#technique
This New Supply Chain Attack Technique Can Trojanize All Your CLI Commands
https://checkmarx.com/blog/this-new-supply-chain-attack-technique-can-trojanize-all-your-cli-commands/
This New Supply Chain Attack Technique Can Trojanize All Your CLI Commands
https://checkmarx.com/blog/this-new-supply-chain-attack-technique-can-trojanize-all-your-cli-commands/
Checkmarx
Command-Jacking: The New Supply Chain Attack Technique
Malicious actors can exploit Python entry points in several ways to trick users into executing harmful code. We'll explore Command-Jacking.
#technique
This tool leverages the Process Forking technique using the RtlCreateProcessReflection API to clone the lsass.exe process. Once the clone is created, it utilizes MINIDUMP_CALLBACK_INFORMATION callbacks to generate a memory dump of the cloned process
https://github.com/Offensive-Panda/LsassReflectDumping
This tool leverages the Process Forking technique using the RtlCreateProcessReflection API to clone the lsass.exe process. Once the clone is created, it utilizes MINIDUMP_CALLBACK_INFORMATION callbacks to generate a memory dump of the cloned process
https://github.com/Offensive-Panda/LsassReflectDumping
GitHub
GitHub - Offensive-Panda/LsassReflectDumping: This tool leverages the Process Forking technique using the RtlCreateProcessReflection…
This tool leverages the Process Forking technique using the RtlCreateProcessReflection API to clone the lsass.exe process. Once the clone is created, it utilizes MINIDUMP_CALLBACK_INFORMATION callb...
#technique
Introducing Early Cascade Injection: From Windows Process Creation to Stealthy Injection
https://www.outflank.nl/blog/2024/10/15/introducing-early-cascade-injection-from-windows-process-creation-to-stealthy-injection/
Introducing Early Cascade Injection: From Windows Process Creation to Stealthy Injection
https://www.outflank.nl/blog/2024/10/15/introducing-early-cascade-injection-from-windows-process-creation-to-stealthy-injection/
#ParsedReport #CompletenessLow
21-10-2024
North Korean APT Kimsuky hackers use Gomir backdoor to attack Linux systems
https://www.ctfiot.com/210800.html
Report completeness: Low
Actors/Campaigns:
Kimsuky (motivation: cyber_espionage)
Threats:
Gomir
Gobear
Troll_stealer
Supply_chain_technique
Victims:
South korean government entities
Industry:
Government, Military
Geo:
North korea, Korean, American, North korean
ChatGPT TTPs:
T1105, T1505.003, T1053.003, T1543.002
Soft:
crontab, WeChat
21-10-2024
North Korean APT Kimsuky hackers use Gomir backdoor to attack Linux systems
https://www.ctfiot.com/210800.html
Report completeness: Low
Actors/Campaigns:
Kimsuky (motivation: cyber_espionage)
Threats:
Gomir
Gobear
Troll_stealer
Supply_chain_technique
Victims:
South korean government entities
Industry:
Government, Military
Geo:
North korea, Korean, American, North korean
ChatGPT TTPs:
do not use without manual checkT1105, T1505.003, T1053.003, T1543.002
Soft:
crontab, WeChat
CTF导航
朝鲜APT Kimsuky黑客使用Gomir后门攻击Linux系统 | CTF导航
大家好,我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标,否则可能就无法及时看到啦!因为公众号现在只对常读和星标的公众号才能大图推送。操作方法:先点击上面的“紫队安全研究”,然后点击右上角的...
CTT Report Hub
#ParsedReport #CompletenessLow 21-10-2024 North Korean APT Kimsuky hackers use Gomir backdoor to attack Linux systems https://www.ctfiot.com/210800.html Report completeness: Low Actors/Campaigns: Kimsuky (motivation: cyber_espionage) Threats: Gomir Gobear…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в появлении новой вредоносной программы для Linux под названием Gomir, связанной с северокорейской кибершпионажной группой Kimsuky. Вредоносная программа распространяется с помощью троянских установщиков программного обеспечения и имеет сходство с бэкдором GoBear. Эта новая угроза, наряду с использованием группой вредоносного программного обеспечения против южнокорейских организаций, подчеркивает сохраняющуюся киберугрозу, исходящую от субъектов, поддерживаемых Северной Кореей, и необходимость усиления мер кибербезопасности.
-----
Kimsuky, группа кибершпионажа, связанная с военной разведкой Северной Кореи, была подключена к новой вредоносной программе для Linux под названием Gomir, которая представляет собой вариант бэкдора GoBear, распространяемого через установщиков троянского программного обеспечения.
Gomir обладает общими характеристиками с GoBear, такими как прямая связь между командами и контролем (C2), механизмы сохранения и поддержка нескольких команд.
Вредоносная программа устанавливает постоянство, перемещая себя в "/var/log/syslogd", создавая системную службу с именем "syslogd" и настраивая команду crontab для выполнения перезагрузки системы.
Gomir позволяет выполнять 17 операций, запускаемых HTTP POST-запросами с сервера C2, включая приостановку связи, настройку обратного прокси-сервера и сообщение о конечной точке управления обратным прокси-сервером.
Северокорейские злоумышленники, такие как Kimsuky, сосредоточены на использовании троянских установщиков программного обеспечения для атак на цепочки поставок, нацеленных на южнокорейские предприятия.
Появление Gomir подчеркивает сохраняющуюся киберугрозу, исходящую от субъектов, поддерживаемых Северной Кореей, и важность надежных мер кибербезопасности для противодействия этим растущим угрозам во всем мире.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в появлении новой вредоносной программы для Linux под названием Gomir, связанной с северокорейской кибершпионажной группой Kimsuky. Вредоносная программа распространяется с помощью троянских установщиков программного обеспечения и имеет сходство с бэкдором GoBear. Эта новая угроза, наряду с использованием группой вредоносного программного обеспечения против южнокорейских организаций, подчеркивает сохраняющуюся киберугрозу, исходящую от субъектов, поддерживаемых Северной Кореей, и необходимость усиления мер кибербезопасности.
-----
Kimsuky, группа кибершпионажа, связанная с военной разведкой Северной Кореи, была подключена к новой вредоносной программе для Linux под названием Gomir, которая представляет собой вариант бэкдора GoBear, распространяемого через установщиков троянского программного обеспечения.
Gomir обладает общими характеристиками с GoBear, такими как прямая связь между командами и контролем (C2), механизмы сохранения и поддержка нескольких команд.
Вредоносная программа устанавливает постоянство, перемещая себя в "/var/log/syslogd", создавая системную службу с именем "syslogd" и настраивая команду crontab для выполнения перезагрузки системы.
Gomir позволяет выполнять 17 операций, запускаемых HTTP POST-запросами с сервера C2, включая приостановку связи, настройку обратного прокси-сервера и сообщение о конечной точке управления обратным прокси-сервером.
Северокорейские злоумышленники, такие как Kimsuky, сосредоточены на использовании троянских установщиков программного обеспечения для атак на цепочки поставок, нацеленных на южнокорейские предприятия.
Появление Gomir подчеркивает сохраняющуюся киберугрозу, исходящую от субъектов, поддерживаемых Северной Кореей, и важность надежных мер кибербезопасности для противодействия этим растущим угрозам во всем мире.
#ParsedReport #CompletenessMedium
21-10-2024
Suspected Mysterious Elephant organization uses CHM files to attack many countries in South Asia
https://mp.weixin.qq.com/s/tkOMIHY36TujPKjWKVa6kA?poc_token=HPlxFmejTBkZltdR4fKBV0kYLMht2O8kz7jsPvq2
Report completeness: Medium
Actors/Campaigns:
Mysterious_elephant
Threats:
Raindrop_tool
Orpcbackdoor
Walkershell
Demotryspy
Confuserex_tool
Nixbackdoor
Victims:
Government agencies, National defense, Military, Diplomacy
Industry:
Financial, Military, Government
Geo:
China, Asia, Myanmar, Asian, Pakistan, Pakistani, Bangladesh, India
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1566, T1059.003, T1140, T1218.001, T1071.001
IOCs:
Domain: 1
File: 6
Url: 5
IP: 9
Hash: 41
Soft:
Android
Algorithms:
aes, base64, md5
Functions:
GetIpInfo
21-10-2024
Suspected Mysterious Elephant organization uses CHM files to attack many countries in South Asia
https://mp.weixin.qq.com/s/tkOMIHY36TujPKjWKVa6kA?poc_token=HPlxFmejTBkZltdR4fKBV0kYLMht2O8kz7jsPvq2
Report completeness: Medium
Actors/Campaigns:
Mysterious_elephant
Threats:
Raindrop_tool
Orpcbackdoor
Walkershell
Demotryspy
Confuserex_tool
Nixbackdoor
Victims:
Government agencies, National defense, Military, Diplomacy
Industry:
Financial, Military, Government
Geo:
China, Asia, Myanmar, Asian, Pakistan, Pakistani, Bangladesh, India
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1566, T1059.003, T1140, T1218.001, T1071.001
IOCs:
Domain: 1
File: 6
Url: 5
IP: 9
Hash: 41
Soft:
Android
Algorithms:
aes, base64, md5
Functions:
GetIpInfo
CTT Report Hub
#ParsedReport #CompletenessMedium 21-10-2024 Suspected Mysterious Elephant organization uses CHM files to attack many countries in South Asia https://mp.weixin.qq.com/s/tkOMIHY36TujPKjWKVa6kA?poc_token=HPlxFmejTBkZltdR4fKBV0kYLMht2O8kz7jsPvq2 Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В тексте обсуждается киберугроза, известная как ORPCBackdoor, первоначально приписываемая организации Bitter, но позже отслеживаемая некоторыми поставщиками систем безопасности как новая группа под названием Mysterious Elephant из-за несоответствий в атрибуции. Mysterious Elephant - это группа APT, действующая в Южной Азии, использующая файлы CHM и бэкдоры C# для атак, нацеленных на такие страны, как Пакистан. Бэкдоры выполняют команды с сервера C2 и поддерживают различные команды атаки, распространяемые через образцы фишинга. В отрасли существует противоречие во взглядах на то, как отличить Mysterious Elephant от Bitter, но, основываясь на моделях и тактике атак, файлы CHM и бэкдоры на C# приписываются Mysterious Elephant, нацеленным на правительственные учреждения, военные и другие отрасли промышленности в странах Южной Азии. Стратегии предотвращения включают в себя осторожность при фишинговых атаках, отказ от подозрительных ссылок или вложений, оперативную установку исправлений и регулярное резервное копирование данных. Бдительность в области кибербезопасности и лучшие практики имеют решающее значение для защиты от этих развивающихся угроз.
-----
Изначально ORPCBackdoor был приписан организации Bitter, но позже некоторые поставщики систем безопасности начали отслеживать его как новую группу под названием Mysterious Elephant из-за несоответствий в атрибуции. Организация Mysterious Elephant, упомянутая в отчете Kaspersky, является APT-группой, действующей в Южной Азии. Считается, что файлы CHM и бэкдоры C#, нацеленные на страны Южной Азии, исходят от Mysterious Elephant, основываясь на сходстве с предыдущими атаками.
Организация "Таинственный слон" связана с несколькими группами APT в Южной Азии, которые используют методы нападения, аналогичные "Организации Биттера". Их целями являются такие страны, как Пакистан. Недавно Центр анализа угроз QiAnXin обнаружил специальные CHM-файлы, содержащие простой скрипт, который запускает внешний бэкдор на C#, замаскированный под PDF-файлы, относящиеся к южноазиатской тематике.
Бэкдоры на C# предназначены для выполнения команд, выдаваемых сервером управления (C2), с использованием асинхронного программирования задач и ConfuserEx для обфускации. Некоторые бэкдоры поддерживают дополнительные команды для атаки и могут получать информацию о сервере C2 различными способами, такими как жесткое кодирование в коде или расшифровка файлов конфигурации. Инструкции C2, поддерживаемые бэкдорами, включают удаленное выполнение команд и создание доступа к командной оболочке для злоумышленников.
Злоумышленники распространяют образцы фишинга в зашифрованных сжатых пакетах, содержащих файлы CHM и скрытые бэкдоры на C#. Из-за минимального количества вредоносных скриптов в файлах CHM антивирусное программное обеспечение может их не заметить, что приводит к неосознанной активации бэкдоров на C#. Злоумышленники манипулируют жертвами, имитируя методы "красной команды" и маскируя свои действия с помощью различных тактических приемов.
Многочисленные примеры выявляют связи между различными организациями APT в Южной Азии, что приводит к противоречивым взглядам отрасли на то, как отличить Mysterious Elephant от Bitter. Однако, основываясь на сходстве моделей и тактики атак, считается, что файлы CHM и бэкдоры на C# принадлежат Mysterious Elephant. Эти атаки нацелены на правительственные учреждения, военные, дипломатические учреждения и другие отрасли промышленности в странах Южной Азии.
Чтобы смягчить такие угрозы, пользователям рекомендуется опасаться фишинговых атак, избегать открытия подозрительных ссылок или вложений электронной почты, воздерживаться от запуска неизвестных файлов, своевременно устанавливать исправления и регулярно создавать резервные копии важных данных. В целом, бдительность и рекомендации по кибербезопасности имеют решающее значение для защиты от возникающих киберугроз.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В тексте обсуждается киберугроза, известная как ORPCBackdoor, первоначально приписываемая организации Bitter, но позже отслеживаемая некоторыми поставщиками систем безопасности как новая группа под названием Mysterious Elephant из-за несоответствий в атрибуции. Mysterious Elephant - это группа APT, действующая в Южной Азии, использующая файлы CHM и бэкдоры C# для атак, нацеленных на такие страны, как Пакистан. Бэкдоры выполняют команды с сервера C2 и поддерживают различные команды атаки, распространяемые через образцы фишинга. В отрасли существует противоречие во взглядах на то, как отличить Mysterious Elephant от Bitter, но, основываясь на моделях и тактике атак, файлы CHM и бэкдоры на C# приписываются Mysterious Elephant, нацеленным на правительственные учреждения, военные и другие отрасли промышленности в странах Южной Азии. Стратегии предотвращения включают в себя осторожность при фишинговых атаках, отказ от подозрительных ссылок или вложений, оперативную установку исправлений и регулярное резервное копирование данных. Бдительность в области кибербезопасности и лучшие практики имеют решающее значение для защиты от этих развивающихся угроз.
-----
Изначально ORPCBackdoor был приписан организации Bitter, но позже некоторые поставщики систем безопасности начали отслеживать его как новую группу под названием Mysterious Elephant из-за несоответствий в атрибуции. Организация Mysterious Elephant, упомянутая в отчете Kaspersky, является APT-группой, действующей в Южной Азии. Считается, что файлы CHM и бэкдоры C#, нацеленные на страны Южной Азии, исходят от Mysterious Elephant, основываясь на сходстве с предыдущими атаками.
Организация "Таинственный слон" связана с несколькими группами APT в Южной Азии, которые используют методы нападения, аналогичные "Организации Биттера". Их целями являются такие страны, как Пакистан. Недавно Центр анализа угроз QiAnXin обнаружил специальные CHM-файлы, содержащие простой скрипт, который запускает внешний бэкдор на C#, замаскированный под PDF-файлы, относящиеся к южноазиатской тематике.
Бэкдоры на C# предназначены для выполнения команд, выдаваемых сервером управления (C2), с использованием асинхронного программирования задач и ConfuserEx для обфускации. Некоторые бэкдоры поддерживают дополнительные команды для атаки и могут получать информацию о сервере C2 различными способами, такими как жесткое кодирование в коде или расшифровка файлов конфигурации. Инструкции C2, поддерживаемые бэкдорами, включают удаленное выполнение команд и создание доступа к командной оболочке для злоумышленников.
Злоумышленники распространяют образцы фишинга в зашифрованных сжатых пакетах, содержащих файлы CHM и скрытые бэкдоры на C#. Из-за минимального количества вредоносных скриптов в файлах CHM антивирусное программное обеспечение может их не заметить, что приводит к неосознанной активации бэкдоров на C#. Злоумышленники манипулируют жертвами, имитируя методы "красной команды" и маскируя свои действия с помощью различных тактических приемов.
Многочисленные примеры выявляют связи между различными организациями APT в Южной Азии, что приводит к противоречивым взглядам отрасли на то, как отличить Mysterious Elephant от Bitter. Однако, основываясь на сходстве моделей и тактики атак, считается, что файлы CHM и бэкдоры на C# принадлежат Mysterious Elephant. Эти атаки нацелены на правительственные учреждения, военные, дипломатические учреждения и другие отрасли промышленности в странах Южной Азии.
Чтобы смягчить такие угрозы, пользователям рекомендуется опасаться фишинговых атак, избегать открытия подозрительных ссылок или вложений электронной почты, воздерживаться от запуска неизвестных файлов, своевременно устанавливать исправления и регулярно создавать резервные копии важных данных. В целом, бдительность и рекомендации по кибербезопасности имеют решающее значение для защиты от возникающих киберугроз.
#ParsedReport #CompletenessLow
21-10-2024
Stealer here, stealer there, stealers everywhere!
https://securelist.com/kral-amos-vidar-acr-stealers/114237
Report completeness: Low
Threats:
Kral_stealer
Aurora
Amos_stealer
Vidar_stealer
Dll_hijacking_technique
Hijackloader
Penguish
Acr_stealer
Geo:
Brazil
IOCs:
File: 3
Hash: 6
Soft:
macOS, ImageMagick
Algorithms:
zip
Win API:
WinVerifyTrust
Win Services:
BITS
Languages:
delphi
Platforms:
apple
Links:
21-10-2024
Stealer here, stealer there, stealers everywhere!
https://securelist.com/kral-amos-vidar-acr-stealers/114237
Report completeness: Low
Threats:
Kral_stealer
Aurora
Amos_stealer
Vidar_stealer
Dll_hijacking_technique
Hijackloader
Penguish
Acr_stealer
Geo:
Brazil
IOCs:
File: 3
Hash: 6
Soft:
macOS, ImageMagick
Algorithms:
zip
Win API:
WinVerifyTrust
Win Services:
BITS
Languages:
delphi
Platforms:
apple
Links:
https://github.com/rapid7/Rapid7-Labs/blob/main/Malware%20Config%20Extractors/IDAT\_Loader\_extractor.pySecurelist
Stealers on the rise: Kral, AMOS, Vidar and ACR
Kaspersky researchers investigated a number of stealer attacks over the past year, and they are now sharing some details on the new Kral stealer, recent AMOS version and Vidar delivering ACR stealer.
CTT Report Hub
#ParsedReport #CompletenessLow 21-10-2024 Stealer here, stealer there, stealers everywhere! https://securelist.com/kral-amos-vidar-acr-stealers/114237 Report completeness: Low Threats: Kral_stealer Aurora Amos_stealer Vidar_stealer Dll_hijacking_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что похитители информации активно распространяются киберпреступниками для сбора учетных данных для продажи в даркнете или использования в последующих кибератаках, создавая значительную угрозу как для личных, так и для корпоративных устройств. Эти злоумышленники развиваются, становятся все более изощренными и используются начинающими киберпреступниками, что подчеркивает важность надежных мер кибербезопасности для эффективного противодействия таким угрозам.
-----
Киберпреступники активно распространяют средства для кражи информации с целью сбора учетных данных для продажи в даркнете или использования в кибератаках, при этом целью является значительное количество устройств.
В 2023 году были выявлены различные типы похитителей, такие как Kral, AMOS и Vidar, каждый из которых обладал отличными характеристиками и методами работы.
Kral stealer развился из загрузчика, связанного с Aurora stealer, и нацелен на криптовалютные кошельки и данные браузера, используя специальные методы проникновения и эксфильтрации данных.
AMOS stealer нацелен на пользователей macOS, маскируясь под законный пакет программного обеспечения, и обманом заставляет пользователей раскрывать свои учетные данные с помощью обманчивых диалоговых окон.
Vidar stealer распространяется по ссылкам в комментариях на YouTube и в первую очередь нацелен на данные браузера и кошельки, загружая ACR stealer вместо прямой кражи данных.
Украденные данные могут быть использованы в различных вредоносных целях, что подчеркивает важность надежных мер кибербезопасности для эффективного противодействия этим угрозам.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что похитители информации активно распространяются киберпреступниками для сбора учетных данных для продажи в даркнете или использования в последующих кибератаках, создавая значительную угрозу как для личных, так и для корпоративных устройств. Эти злоумышленники развиваются, становятся все более изощренными и используются начинающими киберпреступниками, что подчеркивает важность надежных мер кибербезопасности для эффективного противодействия таким угрозам.
-----
Киберпреступники активно распространяют средства для кражи информации с целью сбора учетных данных для продажи в даркнете или использования в кибератаках, при этом целью является значительное количество устройств.
В 2023 году были выявлены различные типы похитителей, такие как Kral, AMOS и Vidar, каждый из которых обладал отличными характеристиками и методами работы.
Kral stealer развился из загрузчика, связанного с Aurora stealer, и нацелен на криптовалютные кошельки и данные браузера, используя специальные методы проникновения и эксфильтрации данных.
AMOS stealer нацелен на пользователей macOS, маскируясь под законный пакет программного обеспечения, и обманом заставляет пользователей раскрывать свои учетные данные с помощью обманчивых диалоговых окон.
Vidar stealer распространяется по ссылкам в комментариях на YouTube и в первую очередь нацелен на данные браузера и кошельки, загружая ACR stealer вместо прямой кражи данных.
Украденные данные могут быть использованы в различных вредоносных целях, что подчеркивает важность надежных мер кибербезопасности для эффективного противодействия этим угрозам.
#ParsedReport #CompletenessMedium
21-10-2024
Using ZoomEye platform to conduct C2 asset expansion
https://paper.seebug.org/3232
Report completeness: Medium
Threats:
Cobalt_strike
Avoslocker
Metasploit_tool
Industry:
Critical_infrastructure
Geo:
United kingdom, London
ChatGPT TTPs:
T1071, T1047, T1203, T1059, T1053, T1055, T1027, T1569
IOCs:
IP: 19
File: 16
Hash: 17
Soft:
ZoomEye, Twitter, Debian, ApacheBench
Languages:
powershell
21-10-2024
Using ZoomEye platform to conduct C2 asset expansion
https://paper.seebug.org/3232
Report completeness: Medium
Threats:
Cobalt_strike
Avoslocker
Metasploit_tool
Industry:
Critical_infrastructure
Geo:
United kingdom, London
ChatGPT TTPs:
do not use without manual checkT1071, T1047, T1203, T1059, T1053, T1055, T1027, T1569
IOCs:
IP: 19
File: 16
Hash: 17
Soft:
ZoomEye, Twitter, Debian, ApacheBench
Languages:
powershell
CTT Report Hub
#ParsedReport #CompletenessMedium 21-10-2024 Using ZoomEye platform to conduct C2 asset expansion https://paper.seebug.org/3232 Report completeness: Medium Threats: Cobalt_strike Avoslocker Metasploit_tool Industry: Critical_infrastructure Geo: United…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что исследователи отследили сетевые ресурсы хакерской группы C2, начав с IP-адреса C2 и информации о файлах, опубликованных в Twitter, расширив свое расследование с помощью поисковой системы в киберпространстве и проанализировав различные серверы, чтобы выявить распространенные методы атаки, связи с группами программ-вымогателей, схемы работы и многое другое. использование хакерской группой, базирующейся в основном в Великобритании, специфических методов загрузки вредоносного кода.
-----
Эта статья посвящена отслеживанию сетевых ресурсов C2 хакерской группы на основе IP-адреса C2 и связанной с ним информации о файлах, размещенных на платформе Twitter. Исследователи использовали поисковую систему ZoomEye в киберпространстве, чтобы расширить свое исследование и обнаружить больше ресурсов C2, связанных с хакерской группой. Анализируя троянские программы, обнаруженные на этих серверах C2, исследователи стремились выявить общие методы атаки и уникальные характеристики группы.
Первоначальным ориентиром, предоставленным 8 сентября 2024 года, был IP-адрес C2, идентифицированный как 89.197.154.116. Используя платформу ZoomEye, исследователи исследовали этот IP-адрес, который был расположен в Лондоне, Великобритания, с открытыми портами 80 и 3000, предлагающими услуги HTTP. После проведения анализа сетевого поведения файлов сервера было обнаружено, что большинство файлов были троянскими файлами C2 (CobaltStrike), недавно отправленными на анализ вредоносных программ. Кроме того, исследователи отметили, что 12 сентября 2024 года хакерская группа обновила пять файлов, что указывает на активные атаки. Коммуникационный порт C2 на этом сервере был идентифицирован как порт 7810.
Дальнейший анализ файлов сервера показал, что "lazagne.exe" использовался для получения сохраненных паролей, в то время как "AvosLocker.exe" был связан с организацией-вымогателем AvosLocker. Эта новая группа программ-вымогателей появилась в 2021 году, о чем подробно говорится в отчете Национального центра реагирования на чрезвычайные ситуации в области безопасности критической инфраструктуры. Программа-вымогатель AvosLocker была подключена к серверу с IP-адресом 89.197.154.116, что указывает на возможную связь между хакерской группой и этим объектом-вымогателем.
Расширив свое исследование, исследователи обнаружили 17 результатов, все из которых были получены в Соединенном Королевстве. Были подробно проанализированы два IP-адреса, а именно "89.197.154.115" и "193.117.208.148". Было отмечено, что сервер с IP-адресом 193.117.208.148 (именуемый "IP-адрес B") имеет сходства в коммуникационном порту C2, именах файлов и режиме работы с ранее исследованным сервером с IP-адресом 89.197.154.116.
Был проанализирован другой сервер с IP-адресом 193.117.208.101 (именуемый "IP-адрес D"), который продемонстрировал различия в именах файлов по сравнению с предыдущими серверами. Однако файл с именем "Cloudshare.vbs" на этом сервере имел сходство с файлом, найденным на сервере по IP-адресу 89.197.154.116. Поведение определенных файлов на этом сервере указывало на попытки подключения к серверу злоумышленника. Кроме того, исследователи заметили, что количество коммуникационных портов C2 на этих ресурсах было сосредоточено в диапазоне от 7000 до 8000, что позволило лучше понять принципы работы группы.
Проведя анализ, исследователи пришли к выводу, что хакерская группа в основном использовала трояны CobaltStrike и Metasploit, не имея возможности самостоятельно разрабатывать системы C2. Серверы C2 группы, по-видимому, были сосредоточены в Великобритании, а их активные и часто обновляемые ресурсы указывали на постоянную вредоносную деятельность. Кроме того, хакерская группа проявила тенденцию использовать различные методы загрузки вредоносного кода, включая HTA, PowerShell, VBS, а также тактику обмана, чтобы заманить цели к выполнению вредоносных программ.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что исследователи отследили сетевые ресурсы хакерской группы C2, начав с IP-адреса C2 и информации о файлах, опубликованных в Twitter, расширив свое расследование с помощью поисковой системы в киберпространстве и проанализировав различные серверы, чтобы выявить распространенные методы атаки, связи с группами программ-вымогателей, схемы работы и многое другое. использование хакерской группой, базирующейся в основном в Великобритании, специфических методов загрузки вредоносного кода.
-----
Эта статья посвящена отслеживанию сетевых ресурсов C2 хакерской группы на основе IP-адреса C2 и связанной с ним информации о файлах, размещенных на платформе Twitter. Исследователи использовали поисковую систему ZoomEye в киберпространстве, чтобы расширить свое исследование и обнаружить больше ресурсов C2, связанных с хакерской группой. Анализируя троянские программы, обнаруженные на этих серверах C2, исследователи стремились выявить общие методы атаки и уникальные характеристики группы.
Первоначальным ориентиром, предоставленным 8 сентября 2024 года, был IP-адрес C2, идентифицированный как 89.197.154.116. Используя платформу ZoomEye, исследователи исследовали этот IP-адрес, который был расположен в Лондоне, Великобритания, с открытыми портами 80 и 3000, предлагающими услуги HTTP. После проведения анализа сетевого поведения файлов сервера было обнаружено, что большинство файлов были троянскими файлами C2 (CobaltStrike), недавно отправленными на анализ вредоносных программ. Кроме того, исследователи отметили, что 12 сентября 2024 года хакерская группа обновила пять файлов, что указывает на активные атаки. Коммуникационный порт C2 на этом сервере был идентифицирован как порт 7810.
Дальнейший анализ файлов сервера показал, что "lazagne.exe" использовался для получения сохраненных паролей, в то время как "AvosLocker.exe" был связан с организацией-вымогателем AvosLocker. Эта новая группа программ-вымогателей появилась в 2021 году, о чем подробно говорится в отчете Национального центра реагирования на чрезвычайные ситуации в области безопасности критической инфраструктуры. Программа-вымогатель AvosLocker была подключена к серверу с IP-адресом 89.197.154.116, что указывает на возможную связь между хакерской группой и этим объектом-вымогателем.
Расширив свое исследование, исследователи обнаружили 17 результатов, все из которых были получены в Соединенном Королевстве. Были подробно проанализированы два IP-адреса, а именно "89.197.154.115" и "193.117.208.148". Было отмечено, что сервер с IP-адресом 193.117.208.148 (именуемый "IP-адрес B") имеет сходства в коммуникационном порту C2, именах файлов и режиме работы с ранее исследованным сервером с IP-адресом 89.197.154.116.
Был проанализирован другой сервер с IP-адресом 193.117.208.101 (именуемый "IP-адрес D"), который продемонстрировал различия в именах файлов по сравнению с предыдущими серверами. Однако файл с именем "Cloudshare.vbs" на этом сервере имел сходство с файлом, найденным на сервере по IP-адресу 89.197.154.116. Поведение определенных файлов на этом сервере указывало на попытки подключения к серверу злоумышленника. Кроме того, исследователи заметили, что количество коммуникационных портов C2 на этих ресурсах было сосредоточено в диапазоне от 7000 до 8000, что позволило лучше понять принципы работы группы.
Проведя анализ, исследователи пришли к выводу, что хакерская группа в основном использовала трояны CobaltStrike и Metasploit, не имея возможности самостоятельно разрабатывать системы C2. Серверы C2 группы, по-видимому, были сосредоточены в Великобритании, а их активные и часто обновляемые ресурсы указывали на постоянную вредоносную деятельность. Кроме того, хакерская группа проявила тенденцию использовать различные методы загрузки вредоносного кода, включая HTA, PowerShell, VBS, а также тактику обмана, чтобы заманить цели к выполнению вредоносных программ.
#ParsedReport #CompletenessHigh
21-10-2024
Encrypted Symphony: Infiltrating the Cicada3301 Ransomware-as-a-Service Group
https://www.group-ib.com/blog/cicada3301
Report completeness: High
Threats:
Cicada_ransomware
Shadow_copies_delete_technique
Lockbit
Qilin_ransomware
Ransomexx
Blackcat
Luna
Teamviewer_tool
Industry:
Healthcare
Geo:
Pol, Russian, Usa, United kingdom
TTPs:
IOCs:
Url: 1
Command: 3
File: 8
Path: 5
Registry: 1
Hash: 4
Soft:
ESXi, PSExec, Hyper-V, Ubuntu, Debian, SELinux, Unix, HyperV, macOS, bcdedit, have more...
Algorithms:
chacha20
Functions:
Company
Win Services:
agntsvc, dbeng50, dbsnmp, encsvc, infopath, isqlplussvc, ocautoupds, ocomm, ocssd, powerpnt, have more...
Languages:
powershell, rust
Platforms:
arm, x86, x64, apple
21-10-2024
Encrypted Symphony: Infiltrating the Cicada3301 Ransomware-as-a-Service Group
https://www.group-ib.com/blog/cicada3301
Report completeness: High
Threats:
Cicada_ransomware
Shadow_copies_delete_technique
Lockbit
Qilin_ransomware
Ransomexx
Blackcat
Luna
Teamviewer_tool
Industry:
Healthcare
Geo:
Pol, Russian, Usa, United kingdom
TTPs:
IOCs:
Url: 1
Command: 3
File: 8
Path: 5
Registry: 1
Hash: 4
Soft:
ESXi, PSExec, Hyper-V, Ubuntu, Debian, SELinux, Unix, HyperV, macOS, bcdedit, have more...
Algorithms:
chacha20
Functions:
Company
Win Services:
agntsvc, dbeng50, dbsnmp, encsvc, infopath, isqlplussvc, ocautoupds, ocomm, ocssd, powerpnt, have more...
Languages:
powershell, rust
Platforms:
arm, x86, x64, apple
Group-IB
Encrypted Symphony | Group-IB Blog
We observed how the Cicada3301 Ransomware-as-a-Service (RaaS) group operates, detailing the workflow of their affiliates within the panel and examining the Windows, Linux, ESXi, and PowerPC variants of the ransomware.
CTT Report Hub
#ParsedReport #CompletenessHigh 21-10-2024 Encrypted Symphony: Infiltrating the Cicada3301 Ransomware-as-a-Service Group https://www.group-ib.com/blog/cicada3301 Report completeness: High Threats: Cicada_ransomware Shadow_copies_delete_technique Lockbit…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В тексте обсуждается появление группы программ-вымогателей Cicada3301, предлагающей услуги, подчеркивается ее агрессивная тактика, расширенные возможности и широкий охват в отношении критически важных организаций в США и Великобритании. В нем описывается разработка программы-вымогателя в Rust, поддержка нескольких платформ, сложная партнерская программа, методы шифрования, операционная система, постоянные усовершенствования и сложные функциональные возможности. Анализ подчеркивает огромную угрозу, которую представляет эта группа для организаций, и необходимость усиления защиты от возникающих киберугроз.
-----
Группа программ-вымогателей Cicada3301 была обнаружена в июне 2024 года и нацелена на критически важные организации в США и Великобритании, используя агрессивную тактику для достижения максимального эффекта.
Программа-вымогатель, разработанная в Rust, поддерживает множество платформ, таких как Windows, Linux, ESXi и PowerPC, и может похвастаться сложными методами шифрования, такими как ChaCha20 и RSA, для настройки режимов шифрования файлов.
Группа работает через специальный сайт для утечек информации и веб-панель, предлагающую такие функции, как поддержка в чате, учетные записи дочерних компаний и настраиваемые уведомления о выкупе, а защита личных ключей поддерживается с помощью API, таких как Tox.
Постоянные обновления программы-вымогателя на панели партнеров включают такие усовершенствования, как режим работы с червями для Windows, возможности колл-центра и оптимизированные процессы шифрования, и все это в рамках структурированной операционной системы для партнеров.
Архитектура программы-вымогателя поддерживает системы x86, ARM и PowerPC, обеспечивая кроссплатформенную совместимость Rust и демонстрируя сложные функциональные возможности, такие как интеграция с PsExec и управление виртуальными машинами в ESXi.
Заслуживающие внимания параллели с программой-вымогателем BlackCat указывают на сходство в работе и схемах шифрования, что вносит свой вклад в сложную картину угроз, создаваемых Cicada3301.
Технические характеристики программы-вымогателя включают в себя такие действия, как отключение запуска среды восстановления Windows, очистка журналов событий, поддержка архитектуры PowerPC и использование расширенных функциональных возможностей, таких как одновременное шифрование файлов и объединение потоков для быстрой обработки.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В тексте обсуждается появление группы программ-вымогателей Cicada3301, предлагающей услуги, подчеркивается ее агрессивная тактика, расширенные возможности и широкий охват в отношении критически важных организаций в США и Великобритании. В нем описывается разработка программы-вымогателя в Rust, поддержка нескольких платформ, сложная партнерская программа, методы шифрования, операционная система, постоянные усовершенствования и сложные функциональные возможности. Анализ подчеркивает огромную угрозу, которую представляет эта группа для организаций, и необходимость усиления защиты от возникающих киберугроз.
-----
Группа программ-вымогателей Cicada3301 была обнаружена в июне 2024 года и нацелена на критически важные организации в США и Великобритании, используя агрессивную тактику для достижения максимального эффекта.
Программа-вымогатель, разработанная в Rust, поддерживает множество платформ, таких как Windows, Linux, ESXi и PowerPC, и может похвастаться сложными методами шифрования, такими как ChaCha20 и RSA, для настройки режимов шифрования файлов.
Группа работает через специальный сайт для утечек информации и веб-панель, предлагающую такие функции, как поддержка в чате, учетные записи дочерних компаний и настраиваемые уведомления о выкупе, а защита личных ключей поддерживается с помощью API, таких как Tox.
Постоянные обновления программы-вымогателя на панели партнеров включают такие усовершенствования, как режим работы с червями для Windows, возможности колл-центра и оптимизированные процессы шифрования, и все это в рамках структурированной операционной системы для партнеров.
Архитектура программы-вымогателя поддерживает системы x86, ARM и PowerPC, обеспечивая кроссплатформенную совместимость Rust и демонстрируя сложные функциональные возможности, такие как интеграция с PsExec и управление виртуальными машинами в ESXi.
Заслуживающие внимания параллели с программой-вымогателем BlackCat указывают на сходство в работе и схемах шифрования, что вносит свой вклад в сложную картину угроз, создаваемых Cicada3301.
Технические характеристики программы-вымогателя включают в себя такие действия, как отключение запуска среды восстановления Windows, очистка журналов событий, поддержка архитектуры PowerPC и использование расширенных функциональных возможностей, таких как одновременное шифрование файлов и объединение потоков для быстрой обработки.
#ParsedReport #CompletenessMedium
21-10-2024
Analysis of WebDAV actions of APT-C-08 (Manlinghua) organization
https://www.ctfiot.com/211062.html
Report completeness: Medium
Actors/Campaigns:
Bitter
Threats:
Double_kill_vuln
Double_star_vuln
Nightmare_formula_vuln
Industry:
Education, Military, Government
Geo:
Asian, Asia
ChatGPT TTPs:
T1566, T1203, T1105, T1053, T1071, T1005
IOCs:
File: 3
Hash: 7
IP: 2
Url: 7
Soft:
Windows search, WeChat
Languages:
powershell, php
21-10-2024
Analysis of WebDAV actions of APT-C-08 (Manlinghua) organization
https://www.ctfiot.com/211062.html
Report completeness: Medium
Actors/Campaigns:
Bitter
Threats:
Double_kill_vuln
Double_star_vuln
Nightmare_formula_vuln
Industry:
Education, Military, Government
Geo:
Asian, Asia
ChatGPT TTPs:
do not use without manual checkT1566, T1203, T1105, T1053, T1071, T1005
IOCs:
File: 3
Hash: 7
IP: 2
Url: 7
Soft:
Windows search, WeChat
Languages:
powershell, php
CTF导航
APT-C-08(蔓灵花)组织WebDAV行动分析 | CTF导航
APT-C-08 蔓灵花APT-C-08(蔓灵花)组织是一个拥有南亚地区政府背景的APT组织,近几年来持续对南亚周边国家进行APT攻击,攻击目标涉及政府、军工、高校和驻外机构等企事业单位组织。近期360安全大脑监测到...