://github.com/esThreatIntelligence/iocs/blob/main/SolarMarker/iocs\_5-31-2024.txteSentire
SolarMarker Impersonates Job Employment Website, Indeed, with A Team…
Learn more about SolarMarker impersonating a job employment website, Indeed, and get security recommendations from our Threat Response Unit (TRU) to…
CTT Report Hub
#ParsedReport #CompletenessMedium 14-06-2024 SolarMarker Impersonates Job Employment Website, Indeed, with a Team Building-themed Lure https://www.esentire.com/blog/solarmarker-impersonates-job-employment-website-indeed-with-a-team-building-themed-lure …
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что подразделение eSentire Threat Response Unit (TRU) занимается повышением устойчивости организации путем активного обнаружения и устранения киберугроз, таких как инцидент с вредоносным ПО SolarMarker. Команда экспертов TRU сотрудничает с клиентами, проводит глобальную проверку угроз и подчеркивает важность осторожности, проверки подлинности и надежных механизмов защиты для эффективной борьбы с появляющимися киберугрозами.
-----
Заметный инцидент был связан с вредоносной программой SolarMarker, которая распространялась путем скачивания с мошеннического сайта, выдаваемого за Indeed. Полезная нагрузка SolarMarker включала такие вредоносные компоненты, как StellarInjector и SolarPhantom. SolarMarker внедрил бэкдоры в зашифрованные AES файлы ресурсов, подключаясь к серверам управления (C2) по определенным IP-адресам. Полезная нагрузка StellarInjector облегчила внедрение SolarPhantom в процесс SearchIndexer.exe, включив функции кражи информации и hVNC. SolarPhantom поместил данные о просмотре в определенную папку в %TEMP%, используя операции исключения для извлечения данных. Кроме того, SolarMarker использовал различные сертификаты для первоначальной полезной нагрузки.
Злоумышленники использовали StellarInjector и SolarPhantom для улучшения своих возможностей по компрометации систем и утечке данных. SolarMarker использовал методы поисковой оптимизации (SEO), чтобы повлиять на результаты поиска и повысить видимость ложных ссылок. Эта тактика подчеркивает важность осторожности при работе с результатами поисковой системы, даже если они кажутся законными. Инцидент выявил риски, связанные с вредоносными сайтами, имитирующими авторитетные платформы, такие как Indeed, в частности, нацеленные на корпоративных пользователей с помощью определенных ключевых слов и олицетворения бренда. Пользователям рекомендуется проверять подлинность веб-сайта перед загрузкой любого контента и внимательно изучать цифровые сертификаты от таких организаций, как DigiCert и GlobalSign. Постоянная бдительность, интеграция анализа угроз, регулярные обновления системы безопасности и обучение сотрудников методам выявления угроз и реагирования на них имеют решающее значение для снижения таких рисков.
Таким образом, eSentire TRU выступает в качестве важного партнера в области обороны, предлагая проактивные стратегии снижения угроз для противодействия развивающимся угрозам, таким как инцидент с SolarMarker. Уделяя особое внимание всесторонней видимости, постоянной бдительности и сотрудничеству с подразделениями безопасности клиентов, TRU стремится защитить организации от известных и возникающих угроз. Случай с SolarMarker подчеркивает важность осторожного поведения в Сети, проверки подлинности и надежных механизмов защиты для эффективной борьбы со сложными киберугрозами.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что подразделение eSentire Threat Response Unit (TRU) занимается повышением устойчивости организации путем активного обнаружения и устранения киберугроз, таких как инцидент с вредоносным ПО SolarMarker. Команда экспертов TRU сотрудничает с клиентами, проводит глобальную проверку угроз и подчеркивает важность осторожности, проверки подлинности и надежных механизмов защиты для эффективной борьбы с появляющимися киберугрозами.
-----
Заметный инцидент был связан с вредоносной программой SolarMarker, которая распространялась путем скачивания с мошеннического сайта, выдаваемого за Indeed. Полезная нагрузка SolarMarker включала такие вредоносные компоненты, как StellarInjector и SolarPhantom. SolarMarker внедрил бэкдоры в зашифрованные AES файлы ресурсов, подключаясь к серверам управления (C2) по определенным IP-адресам. Полезная нагрузка StellarInjector облегчила внедрение SolarPhantom в процесс SearchIndexer.exe, включив функции кражи информации и hVNC. SolarPhantom поместил данные о просмотре в определенную папку в %TEMP%, используя операции исключения для извлечения данных. Кроме того, SolarMarker использовал различные сертификаты для первоначальной полезной нагрузки.
Злоумышленники использовали StellarInjector и SolarPhantom для улучшения своих возможностей по компрометации систем и утечке данных. SolarMarker использовал методы поисковой оптимизации (SEO), чтобы повлиять на результаты поиска и повысить видимость ложных ссылок. Эта тактика подчеркивает важность осторожности при работе с результатами поисковой системы, даже если они кажутся законными. Инцидент выявил риски, связанные с вредоносными сайтами, имитирующими авторитетные платформы, такие как Indeed, в частности, нацеленные на корпоративных пользователей с помощью определенных ключевых слов и олицетворения бренда. Пользователям рекомендуется проверять подлинность веб-сайта перед загрузкой любого контента и внимательно изучать цифровые сертификаты от таких организаций, как DigiCert и GlobalSign. Постоянная бдительность, интеграция анализа угроз, регулярные обновления системы безопасности и обучение сотрудников методам выявления угроз и реагирования на них имеют решающее значение для снижения таких рисков.
Таким образом, eSentire TRU выступает в качестве важного партнера в области обороны, предлагая проактивные стратегии снижения угроз для противодействия развивающимся угрозам, таким как инцидент с SolarMarker. Уделяя особое внимание всесторонней видимости, постоянной бдительности и сотрудничеству с подразделениями безопасности клиентов, TRU стремится защитить организации от известных и возникающих угроз. Случай с SolarMarker подчеркивает важность осторожного поведения в Сети, проверки подлинности и надежных механизмов защиты для эффективной борьбы со сложными киберугрозами.
#ParsedReport #CompletenessLow
16-06-2024
Noodle RAT: Reviewing the Backdoor Used by Chinese-Speaking Groups
https://www.trendmicro.com/en_us/research/24/f/noodle-rat-reviewing-the-new-backdoor-used-by-chinese-speaking-g.html
Report completeness: Low
Actors/Campaigns:
Emissary_panda (motivation: cyber_espionage)
Cloud_snooper (motivation: cyber_espionage)
Calypso (motivation: cyber_espionage)
Apt31
Threats:
Nood_rat
Gh0st_rat
Rekoobe_rootkit
Multidrop
Microload
Cringe_rat
Hiddengh0st
Gh0sttimes
Tinyshell
Geo:
Japan, Asia-pacific, Thailand, Malaysia, Chinese, China, Taiwan, India
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1105, T1071, T1573, T1036, T1553
IOCs:
File: 5
Registry: 1
Hash: 49
Algorithms:
rc4, aes-128-cbc, sha1, aes, hmac-sha1, xor
Links:
16-06-2024
Noodle RAT: Reviewing the Backdoor Used by Chinese-Speaking Groups
https://www.trendmicro.com/en_us/research/24/f/noodle-rat-reviewing-the-new-backdoor-used-by-chinese-speaking-g.html
Report completeness: Low
Actors/Campaigns:
Emissary_panda (motivation: cyber_espionage)
Cloud_snooper (motivation: cyber_espionage)
Calypso (motivation: cyber_espionage)
Apt31
Threats:
Nood_rat
Gh0st_rat
Rekoobe_rootkit
Multidrop
Microload
Cringe_rat
Hiddengh0st
Gh0sttimes
Tinyshell
Geo:
Japan, Asia-pacific, Thailand, Malaysia, Chinese, China, Taiwan, India
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1105, T1071, T1573, T1036, T1553
IOCs:
File: 5
Registry: 1
Hash: 49
Algorithms:
rc4, aes-128-cbc, sha1, aes, hmac-sha1, xor
Links:
https://github.com/creaktive/tshTrend Micro
Noodle RAT Reviewing the Backdoor Used by Chinese-Speaking Groups
This blog entry provides an analysis of the Noodle RAT backdoor, which is likely being used by multiple Chinese-speaking groups engaged in espionage and other types of cybercrime.
CTT Report Hub
#ParsedReport #CompletenessLow 16-06-2024 Noodle RAT: Reviewing the Backdoor Used by Chinese-Speaking Groups https://www.trendmicro.com/en_us/research/24/f/noodle-rat-reviewing-the-new-backdoor-used-by-chinese-speaking-g.html Report completeness: Low …
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста - анализ бэкдора Noodle RAT, его истории, возможностей, развертывания различными группами злоумышленников, использования в шпионской и киберпреступной деятельности, неправильной классификации, потенциальной связи с другими семействами вредоносных программ и значимости для систем Windows и Linux/Unix.
-----
Запись в блоге содержит анализ бэкдора Noodle RAT, который, как подозревается, используется несколькими китайскоязычными группами, занимающимися шпионажем и киберпреступностью. Бэкдор Noodle RAT имеет версии как для Windows (Win.NOODLERAT), так и для Linux (Linux.NOODLERAT). Он имеет долгую историю, с такими версиями, как v1.0.0 для Win.NOODLERAT, выпущенными в июле 2016 года, и v1.0.1 для Linux.NOODLERAT, выпущенными в декабре 2016 года, что предполагает непрерывную разработку и развертывание. Несмотря на то, что Noodle RAT был активен с 2016 года, его изначально неправильно классифицировали и путали с другими семействами вредоносных программ, такими как Gh0st RAT и Rekoobe, вплоть до недавних разоблачений.
Для версии Windows (Win.NOODLERAT) это модульный бэкдор в памяти, созданный на основе шеллкода и используемый в шпионских кампаниях такими группами, как Iron Tiger и Calypso APT. Используются различные загрузчики, такие как MULTIDROP и MICROLOAD, с уникальным дизайном для загрузки и расшифровки полезной нагрузки. C&C communication поддерживает шифрование по протоколам TCP, SSL и HTTP с использованием алгоритмов, таких как RC4, и пользовательских методов с использованием команд XOR и AND. Существуют различные типы Win.NOODLERAT, с различными реализациями команд различными группами участников угроз.
С другой стороны, версия Linux (Linux.NOODLERAT) представляет собой бэкдор ELF, используемый несколькими группами для различных целей, включая получение финансовой выгоды и шпионаж. Он часто используется в качестве дополнительной полезной нагрузки после использования общедоступных приложений. Бэкдор использует различные алгоритмы шифрования для выполнения коммуникационных задач и взаимодействует с C&C серверами по протоколам TCP и HTTP. Кластеры Linux.NOODLERAT основаны на идентификаторах команд бэкдора, причем различные типы, такие как тип 0x03A2 и тип 0x23F8, используются различными группами участников угроз.
Noodle RAT считается новым семейством вредоносных программ, но некоторые производители предполагают, что это может быть вариант существующих вредоносных программ, таких как Gh0st RAT или Rekoobe. В Linux.NOODLERAT было обнаружено сходство кода с Rekoobe v2018, что указывает на возможное копирование кода, хотя также присутствуют уникальные функции. Были обнаружены панель управления и конструктор для Noodle RAT, что указывает на существующую экосистему вредоносного ПО с возможными отношениями между разработчиком и клиентом, лежащими в основе его работы.
В анализе подчеркивается необходимость надлежащей оценки инцидентов, связанных с Noodle RAT, поскольку в течение многих лет ее недооценивали и неправильно классифицировали. Данные телеметрии показали, что Noodle RAT используется в шпионских кампаниях, нацеленных на такие страны, как Таиланд, Индия, Япония, Малайзия и Тайвань, начиная с 2020 года. Наличие образцов Noodle RAT, загруженных на VirusTotal в 2024 году, свидетельствует о его продолжающемся использовании, что указывает на его значимость для злоумышленников, нацеленных на системы Linux/Unix.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста - анализ бэкдора Noodle RAT, его истории, возможностей, развертывания различными группами злоумышленников, использования в шпионской и киберпреступной деятельности, неправильной классификации, потенциальной связи с другими семействами вредоносных программ и значимости для систем Windows и Linux/Unix.
-----
Запись в блоге содержит анализ бэкдора Noodle RAT, который, как подозревается, используется несколькими китайскоязычными группами, занимающимися шпионажем и киберпреступностью. Бэкдор Noodle RAT имеет версии как для Windows (Win.NOODLERAT), так и для Linux (Linux.NOODLERAT). Он имеет долгую историю, с такими версиями, как v1.0.0 для Win.NOODLERAT, выпущенными в июле 2016 года, и v1.0.1 для Linux.NOODLERAT, выпущенными в декабре 2016 года, что предполагает непрерывную разработку и развертывание. Несмотря на то, что Noodle RAT был активен с 2016 года, его изначально неправильно классифицировали и путали с другими семействами вредоносных программ, такими как Gh0st RAT и Rekoobe, вплоть до недавних разоблачений.
Для версии Windows (Win.NOODLERAT) это модульный бэкдор в памяти, созданный на основе шеллкода и используемый в шпионских кампаниях такими группами, как Iron Tiger и Calypso APT. Используются различные загрузчики, такие как MULTIDROP и MICROLOAD, с уникальным дизайном для загрузки и расшифровки полезной нагрузки. C&C communication поддерживает шифрование по протоколам TCP, SSL и HTTP с использованием алгоритмов, таких как RC4, и пользовательских методов с использованием команд XOR и AND. Существуют различные типы Win.NOODLERAT, с различными реализациями команд различными группами участников угроз.
С другой стороны, версия Linux (Linux.NOODLERAT) представляет собой бэкдор ELF, используемый несколькими группами для различных целей, включая получение финансовой выгоды и шпионаж. Он часто используется в качестве дополнительной полезной нагрузки после использования общедоступных приложений. Бэкдор использует различные алгоритмы шифрования для выполнения коммуникационных задач и взаимодействует с C&C серверами по протоколам TCP и HTTP. Кластеры Linux.NOODLERAT основаны на идентификаторах команд бэкдора, причем различные типы, такие как тип 0x03A2 и тип 0x23F8, используются различными группами участников угроз.
Noodle RAT считается новым семейством вредоносных программ, но некоторые производители предполагают, что это может быть вариант существующих вредоносных программ, таких как Gh0st RAT или Rekoobe. В Linux.NOODLERAT было обнаружено сходство кода с Rekoobe v2018, что указывает на возможное копирование кода, хотя также присутствуют уникальные функции. Были обнаружены панель управления и конструктор для Noodle RAT, что указывает на существующую экосистему вредоносного ПО с возможными отношениями между разработчиком и клиентом, лежащими в основе его работы.
В анализе подчеркивается необходимость надлежащей оценки инцидентов, связанных с Noodle RAT, поскольку в течение многих лет ее недооценивали и неправильно классифицировали. Данные телеметрии показали, что Noodle RAT используется в шпионских кампаниях, нацеленных на такие страны, как Таиланд, Индия, Япония, Малайзия и Тайвань, начиная с 2020 года. Наличие образцов Noodle RAT, загруженных на VirusTotal в 2024 году, свидетельствует о его продолжающемся использовании, что указывает на его значимость для злоумышленников, нацеленных на системы Linux/Unix.
#ParsedReport #CompletenessLow
16-06-2024
'Nuking the Duke': Silent Push uncovers control panel infrastructure for 24 different DukeEugene Android malware variants, including ERMAC and HOOKBOT
https://www.silentpush.com/blog/dukeeugene
Report completeness: Low
Actors/Campaigns:
Dukeeugene
Gxc_team
Threats:
Ermac
Hookbot
Chrysaor
Blackrock
Azazel
Haxor
Scarab
Zeus
Geo:
Russian
ChatGPT TTPs:
T1056.004, T1141
IOCs:
Url: 2
IP: 10
Soft:
Android
16-06-2024
'Nuking the Duke': Silent Push uncovers control panel infrastructure for 24 different DukeEugene Android malware variants, including ERMAC and HOOKBOT
https://www.silentpush.com/blog/dukeeugene
Report completeness: Low
Actors/Campaigns:
Dukeeugene
Gxc_team
Threats:
Ermac
Hookbot
Chrysaor
Blackrock
Azazel
Haxor
Scarab
Zeus
Geo:
Russian
ChatGPT TTPs:
do not use without manual checkT1056.004, T1141
IOCs:
Url: 2
IP: 10
Soft:
Android
Silent Push
'Nuking the Duke': Silent Push uncovers control panel infrastructure for 24 different DukeEugene Android malware variants, including…
Silent Push Threat Analysts have uncovered 24 DukeEugene MaaS control panels - including ERMAC, Hook, Loot, and Pegasus.
👍1
CTT Report Hub
#ParsedReport #CompletenessLow 16-06-2024 'Nuking the Duke': Silent Push uncovers control panel infrastructure for 24 different DukeEugene Android malware variants, including ERMAC and HOOKBOT https://www.silentpush.com/blog/dukeeugene Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что аналитики киберугроз использовали различные методы для выявления и мониторинга индикаторов панели управления, связанных с вариантами DukeEugene, нацеленными на пользователей Android для кражи конфиденциальной информации. Особое внимание уделяется непрерывному мониторингу с акцентом на обнаружение и раскрытие активных панелей, а также доступу к подробным отчетам и каналам IOFA, которые помогают в усилиях по обнаружению угроз, связанных с DukeEugene.
-----
Аналитики Silent Push использовали сканирование нечетких хэшей и запросы на сходство контента, чтобы идентифицировать 24 индикатора будущих атак на панели управления (IOFA), связанных с такими вариантами DukeEugene, как ERMAC, Hook, Loot и Pegasus, которые нацелены на пользователей определенных сервисов. Российская компания DukeEugene известна своими троянскими программами для Android, предназначенными для кражи учетных данных для входа в систему, финансовой информации и конфиденциальных данных. Эти трояны используют различные векторы атак, включая оверлейные атаки, при которых вредоносное ПО перехватывает взаимодействие с законными приложениями.
Связанные с DukeEugene платформы MaaS, такие как ERMAC, Hookbot, Loot, Blackrock и Pegasus, имеют схожую архитектуру и были доступны для продажи на подпольных форумах. Вредоносная инфраструктура DukeEugene для Android была отслежена и проанализирована, при этом некоторые ключевые типы данных были опущены по соображениям безопасности. Пользователи Silent Push Enterprise имеют доступ к подробным отчетам и каналам IOFA, связанным с деятельностью DukeEugene.
В ходе исследования подозрительного российского ASN с использованием веб-сканера Silent Push была обнаружена инфраструктура, связанная с панелью управления ERMAC. С помощью запроса веб-сканера и хэширования содержимого аналитики идентифицировали связанные панели управления DukeEugene в Интернете с порогом сходства 75%. С помощью расширенных запросов к данным было обнаружено в общей сложности 24 панели управления, связанные с DukeEugene.
Особое внимание уделяется непрерывному мониторингу, при этом обнаружение и раскрытие активных панелей с использованием новых HTML-заголовков находится в центре внимания вредоносных программ для Android, предоставляемых Silent Push. Подписчикам Silent Push Enterprise доступны конкретные IOFA, связанные с исследованиями DukeEugene, в том числе данные о доменах и IP-адресах, через специальные каналы вредоносных программ для Android, что помогает в обнаружении угроз. Эта информация публикуется для того, чтобы помочь читателям расширить свои возможности обнаружения угроз, связанных с DukeEugene.
Чтобы получить полный список вредоносных программ IOFA, связанных с исследованиями DukeEugene, пользователи могут воспользоваться корпоративной подпиской Silent Push, предоставляющей доступ к четырем выделенным каналам вредоносных программ для Android. Используя передовые методы сканирования и инструменты мониторинга, аналитики могут отслеживать и выявлять потенциальные угрозы, связанные с вредоносными действиями DukeEugene, направленными против пользователей Android и их конфиденциальных данных.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что аналитики киберугроз использовали различные методы для выявления и мониторинга индикаторов панели управления, связанных с вариантами DukeEugene, нацеленными на пользователей Android для кражи конфиденциальной информации. Особое внимание уделяется непрерывному мониторингу с акцентом на обнаружение и раскрытие активных панелей, а также доступу к подробным отчетам и каналам IOFA, которые помогают в усилиях по обнаружению угроз, связанных с DukeEugene.
-----
Аналитики Silent Push использовали сканирование нечетких хэшей и запросы на сходство контента, чтобы идентифицировать 24 индикатора будущих атак на панели управления (IOFA), связанных с такими вариантами DukeEugene, как ERMAC, Hook, Loot и Pegasus, которые нацелены на пользователей определенных сервисов. Российская компания DukeEugene известна своими троянскими программами для Android, предназначенными для кражи учетных данных для входа в систему, финансовой информации и конфиденциальных данных. Эти трояны используют различные векторы атак, включая оверлейные атаки, при которых вредоносное ПО перехватывает взаимодействие с законными приложениями.
Связанные с DukeEugene платформы MaaS, такие как ERMAC, Hookbot, Loot, Blackrock и Pegasus, имеют схожую архитектуру и были доступны для продажи на подпольных форумах. Вредоносная инфраструктура DukeEugene для Android была отслежена и проанализирована, при этом некоторые ключевые типы данных были опущены по соображениям безопасности. Пользователи Silent Push Enterprise имеют доступ к подробным отчетам и каналам IOFA, связанным с деятельностью DukeEugene.
В ходе исследования подозрительного российского ASN с использованием веб-сканера Silent Push была обнаружена инфраструктура, связанная с панелью управления ERMAC. С помощью запроса веб-сканера и хэширования содержимого аналитики идентифицировали связанные панели управления DukeEugene в Интернете с порогом сходства 75%. С помощью расширенных запросов к данным было обнаружено в общей сложности 24 панели управления, связанные с DukeEugene.
Особое внимание уделяется непрерывному мониторингу, при этом обнаружение и раскрытие активных панелей с использованием новых HTML-заголовков находится в центре внимания вредоносных программ для Android, предоставляемых Silent Push. Подписчикам Silent Push Enterprise доступны конкретные IOFA, связанные с исследованиями DukeEugene, в том числе данные о доменах и IP-адресах, через специальные каналы вредоносных программ для Android, что помогает в обнаружении угроз. Эта информация публикуется для того, чтобы помочь читателям расширить свои возможности обнаружения угроз, связанных с DukeEugene.
Чтобы получить полный список вредоносных программ IOFA, связанных с исследованиями DukeEugene, пользователи могут воспользоваться корпоративной подпиской Silent Push, предоставляющей доступ к четырем выделенным каналам вредоносных программ для Android. Используя передовые методы сканирования и инструменты мониторинга, аналитики могут отслеживать и выявлять потенциальные угрозы, связанные с вредоносными действиями DukeEugene, направленными против пользователей Android и их конфиденциальных данных.
#ParsedReport #CompletenessMedium
15-06-2024
Arid Viper poisons Android apps with AridSpy
https://www.welivesecurity.com/en/eset-research/arid-viper-poisons-android-apps-with-aridspy
Report completeness: Medium
Actors/Campaigns:
Aridviper (motivation: cyber_espionage)
Kora442
Threats:
Aridspy
Nortirchat
Lapizachat
Reblychat
Typosquatting_technique
Geo:
Egypt, Qatar, Usa, Palestine, Ukraine, Palestinian
TTPs:
Tactics: 7
Technics: 16
IOCs:
File: 21
Domain: 25
IP: 9
Soft:
Android, Microsoft Defender, WhatsApp, Chrome
Wallets:
harmony_wallet
Algorithms:
zip, aes
Languages:
javascript
Links:
15-06-2024
Arid Viper poisons Android apps with AridSpy
https://www.welivesecurity.com/en/eset-research/arid-viper-poisons-android-apps-with-aridspy
Report completeness: Medium
Actors/Campaigns:
Aridviper (motivation: cyber_espionage)
Kora442
Threats:
Aridspy
Nortirchat
Lapizachat
Reblychat
Typosquatting_technique
Geo:
Egypt, Qatar, Usa, Palestine, Ukraine, Palestinian
TTPs:
Tactics: 7
Technics: 16
IOCs:
File: 21
Domain: 25
IP: 9
Soft:
Android, Microsoft Defender, WhatsApp, Chrome
Wallets:
harmony_wallet
Algorithms:
zip, aes
Languages:
javascript
Links:
https://github.com/eset/malware-ioc/tree/master/aridspyWelivesecurity
Arid Viper poisons Android apps with AridSpy
ESET research has discovered Arid Viper espionage campaigns that deploy multistage Android spyware and target people in Egypt and Palestine.