#ParsedReport #CompletenessLow
01-09-2024

Rocinante: The trojan horse that wanted to fly

https://www.threatfabric.com/blogs/the-trojan-horse-that-wanted-to-fly-rocinante

Report completeness: Low

Threats:
Rocinante
Chrysaor
Ermac
Cerberus

Industry:
Financial

Geo:
Brasil, Brazilian, Latam, Brazil

ChatGPT TTPs:
do not use without manual check
T1556.001, T1513, T1071.001, T1078.003, T1560, T1202

IOCs:
Hash: 4

Soft:
Telegram

Algorithms:
gzip, base64, deflate, des

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в появлении и развитии угрозы, исходящей от нового вида вредоносного ПО для мобильных устройств под названием Rocinante, которое происходит из Бразилии и нацелено на бразильские банковские учреждения с такими ключевыми функциями, как кейлоггинг, фишинговые атаки и возможность захвата устройств. Вредоносная программа использует различные коммуникационные протоколы для своих операций и представляет серьезную угрозу для банковских клиентов, потенциально компрометируя конфиденциальные финансовые данные и делая возможными несанкционированные переводы.
-----

В последние годы рынок мобильных вредоносных программ стремительно развивается, привлекая новых участников в связи с широким использованием мобильных устройств для транзакций. Был обнаружен новый вид вредоносного ПО под названием Rocinante, который происходит из Бразилии и обладает такими ключевыми функциями, как кейлоггинг, фишинговые атаки и возможность захвата устройств. Эта вредоносная программа нацелена на бразильские банковские учреждения и использует для своих операций различные коммуникационные протоколы, такие как Firebase messaging, HTTP-трафик, WebSocket-трафик и Telegram API.

Участники, стоящие за Rocinante, называют его "Pegasus", что может привести к путанице с другим печально известным семейством шпионских программ, разработанных NSO Group. Однако Rocinante отличается своей направленностью и возможностями, ориентированными на финансовую выгоду, а не на слежку. Чтобы избежать путаницы, аналитики решили назвать эту вредоносную программу Rocinante в честь коня Дон Кихота.

Rocinante использует Firebase messaging для регистрации установок, взаимодействует с несколькими серверами C2 и использует привилегии службы специальных возможностей для ведения кейлоггинга и удаленных действий. Вредоносная программа извлекает личную информацию с помощью фишинговых экранов, выдавая себя за банковские учреждения, и отправляет ее боту Telegram, контролируемому злоумышленниками. Он может имитировать нажатия и жесты на зараженном устройстве для инициирования несанкционированных транзакций.

Со временем вредоносная программа претерпела значительные изменения в коде, включив элементы из семейства вредоносных программ Ermac. Такая гибридизация с внешними источниками свидетельствует о растущем интересе латиноамериканских киберпреступников к использованию технологий, не относящихся к их региону. Rocinante представляет серьезную угрозу для банковских клиентов, потенциально подвергая риску конфиденциальные финансовые данные и делая возможными несанкционированные переводы.

#ParsedReport #CompletenessLow
01-09-2024

Malware targeting aerospace engineering and related people created by Kimsuky - Lecture request form (2024.8.29)

https://wezard4u.tistory.com/429266

Report completeness: Low

Actors/Campaigns:
Kimsuky

Victims:
Professor bang hyo-chung

Industry:
Education, Aerospace

Geo:
Korea

ChatGPT TTPs:
do not use without manual check
T1204.002, T1059.007

IOCs:
File: 1
Hash: 3
Url: 2

Algorithms:
md5, sha256, sha1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - подробный анализ кампании вредоносного ПО, нацеленной на специалистов в области аэрокосмической техники, с особым упором на инцидент с участием профессора Банг Хе Чунга из KAIST. Вредоносная программа под названием Lecture Request Form (2024.8.29) принадлежит группе разработчиков угроз Kimsuky, и ее ключевые данные указаны в целях идентификации. Электронное письмо, использованное при атаке, выглядит как законное приглашение на лекцию, чтобы обманом заставить получателей открыть вредоносное вложение. В тексте также обсуждаются средства обнаружения вредоносных программ, подчеркивающие, что вредоносное ПО классифицируется как общая угроза, связанная с Kimsuky, с высокой степенью достоверности. Кроме того, в нем содержится информация о потенциальной троянской природе вредоносного ПО, его формате файла с расширением msc и рекомендации по его анализу для извлечения важной информации и понимания его поведения.
-----

В тексте обсуждается кампания вредоносного ПО, нацеленная на специалистов в области аэрокосмической техники, в частности, на инцидент с участием профессора Банг Хе Чунга из департамента аэрокосмической техники в KAIST. Вредоносная программа, о которой идет речь, называется Lecture Request Form (2024.8.29) и принадлежит группе разработчиков угроз Kimsuky. Электронное письмо, использованное при атаке, было оформлено как приглашение на лекцию от профессора Банг Хе Чунга.

Основные сведения о вредоносном ПО включают имя файла, размер и хэш-значения для целей идентификации:.

Имя файла: Форма запроса на лекцию.msc.

Размер: 142 КБ.

MD5: ef8947d291107256cb5883ac3bc163d0.

SHA-1: cf8555a2d9fc8081ba8c8e29f7905dd926655df1.

SHA-256: 8028b918d06cf3635e7e77d29cb0a4622d8cf4ee30881fb297435f7328ff45e4.

Текст также содержит образец содержимого вредоносной программы, имитирующий форму запроса на лекцию, отправляемую жертве. В сообщении указывается принимающая организация, информация о лекторе (профессор Банг Хе Чунг), тема лекции, дата, время, местоположение, целевая аудитория, стоимость лекции и другие технические детали. На первый взгляд содержание кажется законным и направлено на то, чтобы обманом заставить получателя открыть вредоносное вложение.

Кроме того, в тексте содержится информация об обнаружении вредоносного ПО различными средствами безопасности, в том числе с помощью ALYac, Arcabit, BitDefender, Emsisoft, eScan, GData, Ikarus, Kaspersky, MAX, Trellix (HX), VIPRE, VirIT и ZoneAlarm от Check Point. Результаты обнаружения свидетельствуют о том, что вредоносное ПО идентифицировано как общая угроза, связанная с группой Kimsuky, с высокой степенью достоверности - 99%.

В тексте содержится намек на то, что вредоносная программа может быть трояном, предназначенным для выполнения вредоносных сценариев или действий в зараженной системе. Формат файла с расширением msc выделен, что указывает на то, что вредоносная программа может использовать этот формат для уклонения от обнаружения или выполнения определенных функций. Кроме того, есть упоминания об анализе вредоносного ПО в Notepad++ для извлечения важной информации и понимания его поведения.

#ParsedReport #CompletenessMedium
01-09-2024

Threat Actors Target the Middle East Using Fake Palo Alto GlobalProtect Tool. Summary and introduction

https://www.trendmicro.com/en_us/research/24/h/threat-actors-target-middle-east-using-fake-tool.html

Report completeness: Medium

Actors/Campaigns:
Fancy_bear

Threats:
Interactsh_tool

Industry:
Critical_infrastructure

Geo:
Emirates, Middle east

ChatGPT TTPs:
do not use without manual check
T1071.004, T1566.002, T1059.001, T1140, T1105, T1005, T1071.001

IOCs:
File: 4
Domain: 4
Url: 2
Hash: 2
IP: 1

Algorithms:
base64, aes

Languages:
powershell

Links:
https://github.com/projectdiscovery/interactsh

#ParsedReport #ExtractedSchema

Classified images:
windows: 12, schema: 1, code: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что злоумышленники проводят сложную вредоносную кампанию на Ближнем Востоке, маскируя вредоносное ПО под законный инструмент Palo Alto GlobalProtect. Вредоносная программа использует передовые технологии, в том числе двухэтапные процедуры заражения, передовую инфраструктуру C&C, строковое шифрование, тактику обхода и использование проекта Interactsh для создания маяков. Он нацелен на конкретные организации на Ближнем Востоке, потенциально предназначенные для геополитического или экономического шпионажа, и подчеркивает важность того, чтобы специалисты по кибербезопасности оставались информированными и бдительными для эффективной борьбы с такими передовыми угрозами.
-----

Злоумышленники активно атакуют пользователей на Ближнем Востоке с помощью сложной вредоносной кампании, которая заключается в маскировке вредоносного ПО под законный инструмент Palo Alto GlobalProtect. Вредоносное ПО использует двухэтапную процедуру заражения и использует передовую инфраструктуру командования и контроля (C&C) для взаимодействия. Он использует проект Interactsh для создания маяков, подключаясь к определенным именам хостов в домене Interactsh. Вредоносная программа способна выполнять удаленные команды PowerShell, загружать и извлекать файлы, шифровать сообщения и обходить безопасные решения.

Конкретный способ доставки этой вредоносной программы остается неясным, хотя есть подозрения, что она является частью фишинговой атаки, которая вводит жертв в заблуждение, заставляя их поверить, что они устанавливают подлинный агент GlobalProtect. Цепочка заражения обычно начинается с файла с именем setup.exe, который развертывает основной компонент вредоносной программы, GlobalProtect.exe а также файлы конфигурации в определенном каталоге на компьютере жертвы.

Чтобы избежать обнаружения, вредоносная программа использует методы обхода анализа поведения и изолированных решений, проверяя наличие определенных файлов и процессов перед выполнением своего основного блока кода. Он также извлекает различную информацию из файлов конфигурации, такую как IP-адрес жертвы, сведения об операционной системе, имя пользователя, название компьютера и ключ шифрования трафика, отправляемого на сервер C&C.

Вредоносная программа использует строковое шифрование с использованием алгоритма AES и использует для своих операций четыре типа команд. Он использует проект Interactsh для создания маяков, отправляя DNS-запросы после каждого этапа процесса заражения в домен, который включает уникальные идентификаторы компьютеров и этапы работы, что позволяет отслеживать продвижение вредоносного ПО.

Обнаруженный образец вредоносного ПО, нацеленного на объекты на Ближнем Востоке, демонстрирует изощренное использование инфраструктуры C&C и методы обхода. Вредоносное ПО динамически переключается на зарегистрированные URL-адреса, имитирующие легальные сервисы в регионе, что повышает его способность вписываться в ожидаемый сетевой трафик. Маскируясь под знакомые региональные службы, злоумышленники используют доверительные отношения для повышения уровня успешности взаимодействия с C&C.

Использование недавно зарегистрированных доменов для ведения информационной деятельности позволяет злоумышленникам избегать попадания в черные списки и усложняет идентификацию. Специфика вредоносного ПО, нацеленного на объекты на Ближнем Востоке, предполагает потенциальную кампанию геополитического или экономического шпионажа. В целом, специалисты по кибербезопасности должны оставаться информированными и бдительными, чтобы эффективно противостоять таким распространенным угрозам.

#ParsedReport #CompletenessLow
31-08-2024

Atlassian CVE-2023-22527 Cryptojacking Full-Scale Exploitation

https://www.secureblink.com/cyber-security-news/atlassian-cve-2023-22527-cryptojacking-full-scale-exploitation

Report completeness: Low

Threats:
Xmrig_miner
Coinminer
Malxmr_miner

CVEs:
CVE-2023-22527 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- atlassian confluence data center (<8.5.4, 8.7.0)


TTPs:
Tactics: 7
Technics: 9

IOCs:
Hash: 6
File: 1
Url: 7

Soft:
Confluence, Unix

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что в Atlassian Confluence была обнаружена критическая уязвимость (CVE-2023-22527), которая приводит к взлому криптовалюты злоумышленниками, использующими уязвимость для несанкционированного удаленного выполнения кода. В тексте освещается влияние уязвимости на версии центров обработки данных и серверов Confluence, тактика, используемая злоумышленниками для взлома криптографических систем, анализ действий участников угроз и даются рекомендации для организаций по снижению рисков путем обновления систем, внедрения методов обеспечения безопасности и совершенствования механизмов мониторинга и защиты.
-----

CVE-2023-22527 - это критическая уязвимость, обнаруженная в Atlassian Confluence с оценкой серьезности 10, которая активно используется для взлома криптосистем. Уязвимость затрагивает центры обработки данных и серверы Confluence в версиях от 8.0.x до 8.5.3, создавая значительные риски из-за возможности удаленного выполнения кода без проверки подлинности (RCE) посредством внедрения шаблона.

Злоумышленники, использующие эту уязвимость, используют различные методы для проведения криптографических атак. Один из методов заключается в использовании сценариев командной строки и майнеров XMRig для преобразования уязвимых сред в сети криптодобычи. Они нацелены на конечные точки SSH, устраняют конкурирующие процессы криптодобычи и обеспечивают постоянство с помощью манипуляций с заданиями cron.

Среди участников угроз, которые, как было замечено, используют CVE-2023-22527, первый участник развертывает майнер XMRig, используя полезную нагрузку ELF-файла. Их действия включают отправку вредоносных запросов, завершение известных процессов криптодобычи, удаление и создание заданий cron для сохранения, деинсталляцию служб безопасности и попытки распространения скриптов криптодобычи путем принудительного доступа по SSH. Второй участник атаки также участвует в атаке, сосредоточившись на завершении процесса, манипулировании заданиями cron, удалении служб безопасности, таких как Alibaba Cloud Shield, и сборе учетных данных пользователей и IP-адресов для будущих атак.

Чтобы снизить риски, связанные с этой уязвимостью и возможными с ее помощью атаками с использованием криптографических средств, организациям настоятельно рекомендуется своевременно обновлять свои экземпляры Atlassian Confluence. Важно внедрять надежные методы обеспечения безопасности, включая мониторинг подозрительных действий, регулярный аудит и защиту точек доступа SSH, поддержание в актуальном состоянии служб безопасности и применение строгих протоколов управления учетными данными.

Обеспечение своевременного применения исправлений безопасности, проведение аудита безопасности для выявления потенциальных уязвимостей и расширение возможностей мониторинга сети также являются важными шагами для предотвращения потенциальных атак с использованием криптоджекинга с использованием CVE-2023-22527. Кроме того, организациям следует рассмотреть возможность использования систем обнаружения вторжений (IDS) и регулярно информировать сотрудников о важности соблюдения правил кибербезопасности для повышения общей защиты от подобных угроз.

#ParsedReport #CompletenessMedium
01-09-2024

Silent Intrusions: Godzilla Fileless Backdoors Targeting Atlassian Confluence

https://www.trendmicro.com/en_us/research/24/h/godzilla-fileless-backdoors.html

Report completeness: Medium

Threats:
Godzilla_webshell
Beichendream_tool
Backdoor.js.webshell.vsnw08h24
Process_injection_technique

CVEs:
CVE-2023-22527 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- atlassian confluence data center (<8.5.4, 8.7.0)


TTPs:
Tactics: 6
Technics: 9

IOCs:
File: 3
Hash: 2

Soft:
Confluence, Unix

Algorithms:
aes-128, base64, md5, aes

Languages:
javascript, java

Links:
https://github.com/feihong-cs/memShell/tree/master
https://github.com/BeichenDream/GodzillaMemoryShellProject/tree/main
https://github.com/BeichenDream/GodzillaMemoryShellProject

#ParsedReport #ExtractedSchema

Classified images:
windows: 11, schema: 1, code: 15

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении нового бэкдора без использования файлов в памяти под названием Godzilla webshell, который используется для использования старых версий Atlassian Confluence, затронутых CVE-2023-22527. Этот бэкдор, управляемый злоумышленником, известным как "BeichenDream", использует передовые методы, такие как шифрование AES и тактика обхода, чтобы избежать обнаружения традиционными мерами безопасности. В тексте подчеркивается важность постоянного обновления систем, использования передовых решений в области безопасности и упреждающих мер безопасности для защиты от возникающих киберугроз.
-----

Компания Trend Micro обнаружила использование старых версий Atlassian Confluence в CVE-2023-22527, работающем на базе Godzilla webshell.

Godzilla - это сложный бэкдор на китайском языке, использующий шифрование AES при работе в оперативной памяти, чтобы избежать обнаружения.

Злоумышленник, стоящий за Godzilla, известен как "BeichenDream" и разработал бэкдор, чтобы избежать обнаружения традиционными средствами безопасности.

Методы вредоносного ПО без файлов, такие как Godzilla, создают проблемы для организаций с устаревшими решениями безопасности.

Атака использует CVE-2023-22527 для выполнения объектов OGNL и скрытного развертывания вредоносных элементов.

Атака включает в себя декодирование значений Base64, использование класса MemGodValueShell и внедрение несанкционированных точек доступа в конвейер Tomcat.

Бэкдор указывает на продолжающуюся эксплуатацию CVE-2023-22527, подчеркивая необходимость немедленного исправления.

Рекомендации включают использование решений безопасности, таких как Trend Vision One, и специальных правил защиты от угроз, использующих CVE-2023-22527.

#ParsedReport #CompletenessMedium
01-09-2024

Malware attacks exploiting AppDomainManager Injection

https://jp.security.ntt/tech_blog/appdomainmanager-injection

Report completeness: Medium

Actors/Campaigns:
Winnti

Threats:
Spear-phishing_technique
Grimresource_technique
Dll_sideloading_technique
Cobalt_strike

Victims:
Government agencies, Military, Energy organizations

Industry:
Military, Energy, Government

Geo:
China, Vietnam, Philippines, Korean, Japan, Japanese, Taiwan

ChatGPT TTPs:
do not use without manual check
T1566.001, T1027, T1574.002, T1059.007, T1219

IOCs:
Domain: 9
File: 5

Soft:
Microsoft Word, Windows certificate, NET Framework

Algorithms:
zip

Functions:
InitializeNewDomain

Languages:
javascript

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: В тексте обсуждается возникновение атак с использованием внедрения AppDomainManager для запуска вредоносного ПО, подчеркивается относительная неизвестность этого метода, несмотря на его потенциал для проведения сложных киберкампаний. Атаки связаны с использованием вредоносных файлов MSC, использующих GrimResource, с выявленными схемами доставки через вредоносные веб-сайты и фишинговые электронные письма. В тексте также затрагивается использование радиомаяков CobaltStrike и потенциальное участие государства, что подчеркивает необходимость для организаций усилить свои возможности обнаружения и меры защиты от этой передовой техники.
-----

Атаки, использующие внедрение AppDomainManager для запуска вредоносного ПО, наблюдались примерно с июля 2024 года.

Несмотря на то, что этот метод был публично представлен в 2017 году, количество сообщений о реальных атаках с использованием этого метода было ограничено, что привело к его относительной малоизвестности.

В последнее время наблюдались атаки по двум основным схемам: загрузка ZIP-файла с вредоносного веб-сайта или получение ZIP-файла в виде вложения в электронном письме, предназначенном для фишинга. ZIP-файл содержит вредоносный MSC-файл, который запускает атаку при открытии.

Вредоносные файлы MSC используют технологию, известную как GrimResource, позволяющую выполнять вредоносные действия при открытии без необходимости перехода пользователя по каким-либо ссылкам.

В этих атаках использовались маяки CobaltStrike, указывающие на изощренность и соответствие тактике, связанной с APT41.

Спонсируемые государством атакующие группы используют скрытность внедрения AppDomainManager, что предполагает возможность более широкого использования в будущих киберкампаниях.

Организациям рекомендуется расширить свои возможности обнаружения для выявления и смягчения последствий атак, связанных с внедрением AppDomainManager.