#ParsedReport #CompletenessMedium
14-10-2024

FASTCash for Linux

https://doubleagent.net/fastcash-for-linux

Report completeness: Medium

Actors/Campaigns:
Lazarus
Bluenoroff

Threats:
Fastcash
Process_injection_technique
Upx_tool

Industry:
Financial, Retail, Telco

Geo:
Turkish, Indian, North korean, Dprk, Australia

ChatGPT TTPs:
do not use without manual check
T1055

IOCs:
File: 2
Hash: 12

Soft:
UNIX, Ubuntu

Algorithms:
aes-128, sha256, aes, cbc

Functions:
GetSymbolFailed, recv, PlatformSocketSend

Links:
have more...
https://github.com/fboldewin/FastCashMalwareDissected/blob/master/Operation%20Fast%20Cash%20-%20Hidden%20Cobra%E2%80%98s%20AIX%20PowerPC%20malware%20dissected.pdf?ref=doubleagent.net
https://github.com/jrodriguesd/atm-driver/tree/main/modules/atm-driver-ndc?ref=doubleagent.net
https://github.com/horsicq/Detect-It-Easy?ref=doubleagent.net

#ParsedReport #ExtractedSchema

Classified images:
schema: 4, table: 1, dump: 3, code: 6

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте обсуждается анализ базирующегося на Linux варианта вредоносной программы FastCash, приписываемой КНДР, нацеленной на платежные системы для облегчения несанкционированного снятия наличных в банкоматах. Версия для Linux, "FastCash для Linux", перехватывает неудачные транзакции по карте, добавляет средства и утверждает их до поступления к покупателю. В нем подчеркивается эволюционирующий характер вредоносной кампании, общие свойства реагирования на мошеннические транзакции в версиях Linux и Windows, нацеленных на схожую платежную инфраструктуру в пределах страны, а также техническая изощренность манипуляций вредоносного ПО с элементами данных финансовых транзакций. Даны рекомендации по созданию надежных возможностей обнаружения для противодействия возникающим киберугрозам в серверных средах Linux.
-----

В статье анализируется недавно обнаруженный вариант вредоносной программы FastCash, распространяемой в КНДР, на базе Linux, который нацелен на платежные коммутаторы в скомпрометированных сетях, чтобы обеспечить несанкционированное снятие наличных в банкоматах. Версия для Linux, называемая "FastCash для Linux", перехватывает неудачные транзакции по карте, добавляет средства и утверждает их до того, как они дойдут до покупателя. Этот вариант Linux расширяет совместимость вредоносного ПО не только с IBM AIX и Microsoft Windows, но и с Windows-версией, предназначенной для банков, использующих приложения switch на серверах Windows и процессорах межбанковских платежей. Примечательно, что вместе с представленным вариантом Linux были обнаружены совпадающие образцы Windows, что свидетельствует о продолжающемся развитии кампании по борьбе с вредоносным ПО.

Анализ показывает, что как Linux-, так и Windows-версии FastCash ориентированы на схожую платежную инфраструктуру в пределах одной страны, о чем свидетельствуют общие свойства реагирования на мошеннические транзакции. Несмотря на то, что версия для Linux предлагает несколько меньшую функциональность по сравнению со своим аналогом для Windows, она по-прежнему перехватывает отклоненные транзакции и авторизует их с помощью случайных сумм в турецких лирах. Пример Windows FastCash, switch.dll приписываемый HIDDEN COBRA, указывает на финансово мотивированное вторжение в группу Lazarus.

В статье рассказывается о роли организаций в финансовых сетях, таких как эквайеры, эмитенты и карточные системы, а также о том, как они взаимодействуют для облегчения транзакций. В статье подчеркивается важность платежных коммутаторов, которые служат посредниками при передаче сообщений о транзакциях по картам между конечными точками, такими как банкоматы и банковские хосты. В сообщении подробно описывается формат сообщений ISO8583, необходимый для финансовых транзакций, а также такие элементы данных, как PAN, код обработки и сумма транзакции, которыми манипулирует вредоносная программа FastCash для проведения незамеченных мошеннических транзакций.

Технические подробности, касающиеся варианта Linux FastCash, скомпилированного для Ubuntu Linux 22.04 с GCC 11.3.0, проливают свет на потенциальные целевые экосистемы, такие как программное обеспечение ATM switch, разработанное такими компаниями, как ATOS, ACI и BCP. Манипулирование сообщениями ISO8583 в версии Linux, шифрование PIN-кодов и механизмы внедрения свидетельствуют о сложной тактике вредоносного ПО, позволяющей избежать обнаружения и осуществлять мошеннические действия. Кроме того, настройки элементов данных вредоносного ПО и интеграция с общими библиотеками с помощью ptrace демонстрируют высокий уровень технической подготовки злоумышленника.

Анализ подчеркивает важность надежных возможностей обнаружения для выявления методов внедрения процессов, таких как ptrace, используемых вредоносной программой FastCash. В рекомендациях CISA подчеркивается важность превентивных мер и эффективных механизмов обнаружения для снижения рисков, связанных с развитием киберугроз, нацеленных на серверные среды Linux.

#ParsedReport #CompletenessMedium
14-10-2024

Hidden in Plain Sight: ErrorFather s Deadly Deployment of Cerberus

https://cyble.com/blog/hidden-in-plain-sight-errorfathers-deadly-deployment-of-cerberus

Report completeness: Medium

Actors/Campaigns:
Errorfather (motivation: cyber_criminal)

Threats:
Cerberus
Ermac
Phoenix_keylogger
Chicken_tool
Statusvnc_tool
Statushvnc_tool
Hvnc_tool

Victims:
Android users

Industry:
Financial

TTPs:
Tactics: 7
Technics: 14

IOCs:
File: 3
Url: 7
Hash: 15

Soft:
Android, Chrome, Telegram

Algorithms:
base64, rc4, sha1, aes, sha256, md5

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в раскрытии и анализе киберкампании под названием "ErrorFather", использующей троянскую программу Cerberus для Android, предназначенную для пользователей Android. В кампании используются сложные методы, включая многоэтапное заражение, кейлоггинг, оверлейные атаки, VNC и алгоритм генерации домена (DGA). Анализ показывает, что злоумышленники переоснащали и перепрофилировали утечку кода на базе Cerberus для совершения финансовых махинаций против пользователей Android, подчеркивая сохраняющийся риск, связанный с такими атаками, даже спустя годы после обнаружения первоначального вредоносного ПО.
-----

Лаборатории Cyble Research and Intelligence Labs раскрыли киберкампанию "ErrorFather", в которой использовался необнаруженный банковский троян Cerberus для Android, нацеленный на пользователей Android.

Кампания включает в себя сложную цепочку заражения, состоящую из нескольких этапов, что затрудняет усилия по обнаружению и удалению инфекции.

Активность кампании ErrorFather возросла в сентябре и октябре 2024 года, что свидетельствует об активном нацеливании и масштабировании действий участников угрозы.

Конечная полезная нагрузка кампании включает в себя ведение кейлогга, оверлейные атаки, VNC и алгоритм генерации домена (DGA) для вредоносных действий.

Банковский троянец Cerberus для Android приобрел дурную славу за то, что нацелился на финансовые приложения и приложения для социальных сетей с помощью таких методов, как кейлоггинг, оверлейные атаки, VNC и использование сервиса специальных возможностей.

Новые варианты, такие как "Alien" и "ERMAC", появились после утечки исходного кода Cerberus, а также банковского трояна Phoenix для Android.

Кампания ErrorFather содержит около 15 примеров, связанных с дропперами на основе сеансов и их полезной нагрузкой, а текущие кампании поддерживаются активным сервером управления (C&C).

Конечная полезная нагрузка вредоносного ПО включает в себя такие функции, как кейлоггинг, оверлейные атаки, VNC и сбор персональных данных.

Несмотря на низкое количество обнаружений на начальном этапе, более глубокий анализ выявил значительное сходство кода с Cerberus в финальной полезной нагрузке, используемой в кампании ErrorFather.

Вредоносная программа использует методы для получения доступа к серверам C&C, реализации функций VNC и наложения атак для осуществления своей вредоносной деятельности.

Кампания отражает тенденцию киберпреступников к повторному использованию просочившегося вредоносного ПО, подчеркивая сохраняющиеся риски, связанные с атаками на базе Cerberus.

Несмотря на изменения, суть кампании ErrorFather по-прежнему основана на оригинальном коде Cerberus, что подчеркивает постоянную угрозу, исходящую от обновленного вредоносного ПО, появившегося в результате прошлых утечек.

#ParsedReport #CompletenessLow
15-10-2024

Malicious JavaScript Code Sent Through Emails via PEC (Posta Elettronica Certificata)

https://www.forcepoint.com/blog/x-labs/malicious-javascript-code-sent-via-pec-email-italy

Report completeness: Low

ChatGPT TTPs:
do not use without manual check
T1027, T1059.001, T1047, T1564.003, T1140

IOCs:
File: 2
Domain: 2
Hash: 2
Url: 10

Soft:
curl, Console Window Host

Algorithms:
sha1, base64, xor

Functions:
honour_march_0thehas

Languages:
php, powershell, javascript, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обсуждении вредоносного скрипта PowerShell, который использует операции XOR над массивами и запутанные ASCII-коды для взаимодействия с определенными URL-адресами, потенциально в вредоносных целях, через инструментарий управления Windows (WMI). Кроме того, в тексте подчеркивается угроза использования Posta Elettronica Certificata (PEC) для доставки вредоносных электронных писем с запутанным кодом JavaScript и упоминается, как Forcepoint обеспечивает защиту от таких угроз, выявляя и блокируя вредоносные URL-адреса и домены.
-----

В тексте описывается вредоносный скрипт, который использует операции XOR между элементами двух массивов. Результат преобразуется в символы с помощью String.fromCharCode(). Скрипт написан в PowerShell и, по-видимому, запутан. Ключевые элементы включают динамическое создание нового псевдонима с именем "press" на основе переменной, использование чисел, представляющих запутанные ASCII-коды, и выполнение команд для взаимодействия с определенным URL-адресом с помощью curl.

Скрипт также ссылается на переменные и функции, такие как "honour_march_0wasbut", которые инициализируют функции и переменные на основе определенных условий. Он использует инструментарий управления Windows (WMI) для доступа к системной информации и взаимодействия с процессами, что потенциально может быть использовано в вредоносных целях, таких как завершение процессов, связанных с безопасностью, или запуск нежелательных процессов в скрытом режиме.

Скрипт содержит строки с комментариями и скрытый активный код между ними, который может привести к хранению нежелательных данных в памяти и скрыть вредоносный код. Он также содержит запутанный код PowerShell для подключения к промежуточному URL-адресу, который может быть сервером управления.

В тексте подчеркивается растущая угроза использования Posta Elettronica Certificata (PEC) для доставки нежелательных электронных писем с вредоносным и запутанным кодом JavaScript, используя доверие, связанное с PEC, для обхода фильтров безопасности. Клиенты Forcepoint защищены от этой угрозы на различных этапах атаки, включая идентификацию и блокировку вредоносных URL-адресов, добавление файлов-дропперов в базу данных вредоносных программ и блокировку доменов управления.

#ParsedReport #CompletenessLow
16-10-2024

Using ZoomEye Platform for C2 Asset Expansion. 1 Abstract

https://medium.com/@knownsec404team/using-zoomeye-platform-for-c2-asset-expansion-50ee8d779c39?source=rss-f1efd6b74751------2

Report completeness: Low

Threats:
Avoslocker
Cobalt_strike
Metasploit_tool

Industry:
Critical_infrastructure

Geo:
London

ChatGPT TTPs:
do not use without manual check
T1105, T1003, T1572, T1055, T1071, T1102, T1190, T1018

IOCs:
IP: 6
File: 17
Hash: 17

Soft:
Debian, ApacheBench

Functions:
C2

#ParsedReport #ExtractedSchema

Classified images:
windows: 11, dump: 3, table: 2, code: 3, schema: 2, chart: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В статье рассматривается анализ ресурсов сервера C2 хакерской организации с акцентом на использование ими программ-вымогателей, троянских файлов и популярных инструментов атаки, таких как CobaltStrike и Metasploit. Исследователи определили оперативную тактику, каналы связи, характеристики файлов и схемы работы организации, что пролило свет на их методы работы и предоставило ценную информацию специалистам по кибербезопасности и правоохранительным органам.
-----

Идентифицирована хакерская организация, использующая AvosLocker.exe файл, связанный с программой-вымогателем AvosLocker.

Использовал CobaltStrike и Metasploit для создания образцов троянской программы C2.

Серверы C2 в основном работали на коммуникационных портах в диапазоне 7000-8000.

Концентрированные серверные ресурсы C2 в Великобритании с четким разделением труда.

Наблюдается сдвиг в сторону более доступного и низкопорогового подхода к борьбе с киберпреступностью.

Сосредоточьтесь на расширении сети с помощью программ-вымогателей и сбора паролей на скомпрометированных хостингах.

Последовательное использование троянских программ CobaltStrike и Metasploit на разных серверах.

Порты связи для активов C2 в основном находились в диапазоне 7000-8000.

Наблюдался централизованный контроль и последовательный подход к разработке вредоносных программ внутри организации.

Предоставлена информация об оперативной тактике, наборах инструментов и инфраструктуре хакерской организации, связанной с деятельностью программ-вымогателей.

#ParsedReport #CompletenessHigh
15-10-2024

Beyond the Surface: the evolution and expansion of the SideWinder APT group

https://securelist.com/sidewinder-apt/114089

Report completeness: High

Actors/Campaigns:
Sidewinder (motivation: cyber_espionage)

Threats:
Tealerbot
Spear-phishing_technique
Sandbox_evasion_technique
Uac_bypass_technique
Putty_tool
Confuserex_tool

Industry:
Military, Logistic, Petroleum, Education, Telco, Government

Geo:
Asia, Indonesia, Jordan, Sri lanka, Morocco, France, Djibouti, Nepal, Malaysia, United arab emirates, Middle east, Africa, Saudi arabia, Arab emirates, Bangladesh, Turkey, Afghanistan, Pakistan, India, Maldives, China, Myanmar

CVEs:
CVE-2017-11882 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft office (2007, 2010, 2013, 2016)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1566.001, T1203, T1218.005, T1036.005, T1562.001, T1574.002, T1115, T1033, T1497.001, T1082, have more...

IOCs:
Hash: 60
File: 34
Url: 1
Path: 4
Domain: 99

Soft:
Microsoft Office, Windows Registry, Telnet client, Windows Defender, Google Chrome, Gmail

Algorithms:
xor, zip, base64, des, aes, gzip

Win API:
GlobalMemoryStatusEx, GetProcAddress, GetCommandLineW, AmsiScanBuffer, SspiPrepareForCredRead, CryptProtectMemory, CredIsMarshaledCredentialW, CredUIPromptForWindowsCredentialsW, LogonUserW

Languages:
javascript

Platforms:
intel

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, dump: 2, chart: 1, code: 2, windows: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - описание группы SideWinder APT, их тактики, целей, расширения деятельности и инструментов, которые они используют для шпионажа. В нем также подчеркивается последовательная цепочка заражения и отнесение их деятельности к группе SideWinder со средней и высокой степенью достоверности. Кроме того, в нем упоминается наличие дополнительной информации, индикаторов компрометации (IOCs) и правил YARA, специфичных для SideWinder, в службе отчетов Kaspersky Intelligence.
-----

SideWinder, также известная как T-APT-04 или RattleSnake, является весьма плодовитой APT-группой, которая начала свою деятельность в 2012 году и впервые получила публичное признание в 2018 году. Первоначально SideWinder сосредоточила свое внимание на крупных объектах в Южной и Юго-Восточной Азии, а затем нацелилась на военные и правительственные структуры в таких странах, как Пакистан, Шри-Ланка, Китай и Непал. Несмотря на то, что изначально их воспринимали как неквалифицированных исполнителей из-за использования общедоступных эксплойтов и инструментов, их истинные возможности раскрываются при ближайшем рассмотрении их деятельности.

Цепочка атак группы обычно начинается с рассылки фишинговых электронных писем, содержащих вредоносные вложения, часто в виде документов Microsoft OOXML или ZIP-архивов, которые, в свою очередь, приводят к развертыванию многоэтапного процесса заражения, завершающегося установкой шпионского инструмента StealerBot. SideWinder также использовала специально созданные RTF-файлы для использования уязвимостей в программном обеспечении Microsoft Office, демонстрируя сложную тактику уклонения от обнаружения.

Недавние расследования выявили расширение деятельности SideWinder, затрагивающее организации на Ближнем Востоке и в Африке. Недавно обнаруженный инструментарий для последующей эксплуатации под названием "StealerBot" был идентифицирован как основной инструмент, используемый SideWinder для шпионской деятельности. Инструментарий работает как модульный имплант, загружаемый в память модулем Backdoor loader, что позволяет запускать различные плагины, предназначенные для шпионских целей, и управлять ими.

Имплантат StealerBot взаимодействует с организатором, отвечающим за связь с серверами командования и контроля (C2), позволяя запускать различные модули наблюдения и управлять ими. Эти модули включают в себя такие возможности, как ведение кейлогга, создание скриншотов, кража файлов, сбор учетных данных и обход контроля учетных записей пользователей (UAC) для запуска вредоносного кода с повышенными привилегиями. Кроме того, специализированные модули предназначены для кражи учетных данных RDP, файлов cookie браузера Chrome и выполнения методов обхода контроля учетных записей пользователей на основе конфигураций целевой системы.

Кампании SideWinder были нацелены на широкий спектр секторов и стран, включая правительственные и военные структуры, логистику, инфраструктуру, телекоммуникации, финансовые учреждения, университеты и нефтетрейдинговые компании. Группа также преследовала дипломатические цели в таких странах, как Афганистан, Франция, Китай, Индия, Индонезия и Марокко.

Действия, приписываемые SideWinder, демонстрируют последовательную цепочку заражения и тактику, которые наблюдались при предыдущих атаках, включая удаленное внедрение шаблонов, схемы присвоения имен вредоносным поддоменам и развертывание известных компонентов, таких как .NET Downloader и модуль загрузки бэкдора. Такое сходство, наряду с целевыми организациями и секторами, позволяет отнести эти действия к группе SideWinder APT со средней или высокой степенью достоверности.

Клиенты службы отчетов Kaspersky Intelligence могут получить доступ к дополнительной информации, индикаторам компрометации (IOCs) и правилам YARA, специфичным для SideWinder, для получения расширенной информации об угрозах. Для получения дополнительной информации и доступа к ней рекомендуется обращаться в службу отчетов Kaspersky Intelligence.

#ParsedReport #CompletenessMedium
15-10-2024

Fake Ukrainian Bank Invoice Contains Malicious RMS Tool

https://www.forcepoint.com/blog/x-labs/fake-ukrainian-bank-invoice-malicious-rms-tool

Report completeness: Medium

Threats:
Rms_tool
Remote_manipulator_system_tool
Shadow_copies_delete_technique

Victims:
Government domains, Well-known companies, Government entities, Large businesses

Industry:
Government, Financial

Geo:
Emea, Ukrainian, Russian

ChatGPT TTPs:
do not use without manual check
T1071, T1203, T1113, T1053

IOCs:
Url: 1
File: 4
Hash: 7
IP: 3

Soft:
Embarcadero

Algorithms:
zip

Languages:
delphi

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в недавней мелкомасштабной атаке, которая имитировала законное подтверждение платежа от украинского банка, используя инструмент Remote Manipulator System (RMS) для взлома систем государственных доменов и известных компаний. Атака была связана с использованием вредоносных вложений в формате PDF, имитирующих официальный бланк банка, что привело к установке средства управления правами и последующей утечке системных данных на удаленный сервер управления в России. Злоумышленники атаковали различные организации с целью отслеживания действий пользователей и получения контроля над системами-жертвами. Несмотря на то, что содержание электронного письма было на украинском языке, получатели не владели им в совершенстве, что вызывало вопросы о мотивах злоумышленников. На различных этапах атака была предотвращена с помощью мер безопасности.
-----

Недавно команда X-Labs раскрыла мелкомасштабную атаку, которая маскировалась под законное подтверждение платежа от украинского банка. Эта атака была примечательна тем, что в ней использовался инструмент Remote Manipulator System (RMS) для контроля скомпрометированных систем. Целями этой атаки были государственные домены и известные компании. Несмотря на то, что содержание электронного письма было на украинском языке, вполне вероятно, что получатели не владели этим языком в совершенстве, что вызвало вопросы о мотивах злоумышленников. Само электронное письмо было коротким и непротиворечивым в разных вариантах, единственным отличием было имя отправителя в подписи, совпадающее с именем в поле "От кого". Эти имена были необычными даже для носителей украинского языка.

Вредоносное электронное письмо содержало вложение в формате PDF, имитирующее официальный бланк известного украинского банка "Приватбанк", в котором получателям предлагалось подтвердить платеж. В прикрепленном MSI-файле выполнялась установка средства управления правами и связанных с ним компонентов, таких как rutserv.exe и rfusclient.exe. Злоумышленники адаптировали эти инструменты, которые, по всей видимости, представляли собой модифицированные версии, скомпилированные с помощью компилятора Embarcadero Delphi, для автоматического подключения к удаленному серверу управления в России для извлечения системных данных. Вредоносная программа также управляла точками восстановления системы, создавая записи в реестре с помощью законного процесса SrTasks.exe и использовала службу теневого копирования томов vssvc.exe для управления резервными копиями и моментальными снимками. Вредоносная программа передавала данные через нестандартные порты для подключения C2.

Обнаруженные образцы вредоносного ПО RMS tool были разработаны для различных государственных учреждений и крупных предприятий с использованием поддельного счета-фактуры в формате PDF, который побуждал пользователей переходить по вредоносной ссылке. Вредоносное ПО тайно загружало и устанавливало множество файлов и архивов, одновременно развертывая RMS tool в фоновом режиме. Основной целью этой атаки было отслеживание действий пользователей и, в конечном счете, получение контроля над системой жертвы. Клиенты Forcepoint были защищены от этой угрозы на нескольких этапах атаки:.

Этап 2 (Lure): Вредоносные PDF-вложения, связанные с этой атакой, были распознаны и заблокированы.

Этап 3 (перенаправление): Используемый URL-адрес Bitbucket был классифицирован в соответствии с ограничениями безопасности.

Этап 5 (файл Dropper): Файлы dropper были включены в базу данных вредоносных программ Forcepoint, и их выполнение было предотвращено.

Этап 6 (звонок домой): Связь C2 была прервана из-за блокировки учетных данных.