Исследование от независимого аналитика на тему странных пингов, найденных GreyNoise

Ping Storms at GreyNoise

https://darthnull.org/noisestorms/

#technique

Nameless C2 - A C2 with all its components written in Rust

https://github.com/trickster0/NamelessC2

#ParsedReport #CompletenessHigh
02-10-2024

The Art of the Non-Business Letter: FACCT Warns of Narketing163 Attacks on Russian Companies

https://www.facct.ru/blog/narketing163/

Report completeness: High

Actors/Campaigns:
Narketing163

Threats:
Spear-phishing_technique
Dll_sideloading_technique
Process_injection_technique
Process_hollowing_technique
Timestomp_technique
Credential_dumping_technique
Agent_tesla
Snake_keylogger
Redline_stealer
Formbook

Industry:
Retail, E-commerce, Chemical, Financial, Foodtech, Healthcare

Geo:
Turkish, Kazakhstan, Luxembourg, Morocco, Azerbaijan, India, Great britain, Usa, Turkey, Spain, Russia, Sri lanka, Ukraine, Armenia, Mexico, Belarus, Azerbaijani, Germany, Norway, Russian, Bulgaria, Lithuania, Romania, Singapore

TTPs:
Tactics: 11
Technics: 77

IOCs:
Hash: 151
Email: 10
Domain: 19
IP: 4
Url: 10

Soft:
Roundcube, Telegram, Viber, WhatsApp

Algorithms:
zip

Languages:
swift

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В сообщении в блоге подробно описываются атаки Narketing163, анализируются их тактика, методы и использование вредоносного ПО в фишинговых кампаниях, нацеленных на сотрудников российских компаний. В сообщении содержатся рекомендации, признаки компрометации и факторы, указывающие на причастность к атакам Наркоторговли163, которая использует различные тактики, чтобы выдавать себя за законные организации и скрывать свою личность. Приведены конкретные признаки компрометации и вредоносных конфигураций доменов, связанных с наркоторговлей163, демонстрирующие их сложную работу.
-----

В сообщении блога обсуждаются атаки Narketing163, анализируются тактика и методы, используемые злоумышленником, а также даются рекомендации и признаки компрометации. Злоумышленник, известный как Narketing163, нацелен на пользователей из разных стран, включая Россию, Беларусь, Казахстан и США. Атаки в основном направлены на фишинговые кампании, нацеленные на сотрудников российских компаний, которые используют для связи адреса электронной почты, подобные narketing163@gmail.com.

Narketing163 использует в своих атаках целый ряд вредоносных программ, включая RedLine Stealer, Agent Tesla, FormBook (FormBookFormgrabber) и кейлоггер Snake. Эти семейства вредоносных программ предназначены для кражи конфиденциальной информации, такой как пароли, финансовые данные и личная информация пользователей. Например, RedLine Stealer был впервые обнаружен на подпольных рынках в 2020 году, в то время как Agent Tesla - это хорошо известный троян, который эволюционировал, включив в себя различные вредоносные функции, помимо кейлоггинга.

Отнесение этих атак на счет Narketing163 основано на нескольких факторах, включая используемые адреса электронной почты, целевые компании, время атаки, языковые шаблоны в электронных письмах и аналогичные соглашения об именовании вредоносных вложений. Злоумышленник использует различные тактики для имитации законной деятельности, например, использует домены верхнего уровня, такие как tr, az и com, для выдачи себя за существующие компании. Кроме того, Narketing163 часто меняет IP-адреса отправителей и, вероятно, использует инструменты анонимизации, такие как VPN и прокси-серверы, чтобы скрыть их личность.

Кроме того, в блоге описаны конкретные индикаторы компрометации, такие как идентификация серверов, используемых для сбора данных о жертвах, и анализ образцов вредоносного ПО для доменных подключений и конфигураций. В посте приведены подробные конфигурации образцов вредоносного ПО, связанных с Narketing163, с выделением таких доменов, как mail.sturmsgroup.com, mail.gencoldfire.com, mail.apexrnun.com и mail.mastersharks.com. Злоумышленник продемонстрировал схему использования поддоменов для вредоносных действий, что свидетельствует об уровне сложности их работы.

Примеры фишинговых писем с обратными адресами электронной почты, такими как narketing163@gmail.com , verconas@mail.com , и tender12@mail.com они представлены на разных языках, включая русский, турецкий и азербайджанский. В блоге также указывается адрес электронной почты, связанный со злоумышленником, по состоянию на сентябрь 2024 года: kubrayesti@gmail.com .

#ParsedReport #CompletenessMedium
03-10-2024

Threat actor believed to be spreading new MedusaLocker variant since 2022. Tracking BabyLockerKZ across the globe. Threat actor believed to be spreading new MedusaLocker variant since 2022. Threat actor believed to be spreading new MedusaLocker variant since 2022

https://blog.talosintelligence.com/threat-actor-believed-to-be-spreading-new-medusalocker-variant-since-2022

Report completeness: Medium

Threats:
Medusalocker
Babylockerkz
Lolbin_technique
Advanced-port-scanner_tool
Netscan_tool
Process_hacker_tool
Pchunter64_tool
Mimikatz_tool
Mimik_tool
Passthehash_technique
Rclone_tool
Lsadump_tool

Industry:
Education

Geo:
American, Argentina, Germany, France, Brazil, Italy, Spain, Colombia, Mexico

ChatGPT TTPs:
do not use without manual check
T1486, T1070.004, T1078, T1003.001, T1070.006, T1105, T1087.001, T1003.003, T1562.001, T1021.002, have more...

IOCs:
Path: 5
File: 2
Hash: 19
Registry: 9

Soft:
SoftPerfect Network Scanner, PSEXEC

Languages:
powershell

Platforms:
x64

Links:
https://github.com/Kevin-Robertson/Invoke-TheHash

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: Cisco Talos выявила финансово мотивированного злоумышленника, который работает с 2022 года и распространяет версию программы-вымогателя MedusaLocker, известную как BabyLockerKZ. Злоумышленник в первую очередь нацелен на организации по всему миру, а в середине 2023 года он переместится из стран ЕС в страны Южной Америки. Talos собрала информацию об инструментах, тактике, методах и процедурах злоумышленников (TTP), что позволяет получить представление о количестве жертв, источниках и моделях атак. Методы действий злоумышленника включают использование общеизвестных средств атаки, автономных двоичных файлов и уникальных инструментов, таких как "Checker", указывающих на потенциальную принадлежность к картелю программ-вымогателей или работу в качестве независимого аффилированного брокера (IAB). Набор инструментов злоумышленника позволяет осуществлять такие действия, как кража учетных данных, боковое перемещение и обход программного обеспечения AV/EDR. В BabyLockerKZ представлены изменения по сравнению с MedusaLocker, подчеркивающие уникальные особенности, такие как отсутствие мьютексов, различные структуры разделов реестра и специальные открытые и закрытые ключи. Постоянный уровень компрометации злоумышленников свидетельствует о профессиональном и решительном подходе к проведению целенаправленных атак по всему миру.
-----

Cisco Talos выявила финансово мотивированного злоумышленника, который с 2022 года активно распространяет версию программы-вымогателя MedusaLocker под названием "BabyLokerKZ".

Злоумышленник в первую очередь нацелен на организации по всему миру, первоначально сосредоточившись на странах ЕС, а затем переключившись на страны Южной Америки.

Злоумышленник использует известные и уникальные инструменты, включая "Средство проверки" для бокового перемещения и инструменты с путями PDB, содержащими "paid_memes".

Внимание злоумышленников переключается с европейских стран на страны Южной Америки, что приводит к значительному увеличению числа жертв в месяц.

Набор инструментов злоумышленника включает в себя набор общедоступных и пользовательских инструментов для различных вредоносных действий, включая отключение программного обеспечения AV и EDR, сканирование сети, мониторинг процессов и сброс учетных данных.

BabyLockerKZ, вариант MedusaLocker, обладает уникальными функциями, такими как различия в мьютексах, разделах реестра и включение открытых и закрытых ключей, помеченных как "PAIDMEMES".

Злоумышленник использует такие инструменты, как PTH и MIMIK, для передачи хэша и кражи учетных данных, сосредотачиваясь на сканировании действительных учетных данных, расшифровке хэшей и ведении баз данных учетных данных.

#ParsedReport #CompletenessMedium
02-10-2024

Bulbature, beneath the waves of GobRAT. Appendi x: Bash scripts

https://blog.sekoia.io/bulbature-beneath-the-waves-of-gobrat

Report completeness: Medium

Actors/Campaigns:
Apt31

Threats:
Gobrat
Quad7
Frpc_tool
Upx_tool
Webadmin_tool

Victims:
Edge devices, United states hosts, Hong kong hosts, Sweden hosts, Singapore hosts, Canada hosts, Taiwan hosts, United kingdom hosts, Germany hosts, Italy hosts, have more...

Geo:
China, France, Japan, Italy, American, Sweden, Australia, Singapore, Canada, United kingdom, Taiwan, Chinese, Hong kong, America, Russia, Korea, Germany, Asia

CVEs:
CVE-2017-5638 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apache struts (<2.3.32, <2.5.10.1)

CVE-2019-9082 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- thinkphp (<3.2.4)

CVE-2019-13956 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- codersclub discuz!ml (le3.4)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1098, T1543, T1547, T1059, T1071, T1095, T1110, T1499

IOCs:
File: 32
IP: 104
Domain: 2
Url: 2
Hash: 17

Soft:
crontab, firewalld, Redis, MySQL, PostgreSQL, WireGuard, alpine

Algorithms:
sha1, sha256, md5, xor

Languages:
javascript

Platforms:
intel, arm, mips

Links:
https://github.com/fatedier/frp
https://github.com/Mbed-TLS/mbedtls

#ParsedReport #ExtractedSchema

Classified images:
schema: 8, windows: 14, chart: 2, code: 22

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте описывается текущее расследование киберугроз командой Sekoia TDR в отношении инфраструктуры, контролирующей скомпрометированные периферийные устройства, используемые для запуска агрессивных кибератак. Расследование выявило наличие вредоносных программ, таких как GobRAT и Bulbature, цепочку заражения скомпрометированных устройств, кластеризацию вредоносных файлов на серверах, интерфейс администрирования, связанный с вредоносным ПО GobRAT, и виктимологию скомпрометированных хостов, что указывает на стратегическое географическое распределение заражений.
-----

В тексте описывается текущее расследование киберугроз, проведенное командой Sekoia Threat Detection & Research (TDR) в отношении инфраструктуры, контролирующей скомпрометированные периферийные устройства, используемые для проведения агрессивных кибератак. Инфраструктура развивалась, и 63 идентифицированных и проанализированных сервера по-прежнему активно работают. Анализ выявил наличие вредоносных программ, таких как GobRAT и Bulbature, которые используются для заражения периферийных устройств и преобразования их в операционные блоки ретрансляции (ORBS) для облегчения атак.

Расследование, начатое с середины 2023 года, выявило использование самозаверяющих сертификатов на промежуточных хостах, идентифицированных JPCERT/CC, что свидетельствует о развертывании вредоносных программ GobRAT и Bulbature. GobRAT идентифицируется как универсальный backdoor RAT, написанный на языке Go, который позволяет выполнять различные функции, такие как получение новых конфигураций, выполнение команд, снятие отпечатков пальцев с хостов, проведение DDoS-атак и другие. С другой стороны, Bulbature превращает скомпрометированные устройства в сферы, предназначенные в первую очередь для ретрансляции атак на целевые сети.

Цепочка заражения скомпрометированных устройств включает в себя развертывание промежуточных серверов, компрометацию периферийных устройств, выполнение вредоносного ПО с помощью сценариев Bash и взаимодействие с промежуточными серверами и Bulbature C2 & Dispenser. Инфраструктура направлена на обеспечение постоянства, блокирование других злоумышленников, обеспечение доступа к хостам и обновление сценариев для поддержания доступа, а также на потенциальное внедрение новых функциональных возможностей.

Расследование выявило скопления серверов, на которых размещаются вредоносные файлы, скрипты и инструменты на определенных портах, причем некоторые серверы потенциально связаны с интерфейсами провайдеров прокси-серверов, что облегчает создание прокси-туннелей для операторов по требованию. Кроме того, анализ выявил интерфейс администрирования, связанный с вредоносным ПО GobRAT, который позволяет операторам осуществлять DDoS-атаки, использовать уязвимости и выполнять команды. Интерфейс включает функции для создания прокси-туннелей и проведения атак на конкретные цели.

В ходе расследования также изучается виктимология зараженных хостов, что подчеркивает географическое распределение инфекций. Наибольшее количество зараженных хостов приходится на Соединенные Штаты, Гонконг и Швецию, что указывает на стратегический подход, нацеленный на конкретные регионы и потенциально позволяющий создавать узлы выхода для атак. Скомпрометированными хостами в основном являются маршрутизаторы Linux с архитектурой ARM, производимые такими компаниями, как Asus или Qnap, что подтверждает теорию о том, что это периферийные устройства, используемые в атаках.

#ParsedReport #CompletenessMedium
02-10-2024

Security Brief: Royal Mail Lures Deliver Open Source Prince Ransomware

https://www.proofpoint.com/us/blog/threat-insight/security-brief-royal-mail-lures-deliver-open-source-prince-ransomware

Report completeness: Medium

Actors/Campaigns:
Secdbg
Ta578

Threats:
Prince_ransomware
Amsi_bypass_technique
Confuserex_tool
Thunderkitty

ChatGPT TTPs:
do not use without manual check
T1059.005, T1027, T1107, T1112, T1486, T1566.002

IOCs:
File: 8
Command: 1
Path: 1
Email: 3
Url: 2
Coin: 1
Hash: 3

Soft:
Windows Defender, Telegram

Crypto:
bitcoin

Algorithms:
base64, gzip, aes, zip, sha256

Languages:
javascript, powershell

Links:
https://github.com/SecDbg/Prince-Ransomware

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что исследователи Proofpoint обнаружили вредоносную кампанию, выдающую себя за Royal Mail, которая распространяет программу-вымогателя Prince, в которой отсутствуют механизмы дешифрования и не происходит эксфильтрация данных. В кампании использовался файл быстрого доступа с JavaScript для запуска дополнительных вредоносных скриптов с помощью команд PowerShell. Связь с Prince ransomware была установлена благодаря сходству в поведении, что указывает на потенциальное злоупотребление законными брендами со стороны злоумышленников. Открытый доступ программы-вымогателя на GitHub позволяет различным участникам угроз адаптировать ее, возможно, с помощью пользовательских сервисов-конструкторов. Кроме того, в тексте обсуждается использование контактных форм при рассылке угроз по электронной почте для распространения вредоносного контента без прямого указания адресов электронной почты, упоминается связь с такими участниками угроз, как TA578.
-----

Исследователи Proofpoint обнаружили вредоносную кампанию, выдававшую себя за Royal Mail и распространявшую программу-вымогатель Prince.

В программе-вымогателе Prince отсутствуют механизмы расшифровки, что делает атаку разрушительной.

Кампания использовала файл быстрого доступа, содержащий JavaScript, для выполнения вредоносных скриптов с помощью команд PowerShell.

Характеристики программы-вымогателя включали шифрование файлов, поддельный экран обновления Windows и уведомление о требовании выкупа.

Программа-вымогатель не предоставила уникальных идентификаторов или контактных данных для расшифровки.

Не наблюдалось возможности утечки данных при минимальной сетевой активности, за исключением загрузки изображения рабочего стола.

Связь между кампанией и программой-вымогателем Prince была установлена благодаря сходству в поведении.

Отмечено потенциальное злоупотребление законными брендами со стороны участников угроз.

Возможно, для создания цепочки программ-вымогателей был использован сервис Custom builder.

Создатель программы-вымогателя Prince упомянул о возможных модификациях, позволяющих обойти меры безопасности, и предложил индивидуальные услуги.

В качестве первоначальной полезной нагрузки по электронной почте наблюдаются угрозы со стороны программ-вымогателей, особенно с использованием свободно доступных вариантов.

Общение через контактные формы, используемые для распространения вредоносного контента без прямого указания адресов электронной почты, связанных с участниками угроз, такими как TA578.

#ParsedReport #CompletenessLow
03-10-2024

Case of Attack Targeting MS-SQL Servers Abusing GotoHTTP

https://asec.ahnlab.com/en/83283

Report completeness: Low

Threats:
Gotohttp_tool
Anydesk_tool
Todesk_tool
Rudesktop_tool
Teamviewer_tool
Ammyyadmin_tool
Sqlshell_tool
Petitpotato_tool
Sweetpotato_tool
Juicypotato_tool
Godpotato_tool
Printnotifypotato_tool
Potato_tool
Bazarbackdoor

Victims:
Ms-sql server

ChatGPT TTPs:
do not use without manual check
T1078, T1059.007, T1070.006, T1071.001, T1059.003

IOCs:
File: 4
Hash: 5
Url: 5

Soft:
MS-SQL

Algorithms:
md5

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в недавнем случае атаки, связанном со злоупотреблением средствами удаленного управления на серверах MS-SQL со стороны злоумышленников, подчеркивая использование законных инструментов, таких как GotoHTTP, для несанкционированного доступа, установки вредоносных программ, повышения привилегий и использования вредоносных программ типа Potato для атак на веб-оболочки или серверы MS-SQL. В тексте также подчеркивается важность принятия мер безопасности для предотвращения подобных атак.
-----

Аналитический центр безопасности AhnLab (ASEC) выявил недавний случай атаки, связанный со злоупотреблением средством удаленного управления GotoHTTP на серверах MS-SQL, которые управляются ненадлежащим образом. Средства удаленного управления, такие как AnyDesk, TeamViewer и AmmyyAdmin, обычно используются в законных целях для удаленного управления системами. Однако злоумышленники используют эти средства для получения несанкционированного доступа к системам.

В описанном случае злоумышленник атаковал сервер MS-SQL с ненадежными учетными данными, вероятно, через незащищенную систему. Злоумышленник изначально установил на сервер CLR SqlShell, инструмент, аналогичный WebShell. SqlShell позволяет злоумышленникам выполнять команды и выполнять вредоносные действия в скомпрометированной системе. Затем злоумышленник установил инструменты повышения привилегий, такие как PetitPotato, SweetPotato и другие, а также вредоносное ПО для добавления или сброса учетных записей пользователей.

Вредоносные программы типа Potato пользуются популярностью у злоумышленников при атаках на веб-консоли или серверы MS-SQL из-за их способности повышать привилегии, используя определенные разрешения от учетных записей запущенных процессов. Эти разновидности вредоносных программ позволяют злоумышленникам выполнять дополнительные вредоносные действия в скомпрометированных системах. Кроме того, учетные записи бэкдоров, созданные злоумышленником, могут использоваться для удаленного доступа к управлению через RDP.

Злоумышленник также установил GotoHTTP, инструмент удаленного управления, который предоставляет возможности управления экраном. Зная "Идентификатор компьютера" и "Код доступа", злоумышленник может удаленно управлять зараженной системой с помощью GotoHTTP. Инструмент создает файл конфигурации, в котором хранятся эти данные для удобства доступа.

Тенденция последних атак связана с использованием законных средств удаленного управления вместо традиционных вредоносных программ-бэкдоров, что позволяет злоумышленникам избегать обнаружения продуктами безопасности. Для предотвращения подобных атак рекомендуется обновить версию 3 до последней и внедрить меры безопасности, такие как брандмауэры для ограничения внешнего доступа к серверам баз данных. Несоблюдение этих мер предосторожности может привести к постоянному заражению сторонними угрозами и вредоносными программами.

#ParsedReport #CompletenessHigh
03-10-2024

Separating the bee from the panda: CeranaKeeper making a beeline for Thailand

https://www.welivesecurity.com/en/eset-research/separating-bee-panda-ceranakeeper-making-beeline-thailand

Report completeness: High

Actors/Campaigns:
Ceranakeeper
Red_delta

Threats:
Wavyexfiller
Dropboxflop
Onedoor
Bingoshell
Toneshell
Plugx_rat
Toneins
Pubload
Dll_sideloading_technique

Victims:
Governmental institutions

Industry:
Government

Geo:
Taiwan, Asia, Japan, Asian, Thailand, Ukraine, Myanmar, China, Philippines

TTPs:
Tactics: 7
Technics: 20

IOCs:
Hash: 9
File: 3
Domain: 5
IP: 4

Soft:
Dropbox, PixelDrain, PyInstaller, Microsoft OneDrive, Microsoft Office

Algorithms:
aes-128, cbc, sha256, xor

Languages:
python

Links:
https://docs.github.com/en/pull-requests/collaborating-with-pull-requests/proposing-changes-to-your-work-with-pull-requests/about-pull-requests
https://github.com/pauln23/DropFlop/tree/master
https://github.com/eset/malware-ioc/tree/master/ceranakeeper