#ParsedReport #CompletenessMedium
07-09-2024

Chinese APT Abuses VSCode to Target Government in Asia

https://unit42.paloaltonetworks.com/stately-taurus-abuses-vscode-southeast-asian-espionage

Report completeness: Medium

Actors/Campaigns:
Red_delta (motivation: cyber_espionage)

Threats:
Dll_sideloading_technique
Mimikatz_tool
Shadowpad
Toneshell
Proxyshell_vuln
Proxylogon_exploit
Sharpnbtscan_tool
Tscan_tool
Lazagne_tool
Fscan_tool
Password_spray_technique
Ad_explorer_tool
Frpc_tool
Uac_bypass_technique
Jadtre
Credential_harvesting_technique
Shadow_copies_delete_technique
Vssadmin_tool

Victims:
Government entities, Religious organizations, Nongovernmental organizations

Industry:
Government

Geo:
Asia, Chinese, China

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1073, T1203, T1105, T1041, T1027, T1036, T1059, T1018, T1003, T1083, have more...

IOCs:
File: 20
Hash: 15
IP: 2

Soft:
VSCode, Microsoft Visual Studio, Visual Studio Code, OpenSSH, curl, Active Directory, PsExec

Links:
https://github.com/shadow1ng/fscan
https://github.com/BronzeTicket/SharpNBTScan

#ParsedReport #ExtractedSchema

Classified images:
schema: 6, code: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в подробном анализе новых тактик, методов и процедур (TTP), используемых Stately Taurus cluster, китайской передовой группой по борьбе с постоянными угрозами, при проведении кибершпионажных атак на правительственные учреждения в Юго-Восточной Азии. В тексте обсуждается злоупотребление группой законными процедурами, инновационные методы уклонения от ответственности, использование различных технологий безопасности, методы сохранения и эксфильтрации, связь с деятельностью ShadowPad, использование ShadowPad и других инструментов, информация об исполнителе угроз и рекомендации по защитным стратегиям от таких угроз.
-----

В тексте описываются новые тактики, методы и процедуры (TTP), связанные с кластером Stately Taurus, китайской передовой группой по борьбе с постоянными угрозами, известной своими кибершпионажными атаками на правительственные учреждения в Юго-Восточной Азии. Вот ключевые моменты из текста:.

**Злоупотребление законными процессами**: Stately Taurus использовал законный процесс imecmnt.exe с помощью дополнительной загрузки библиотеки DLL для загрузки модуля ShadowPad (imjp14k.dll), демонстрируя сложный подход к уклонению от обнаружения.

**Технологии обнаружения и защиты**: Различные технологии безопасности, такие как расширенная облачная служба анализа вредоносных программ WildFire, расширенная фильтрация URL-адресов, расширенная защита DNS, Cortex XDR и XSIAM, используются для предотвращения и обнаружения известных и неизвестных вредоносных действий, включая сбор учетных данных, использование веб-оболочки и отправку сообщений-эксплуатировать действия.

**Новые технологии **: Stately Taurus использовала встроенную функцию обратной оболочки Visual Studio Code для выполнения произвольного кода, доставки вредоносных программ и поддержания постоянного доступа в зараженных средах, демонстрируя инновационную тактику обхода средств защиты.

** Методы сохранения и эксфильтрации**: Злоумышленник установил сохранение с помощью запланированных задач и выполненных операций по архивированию и эксфильтрации конфиденциальных данных, используя такие инструменты, как rar.exe через SMB и Listeners.bat.

**Связь с деятельностью ShadowPad**: В тексте подчеркивается связь между деятельностью Stately Taurus и вторым кластером, использующим бэкдор ShadowPad в той же среде, что потенциально указывает на скоординированные усилия или наличие нескольких участников угроз, действующих в целевой зоне.

**Использование ShadowPad и других инструментов**: Дополнительные инструменты, такие как SharpNBTScan, Tscan, ADExplorer64.exe и In-Swor, использовались для сканирования, ввода пароля, выполнения команд, запроса Active Directory и выполнения Mimikatz для сбора учетных данных.

** История создания угроз **: Величественный Таурус, также известный как Мустанг Панда, БРОНЗОВЫЙ ПРЕЗИДЕНТ и другие псевдонимы, ведет активную деятельность как минимум с 2012 года, проводя кампании кибершпионажа против различных организаций по всей Европе и Азии.

**Рекомендации**: Исследователи рекомендуют организациям использовать полученные результаты для совершенствования стратегий защиты от угроз, исходящих от Статных Тельцов и подобных им групп APT.

#ParsedReport #CompletenessMedium
07-09-2024

Spoofed GlobalProtect Used to Deliver Unique WikiLoader Variant

https://unit42.paloaltonetworks.com/global-protect-vpn-spoof-distributes-wikiloader

Report completeness: Medium

Threats:
Wikiloader
Dll_sideloading_technique
Emotet
Seo_poisoning_technique
Danabot
Gozi
Typosquatting_technique
Motw_bypass_technique

Industry:
Transport, Education, Iot

Geo:
Italy

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1189, T1071.001, T1036.005, T1055.012, T1090, T1027, T1012, T1497.001, T1204.001, T1105, have more...

IOCs:
File: 10
Path: 1
Url: 8
Hash: 39

Soft:
WordPress, Chrome, Sysinternals

Algorithms:
sha256, zip

Functions:
GetBingMapsFactory

Win API:
CryptUnprotectData

Platforms:
x86

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 7

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в методах, используемых WikiLeader в кампаниях, имитирующих GlobalProtect, с акцентом на антианализ и методы уклонения от защиты, которые были определены командой Unit 42 Managed Threat Hunting. В нем обсуждается эволюция вредоносного ПО, методы доставки, такие как SEO-отравление, используемые методы уклонения, такие как опечатывание и дополнительная загрузка, а также потенциальное воздействие на различные сектора. Кроме того, в нем рассказывается об уникальных приемах, используемых WikiLoader, и подчеркивается важность поиска угроз в конечных точках для обнаружения и устранения вредоносных программ, несмотря на их тактику уклонения.
-----

WikiLoader распространяется с помощью SEO-оптимизации и подмены программного обеспечения GlobalProtect VPN.

Вредоносная программа использует различные методы уклонения, такие как поиск опечаток, дополнительная загрузка законно подписанных двоичных файлов и шифрование шелл-кода.

Недавние кампании, нацеленные на высшее образование и транспортный сектор США, расширили круг жертв WikiLeaks.

WikiLoader устанавливает постоянство, вводя шелл-код в explorer.exe и создавая запланированные задачи для выполнения.

Вредоносная программа выводит поддельные сообщения об ошибках после заражения, чтобы не вызывать подозрений.

Финансово мотивированные злоумышленники, скорее всего, продолжат использовать WikiLoader для скрытных кампаний по загрузке Windows.

Организации могут использовать распространенные методы поиска угроз для конечных точек для выявления и устранения вредоносных программ.

#ParsedReport #CompletenessLow
07-09-2024

Dissecting the Cicada

https://www.truesec.com/hub/blog/dissecting-the-cicada

Report completeness: Low

Actors/Campaigns:
Blackcat

Threats:
Cicada_ransomware
Blackcat
Screenconnect_tool
Brutus

ChatGPT TTPs:
do not use without manual check
T1027, T1059.001

IOCs:
File: 2
IP: 1

Soft:
ESXi, esxcli

Algorithms:
base64, chacha20

Languages:
rust

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что в июне 2024 года появилась новая группа программ-вымогателей под названием Cicada3301, которая работает как платформа "программа-вымогатель как услуга" с возможностями двойного вымогательства. Эта группа имеет сходство с группой программ-вымогателей ALPHV и связана с ботнетом Brutus. Программа-вымогатель написана на Rust, нацелена на хосты Windows и Linux/ESXi и использует методы шифрования, такие как ChaCha20. В тексте освещаются функциональные возможности группы, направления атак и потенциальные будущие изменения в ее возможностях.
-----

Cicada3301 - это недавно появившаяся группа программ-вымогателей, которая работает как платформа "программа-вымогатель как услуга", предоставляя возможности двойного вымогательства.

Программа-вымогатель написана на Rust для хостов Windows и Linux/ESXi, с акцентом на вариант программы-вымогателя ESXi.

Анализ выявил сходство между Cicada3301 и ныне несуществующими группами программ-вымогателей Black Cat/ALPHV, например, использование Rust, шифрования ChaCha20 и аналогичных команд для выключения виртуальной машины и удаления моментальных снимков.

Расследование выявило потенциальную связь между участниками угроз, связанными с ботнетом Brutus, и Cicada3301, что позволяет предположить сотрудничество или ребрендинг программ-вымогателей.

Программа-вымогатель Cicada3301 - это двоичный код ELF, скомпилированный в Rust, использующий такие функциональные возможности, как введение задержек, визуальный вывод во время шифрования и возможность шифровать файлы на хостах ESXi без выключения виртуальных машин.

Программа-вымогатель использует шифрование ChaCha20 и шифрование с ключом RSA для шифрования файлов.

Cicada3301 представляет собой серьезную угрозу в сфере программ-вымогателей как услуги, потенциально связанную с группой программ-вымогателей ALPHV, и возможности которой могут быть расширены в будущем.

С переводом спец. терминов надо что-то делать.
Будем изучать что там в платном Yandex Translate надо подкрутить :) Делать полный глоссарий лениво. Может можно как-то тегами указывать какие слова не надо переводить.

We present novel techniques to identify ransomware payments with low false positives, classifying nearly $700 million in previously-unreported ransomware payments. We publish the largest public dataset of over $900 million in ransomware payments -- several times larger than any existing public dataset. We then leverage this expanded dataset to present an analysis focused on understanding the activities of ransomware groups over time. This provides unique insights into ransomware behavior and a corpus for future study of ransomware cybercriminal activity.

https://arxiv.org/abs/2408.15420

#technique

GhostStrike is an advanced cybersecurity tool designed for Red Team operations, featuring sophisticated techniques to evade detection and perform process hollowing on Windows systems.

https://github.com/stivenhacker/GhostStrike

#ParsedReport #CompletenessMedium
07-09-2024

TIDRONE Targets Military and Satellite Industries in Taiwan. Summary

https://www.trendmicro.com/en_us/research/24/i/tidrone-targets-military-and-satellite-industries-in-taiwan.html

Report completeness: Medium

Actors/Campaigns:
Tidrone (motivation: cyber_espionage)

Threats:
Cxclnt
Clntend
Uac_bypass_technique
Credential_dumping_technique
Supply_chain_technique
Disabling_antivirus_technique
Junk_code_technique
Trojan.win32.dulload.ztlc
Trojan.win32.shelldebin.ztlc

Industry:
Military

Geo:
Taiwan, Chinese

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1105, T1082, T1071, T1548, T1003, T1562.001, T1027, T1574.002, T1059.001

IOCs:
File: 11
Hash: 14
Domain: 8

Soft:
Winlogon

Algorithms:
sha256, xor

Win API:
GetProcAddress, RtlDecompressBuffer, CreateThread, ConvertThreadToFiber, CreateFiber, SwitchToFiber, SetEvent

Links:
https://github.com/MaorSabag/TrueSightKiller
https://gist.github.com/netbiosX/a114f8822eb20b115e33db55deee6692

#ParsedReport #ExtractedSchema

Classified images:
windows: 11, schema: 3, code: 1, dump: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в подробном анализе кластера угроз TIDRONE, связанного с китайскоязычными группами, с акцентом на военные отрасли, в частности на производителей беспилотных летательных аппаратов на Тайване. TIDRONE использует передовые наборы вредоносных программ, такие как CXCLNT и CLNTEND, демонстрируя шпионские мотивы посредством целенаправленных атак и постоянного совершенствования тактики. Злоумышленники используют в своих операциях методы антианализа, бэкдоры и методы обфускации, что указывает на высокий уровень изощренности.
-----

В тексте описывается неопознанный кластер угроз под названием TIDRONE, который связан с китайскоязычными группами и проявляет значительный интерес к промышленным цепочкам, связанным с военной деятельностью, в частности к производителям беспилотных летательных аппаратов на Тайване. В TIDRONE используются передовые наборы вредоносных программ, такие как CXCLNT и CLNTEND, для развертывания которых используется программное обеспечение для планирования ресурсов предприятия или удаленные рабочие столы. Вредоносные программы обладают функциями загрузки файлов, сбора информации о жертвах и запуска дополнительных переносимых исполняемых файлов. CLNTEND, недавно открытый инструмент удаленного доступа, поддерживает различные сетевые протоколы для связи.

С начала 2024 года на Тайване участились случаи реагирования на инциденты, связанные с TIDRONE, что свидетельствует о том, что злоумышленник сосредоточил свое внимание на военных секторах. В отчете, основанном на данных телеметрии VirusTotal, освещаются различные страны-мишени, что подчеркивает необходимость бдительности. TIDRONE постоянно совершенствует свои тактики, методы и процедуры (TTP), о чем свидетельствует эволюция таких инструментов, как CXCLNT и CLNTEND. Злоумышленники используют методы антианализа в своих загрузчиках, чтобы препятствовать обнаружению, и используют такие методы, как обход контроля учетных данных, сброс учетных данных и использование хакерских инструментов во время постэксплуатационных действий.

Деятельность TIDRONE предполагает наличие шпионских мотивов, учитывая, что ее целью являются предприятия военной промышленности, в частности производители беспилотных летательных аппаратов. Время сбора файлов совпадает с кампаниями, связанными со шпионажем в Китае, что указывает на причастность группы, владеющей китайским языком. Целенаправленность и ограниченный масштаб инцидентов еще больше подтверждают оценку деятельности TIDRONE, связанной со шпионажем.

В тексте рассматриваются технические детали наборов инструментов TIDRONE, описывается внедрение вредоносного ПО с помощью программного обеспечения ERP или удаленных рабочих столов, горизонтальное перемещение в системах-жертвах и наличие загрузчиков, обеспечивающих постоянную работу на компьютерах-жертвах. Действия злоумышленника связаны с родительским процессом WinWord.exe, что указывает на общность всех атак, которые организации могут отслеживать в целях защиты.

Кроме того, анализ выявил наличие множества бэкдоров в кампании TIDRONE с гибкими структурами шеллкода, способными принимать различные форматы полезной нагрузки. Результаты анализа вредоносных программ и отчеты о работе в изолированной среде дают представление о функциональности этих бэкдоров, демонстрируя такие возможности, как удаленный доступ к командной оболочке и связь с серверами управления. Злоумышленники предпочитают неправильно указывать доменные имена для серверов C&C, чтобы запутать свою сетевую инфраструктуру и ввести в заблуждение исследователей.

#ParsedReport #CompletenessLow
08-09-2024

Arctic Wolf Observes Akira Ransomware Campaign Targeting SonicWall SSLVPN Accounts

https://arcticwolf.com/resources/blog/arctic-wolf-observes-akira-ransomware-campaign-targeting-sonicwall-sslvpn-accounts

Report completeness: Low

Threats:
Akira_ransomware

Victims:
Sslvpn user accounts on sonicwall devices

CVEs:
CVE-2024-40766 [Vulners]
CVSS V3.1: 9.3,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1078, T1110

Soft:
Active Directory

#ParsedReport #GeneratedSchema
Generated with GPT-4