#ParsedReport #CompletenessMedium
01-09-2024

Silent Intrusions: Godzilla Fileless Backdoors Targeting Atlassian Confluence

https://www.trendmicro.com/en_us/research/24/h/godzilla-fileless-backdoors.html

Report completeness: Medium

Threats:
Godzilla_webshell
Beichendream_tool
Backdoor.js.webshell.vsnw08h24
Process_injection_technique

CVEs:
CVE-2023-22527 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- atlassian confluence data center (<8.5.4, 8.7.0)


TTPs:
Tactics: 6
Technics: 9

IOCs:
File: 3
Hash: 2

Soft:
Confluence, Unix

Algorithms:
aes-128, base64, md5, aes

Languages:
javascript, java

Links:
https://github.com/feihong-cs/memShell/tree/master
https://github.com/BeichenDream/GodzillaMemoryShellProject/tree/main
https://github.com/BeichenDream/GodzillaMemoryShellProject

#ParsedReport #ExtractedSchema

Classified images:
windows: 11, schema: 1, code: 15

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении нового бэкдора без использования файлов в памяти под названием Godzilla webshell, который используется для использования старых версий Atlassian Confluence, затронутых CVE-2023-22527. Этот бэкдор, управляемый злоумышленником, известным как "BeichenDream", использует передовые методы, такие как шифрование AES и тактика обхода, чтобы избежать обнаружения традиционными мерами безопасности. В тексте подчеркивается важность постоянного обновления систем, использования передовых решений в области безопасности и упреждающих мер безопасности для защиты от возникающих киберугроз.
-----

Компания Trend Micro обнаружила использование старых версий Atlassian Confluence в CVE-2023-22527, работающем на базе Godzilla webshell.

Godzilla - это сложный бэкдор на китайском языке, использующий шифрование AES при работе в оперативной памяти, чтобы избежать обнаружения.

Злоумышленник, стоящий за Godzilla, известен как "BeichenDream" и разработал бэкдор, чтобы избежать обнаружения традиционными средствами безопасности.

Методы вредоносного ПО без файлов, такие как Godzilla, создают проблемы для организаций с устаревшими решениями безопасности.

Атака использует CVE-2023-22527 для выполнения объектов OGNL и скрытного развертывания вредоносных элементов.

Атака включает в себя декодирование значений Base64, использование класса MemGodValueShell и внедрение несанкционированных точек доступа в конвейер Tomcat.

Бэкдор указывает на продолжающуюся эксплуатацию CVE-2023-22527, подчеркивая необходимость немедленного исправления.

Рекомендации включают использование решений безопасности, таких как Trend Vision One, и специальных правил защиты от угроз, использующих CVE-2023-22527.

#ParsedReport #CompletenessMedium
01-09-2024

Malware attacks exploiting AppDomainManager Injection

https://jp.security.ntt/tech_blog/appdomainmanager-injection

Report completeness: Medium

Actors/Campaigns:
Winnti

Threats:
Spear-phishing_technique
Grimresource_technique
Dll_sideloading_technique
Cobalt_strike

Victims:
Government agencies, Military, Energy organizations

Industry:
Military, Energy, Government

Geo:
China, Vietnam, Philippines, Korean, Japan, Japanese, Taiwan

ChatGPT TTPs:
do not use without manual check
T1566.001, T1027, T1574.002, T1059.007, T1219

IOCs:
Domain: 9
File: 5

Soft:
Microsoft Word, Windows certificate, NET Framework

Algorithms:
zip

Functions:
InitializeNewDomain

Languages:
javascript

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: В тексте обсуждается возникновение атак с использованием внедрения AppDomainManager для запуска вредоносного ПО, подчеркивается относительная неизвестность этого метода, несмотря на его потенциал для проведения сложных киберкампаний. Атаки связаны с использованием вредоносных файлов MSC, использующих GrimResource, с выявленными схемами доставки через вредоносные веб-сайты и фишинговые электронные письма. В тексте также затрагивается использование радиомаяков CobaltStrike и потенциальное участие государства, что подчеркивает необходимость для организаций усилить свои возможности обнаружения и меры защиты от этой передовой техники.
-----

Атаки, использующие внедрение AppDomainManager для запуска вредоносного ПО, наблюдались примерно с июля 2024 года.

Несмотря на то, что этот метод был публично представлен в 2017 году, количество сообщений о реальных атаках с использованием этого метода было ограничено, что привело к его относительной малоизвестности.

В последнее время наблюдались атаки по двум основным схемам: загрузка ZIP-файла с вредоносного веб-сайта или получение ZIP-файла в виде вложения в электронном письме, предназначенном для фишинга. ZIP-файл содержит вредоносный MSC-файл, который запускает атаку при открытии.

Вредоносные файлы MSC используют технологию, известную как GrimResource, позволяющую выполнять вредоносные действия при открытии без необходимости перехода пользователя по каким-либо ссылкам.

В этих атаках использовались маяки CobaltStrike, указывающие на изощренность и соответствие тактике, связанной с APT41.

Спонсируемые государством атакующие группы используют скрытность внедрения AppDomainManager, что предполагает возможность более широкого использования в будущих киберкампаниях.

Организациям рекомендуется расширить свои возможности обнаружения для выявления и смягчения последствий атак, связанных с внедрением AppDomainManager.

#ParsedReport #CompletenessLow
01-09-2024

TLD Tracker: Exploring Newly Released Top-Level Domains

https://unit42.paloaltonetworks.com/tracking-newly-released-top-level-domains

Report completeness: Low

Threats:
Zipbomb_technique

Geo:
Apac, Emea, America, German, Japan

ChatGPT TTPs:
do not use without manual check
T1566, T1499, T1553

IOCs:
Domain: 29
File: 13

Soft:
YouTube music

Algorithms:
zip

Languages:
php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в расследовании недавно освобожденных доменов верхнего уровня (TLD) и связанных с ними вредоносных действий, таких как фишинговые кампании, распространение нежелательных программ, торрент-сайты и кампании с розыгрышами/мемами. В нем освещаются проблемы, с которыми сталкиваются организации при регистрации своих имен в этих новых доменах верхнего уровня, методы сбора данных, используемые для выявления вредоносных действий, и конкретные примеры, демонстрирующие различные типы вредоносных кампаний. Кроме того, подчеркивается важность мониторинга доменов в рамках новых TLD и роль своевременного обмена разведывательной информацией в борьбе с киберугрозами, а также решения для сетевой безопасности, предлагаемые Palo Alto Networks.
-----

В тексте обсуждается расследование 19 новых доменов верхнего уровня (TLD) за последний год, в ходе которого были выявлены различные вредоносные действия, такие как крупномасштабные фишинговые кампании, распространение нежелательных программ, торрент-сайты и кампании с розыгрышами/мемами. Поскольку в настоящее время существует более 1000 общих доменов верхнего уровня, добавление новых доменов верхнего уровня увеличивает риск вредоносных действий, таких как захват домена и фишинг, особенно если эти домены верхнего уровня напоминают популярные расширения файлов или идентификаторы сервисов.

В отчете подчеркиваются проблемы, с которыми сталкиваются организации при регистрации своих имен в целях защиты во всех недавно выпущенных доменах верхнего уровня, что дает злоумышленникам возможность использовать эти домены в злонамеренных целях. В нем также освещаются обязательные этапы, связанные с запуском новых доменов верхнего уровня, при этом важное значение имеют период запуска и общая доступность.

Методы сбора данных, упомянутые в тексте, включают пассивный DNS, WHOIS, сторонние источники информации об угрозах, статический и динамический анализ вредоносных программ, а также данные активного веб-обхода. Используя эти источники, была разработана автоматизированная система обнаружения для извлечения связанных данных, таких как URL, IP-адреса и образцы вредоносных программ. Система выявила кластеры доменов, связанных с недобросовестными действиями, такими как фишинговые кампании и перенаправление пользователей на вредоносные веб-сайты.

Представлены конкретные примеры, в том числе домены в TLD, используемые для фишинговых кампаний и атак с перенаправлением. Также обсуждаются такие тенденции, как использование QR-кодов для вовлечения жертв в SMS-мошенничество. В тексте указываются кампании, использующие популярные расширения файлов в качестве TLD для торрент- и пиратского распространения, иллюстрирующие потенциальные риски и уязвимости.

Заслуживающие внимания результаты включают анализ ранее зарегистрированных вредоносных доменов .zip, которые теперь превратились в NX-домены, заблокированные страницы или страницы, критикующие TLD. Некоторые из этих доменов теперь содержат розыгрышный контент вместо вредоносных действий, в то время как другие распространяют зараженный вредоносным по контент. Подчеркивается важность мониторинга доменов в рамках новых TLD для отслеживания вредоносных тенденций и атак.

Palo Alto Networks предлагает решения для сетевой безопасности, такие как расширенная защита DNS и фильтрация URL-адресов, для защиты от угроз, описанных в статье. Делясь результатами с членами Альянса по борьбе с киберугрозами, Palo Alto Networks стремится способствовать быстрому внедрению средств защиты от киберугроз. Подчеркивается роль своевременного обмена разведывательными данными в пресечении действий злоумышленников в киберпространстве как коллективных усилий в рамках сообщества кибербезопасности.

#ParsedReport #CompletenessLow
01-09-2024

Malware Detailed Analysis Report

https://download.hauri.net/DownSource/down/dwn_detail_down.html?uid=68&file=.pdf

Report completeness: Low

Actors/Campaigns:
Kimsuky

Threats:
Babyshark

Geo:
Taiwan, Korean, North korean

ChatGPT TTPs:
do not use without manual check
T1140, T1059.005, T1036.005, T1053.005, T1204.002

IOCs:
File: 15
Path: 4
Url: 13
Hash: 7

Soft:
curl, task scheduler

Algorithms:
base64, md5

Languages:
php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - описание кампании BabyShark, проводимой северокорейской хакерской группой Kimsuky. Кампания включает в себя изощренную тактику борьбы с киберугрозами, включая использование различных типов файлов, команд CMD, маскировку Google Docs, подключение к C&C серверам, вредоносные программы-бэкдоры и индивидуальные атаки на конкретных жертв. Злоумышленники постоянно совершенствуют свои методы, позволяющие избежать обнаружения, подчеркивая необходимость проведения углубленного анализа и принятия упреждающих мер кибербезопасности для защиты от подобных угроз.
-----

В тексте описывается киберугроза, связанная с кампанией BabyShark, проводимой северокорейской хакерской группой Kimsuky. Эта кампания действует с 2018 года и продолжает развиваться. Изначально в кампании использовались файлы HWP с OLE-объектами, а также файлы .BAT и .VBS. Однако недавние изменения включают использование файлов MSC, чтобы избежать обнаружения решениями безопасности, и использование VbsEdits Launcher для запуска вредоносных программ вместо программ Windows по умолчанию для выполнения VBScript.

Атака включает в себя выполнение команд CMD, которые используют команду curl для загрузки вредоносных кодов и доступа к документам Google, чтобы замаскировать их под обычные файлы. Документ Google, связанный с вредоносными действиями, сохраняется как "Joka.DOCX", название которого отличается от названия в запущенном MSC-файле. Информация о конкретном северокорейском перебежчике включена в документ как на английском, так и на корейском языках. Кроме того, выполняемые команды получают доступ к серверу C&C с помощью команды curl для прямой загрузки и выполнения файлов документа с определенного URL-адреса.

Более подробная информация показывает, что файл с именем SAM1(default1.vbs) зарегистрирован в планировщике задач и запускается через 19 минут. Этот файл пытается загрузить вредоносное ПО, сохраняя его в пути %Appdata%wadoobe.gif в случае успешной загрузки. Загруженное вредоносное ПО представляет собой вредоносную программу-бэкдор, специально предназначенную для конкретной жертвы, что затрудняет дальнейший анализ.

Более того, запущенный VBScript устанавливает соединение с C&C-сервером для загрузки вредоносного ПО в формате "shinefrom- (данные BASE64)-shineto". Данные BASE64 извлекаются, декодируются и сохраняются по пути %Appdata%\Microsoft\Wqer.bat, где они впоследствии выполняются.

В тексте также упоминается выполнение MSC-файлов, которые побуждают пользователей нажать кнопку, чтобы открыть файл документа. Нажатие кнопки "Открыть" запускает выполнение вредоносной CMD-команды. Эти команды не имеют доступа к Google Docs, но напрямую взаимодействуют с сервером C&C для загрузки и выполнения файлов документов.

Таким образом, кампания BabyShark, организованная хакерской группой Kimsuky, включает в себя сложную тактику доставки и выполнения вредоносных программ. Со временем злоумышленники адаптировали свои методы, чтобы избежать обнаружения и нацеливаться на конкретные жертвы с помощью специальных команд бэкдора. Понимание таких угроз и противодействие им требуют углубленного анализа и принятия упреждающих мер кибербезопасности для защиты от потенциальных нарушений.

#ParsedReport #CompletenessHigh
02-09-2024

Head Mare: adventures of a unicorn in Russia and Belarus

https://securelist.com/head-mare-hacktivists/113555

Report completeness: High

Actors/Campaigns:
Head_mare (motivation: hacktivism, financially_motivated)

Threats:
Lockbit
Babuk
Phantomdl
Phantomcore
Sliver_c2_tool
Mimikatz_tool
Garble_tool
Meterpreter_tool
Nssm_tool
Xmrig_miner
Credential_harvesting_technique
Xenarmor_tool

Industry:
Transport, Entertainment, Energy, Government

Geo:
Belarus, Russian, Belarusian, Russia

CVEs:
CVE-2023-38831 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rarlab winrar (<6.23)


TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1193, T1486, T1547.001, T1071.001, T1003.001

IOCs:
IP: 11
Command: 5
Registry: 1
File: 23
Path: 16
Url: 2
Hash: 41

Soft:
ESXi, XenAllPasswordPro, Unix, esxcli

Algorithms:
curve25519, sha256, sosemanuk

Win API:
NetGetJoinInformation

Languages:
powershell, php

Platforms:
cross-platform, x64, amd64

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 1, table: 1, chart: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Head Mare - это группа хактивистов, нацеленная на компании в России и Беларуси с помощью фишинговых кампаний, семейств программ-вымогателей и пользовательских вредоносных программ, которые наносят значительный ущерб и требуют выкуп за расшифровку данных. Их тактика заключается в использовании уязвимостей, различных инструментов в своих атаках и сохранении систем с помощью тактики маскировки и обфускации. Деятельность группы подчеркивает важность усиления защиты от кибербезопасности в организациях, сталкивающихся с растущими угрозами.
-----

Head Mare - это хактивистская группа, которая появилась в 2023 году в социальной сети X (ранее Twitter). Группа атакует компании в России и Беларуси, публикуя информацию о жертвах в публичных публикациях. Они были связаны с атаками на российские организации и используют фишинговые кампании для использования уязвимостей, таких как CVE-2023-38831 в WinRAR, для получения первоначального доступа. Head Mare использует два семейства программ-вымогателей - LockBit для Windows и Babuk для Linux (ESXi) - для шифрования устройств жертв.

Эта группа хакеров стремится нанести значительный ущерб компаниям в России и Беларуси, часто требуя выкуп за расшифровку данных. Руководитель Mare использует общедоступное программное обеспечение для своих атак, а также использует пользовательские вредоносные программы, такие как PhantomDL и PhantomCore, в фишинговых электронных письмах для получения первоначального доступа. Они используют различные инструменты, такие как Mimikatz и Sliver, как часть своей инфраструктуры атак.

В ходе расследования было обнаружено, что Head Mare использует образцы PhantomDL и PhantomCore в фишинговых кампаниях. Эти образцы используют уязвимость WinRAR и после выполнения устанавливают соединения с командными серверами. Группа продолжает работать в системах, добавляя образцы в разделы реестра или создавая запланированные задачи, а также используя тактику маскировки в своих фишинговых кампаниях. Они маскируют свои образцы и используют для этой цели такие инструменты, как Garble.

Более того, злоумышленники используют платформу Sliver C2 для управления скомпрометированными системами, что позволяет им выполнять команды и собирать данные после первоначального доступа. Они часто используют серверы VPS/VDS в качестве серверов C2 и утилиту rsockstun для обеспечения безопасных подключений. Для сбора учетных данных используются такие инструменты, как mimikatz и XenArmor All-In-One Password Recovery Pro3.

Head Mare использует два семейства программ-вымогателей - Babuk для Linux (ESXi) и LockBit для Windows - со специфическими функциями и алгоритмами шифрования. Злоумышленники распространяют эти варианты программ-вымогателей под разными именами и путями, последовательно шифруя файлы с помощью версий LockBitLite и LockbitHard. Kaspersky Threat Intelligence отмечает, что все образцы Head Mare были обнаружены только в России и Беларуси.

TTP группы похожи на другие кластеры, нацеленные на организации в России и Беларуси в условиях российско-украинского конфликта. Однако глава Mare выделяется тем, что использует пользовательское вредоносное ПО и новые уязвимости, подчеркивая необходимость совершенствования мер кибербезопасности. Организации в России и Беларуси должны быть осведомлены о возникающих угрозах и укреплять свою защиту от таких группировок.

#ParsedReport #CompletenessMedium
02-09-2024

Dark Web Profile: Abyss Ransomware

https://socradar.io/dark-web-profile-abyss-ransomware

Report completeness: Medium

Threats:
Abyss_locker
Hellokitty
Shadow_copies_delete_technique

Victims:
Medical institutions, Manufacturing companies, Tech firms

Industry:
Healthcare, Financial

Geo:
Italy, Canada, Germany, United kingdom, Switzerland, Hong kong, Georgia, Sweden

TTPs:
Tactics: 11
Technics: 18

IOCs:
Command: 1
File: 1
Hash: 25

Soft:
ESXi, Microsoft Exchange, bcdedit, esxcli

Win Services:
MSSQLServer

Languages:
c_language

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что программа-вымогатель Abyss Locker представляет собой серьезную угрозу кибербезопасности, нацеленную как на системы Windows, так и на Linux в различных отраслях промышленности, использующую передовые методы шифрования, агрессивную тактику и стратегии множественного вымогательства. Группа программ-вымогателей ведет свое происхождение от программы-вымогателя HelloKitty и демонстрирует особое внимание к Соединенным Штатам, применяя изощренную тактику для достижения максимального эффекта. Организациям рекомендуется принимать упреждающие меры кибербезопасности для борьбы с угрозой, исходящей от программы-вымогателя Abyss Locker.
-----

Программа-вымогатель Abyss Locker - это серьезная угроза кибербезопасности, нацеленная на системы Windows и Linux в различных отраслях, таких как финансы, производство, здравоохранение и технологии.

Группа программ-вымогателей, известная как Abyss Ransomware, приобрела дурную славу благодаря своей агрессивной тактике, передовым методам шифрования и стратегиям множественного вымогательства.

Программа-вымогатель Abyss произошла от программы-вымогателя HelloKitty, использующей ее исходный код для улучшения работы.

Группа расширила свою деятельность, ориентируясь на среды Linux, особенно на виртуализированные платформы VMware ESXi, со специализированным Linux-шифровальщиком, разработанным для критически важных виртуальных сред.

Тактика включает в себя горизонтальное перемещение внутри сетей, прекращение работы критически важных служб/процессов и передовые методы шифрования.

Программа-вымогатель Abyss работает как многопрофильная группа вымогателей, шифрующая файлы и извлекающая конфиденциальные данные для использования в переговорах о выкупе.

Программа-вымогатель использует алгоритм шифрования salsa_20 и занимается утечкой данных, чтобы оказать давление на жертв.

Основными направлениями деятельности группы являются Соединенные Штаты, где она ориентируется на медицинские учреждения, производственные компании и технологические фирмы.

Первоначальный доступ осуществляется с помощью фишинговых писем, слабых конфигураций SSH или известных уязвимостей в незащищенных серверах.

Упреждающие меры, такие как обновление системы, надежная аутентификация, планирование резервного копирования и непрерывный мониторинг, имеют решающее значение в борьбе с программами-вымогателями Abyss Locker.

Понимание тактики, методов и процедур, связанных с программой-вымогателем Abyss Locker, необходимо для разработки эффективных стратегий защиты, согласованных с платформой MITRE ATT&CK.