CTT Report Hub
#ParsedReport #CompletenessMedium 21-10-2024 Suspected Mysterious Elephant organization uses CHM files to attack many countries in South Asia https://mp.weixin.qq.com/s/tkOMIHY36TujPKjWKVa6kA?poc_token=HPlxFmejTBkZltdR4fKBV0kYLMht2O8kz7jsPvq2 Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В тексте обсуждается киберугроза, известная как ORPCBackdoor, первоначально приписываемая организации Bitter, но позже отслеживаемая некоторыми поставщиками систем безопасности как новая группа под названием Mysterious Elephant из-за несоответствий в атрибуции. Mysterious Elephant - это группа APT, действующая в Южной Азии, использующая файлы CHM и бэкдоры C# для атак, нацеленных на такие страны, как Пакистан. Бэкдоры выполняют команды с сервера C2 и поддерживают различные команды атаки, распространяемые через образцы фишинга. В отрасли существует противоречие во взглядах на то, как отличить Mysterious Elephant от Bitter, но, основываясь на моделях и тактике атак, файлы CHM и бэкдоры на C# приписываются Mysterious Elephant, нацеленным на правительственные учреждения, военные и другие отрасли промышленности в странах Южной Азии. Стратегии предотвращения включают в себя осторожность при фишинговых атаках, отказ от подозрительных ссылок или вложений, оперативную установку исправлений и регулярное резервное копирование данных. Бдительность в области кибербезопасности и лучшие практики имеют решающее значение для защиты от этих развивающихся угроз.
-----
Изначально ORPCBackdoor был приписан организации Bitter, но позже некоторые поставщики систем безопасности начали отслеживать его как новую группу под названием Mysterious Elephant из-за несоответствий в атрибуции. Организация Mysterious Elephant, упомянутая в отчете Kaspersky, является APT-группой, действующей в Южной Азии. Считается, что файлы CHM и бэкдоры C#, нацеленные на страны Южной Азии, исходят от Mysterious Elephant, основываясь на сходстве с предыдущими атаками.
Организация "Таинственный слон" связана с несколькими группами APT в Южной Азии, которые используют методы нападения, аналогичные "Организации Биттера". Их целями являются такие страны, как Пакистан. Недавно Центр анализа угроз QiAnXin обнаружил специальные CHM-файлы, содержащие простой скрипт, который запускает внешний бэкдор на C#, замаскированный под PDF-файлы, относящиеся к южноазиатской тематике.
Бэкдоры на C# предназначены для выполнения команд, выдаваемых сервером управления (C2), с использованием асинхронного программирования задач и ConfuserEx для обфускации. Некоторые бэкдоры поддерживают дополнительные команды для атаки и могут получать информацию о сервере C2 различными способами, такими как жесткое кодирование в коде или расшифровка файлов конфигурации. Инструкции C2, поддерживаемые бэкдорами, включают удаленное выполнение команд и создание доступа к командной оболочке для злоумышленников.
Злоумышленники распространяют образцы фишинга в зашифрованных сжатых пакетах, содержащих файлы CHM и скрытые бэкдоры на C#. Из-за минимального количества вредоносных скриптов в файлах CHM антивирусное программное обеспечение может их не заметить, что приводит к неосознанной активации бэкдоров на C#. Злоумышленники манипулируют жертвами, имитируя методы "красной команды" и маскируя свои действия с помощью различных тактических приемов.
Многочисленные примеры выявляют связи между различными организациями APT в Южной Азии, что приводит к противоречивым взглядам отрасли на то, как отличить Mysterious Elephant от Bitter. Однако, основываясь на сходстве моделей и тактики атак, считается, что файлы CHM и бэкдоры на C# принадлежат Mysterious Elephant. Эти атаки нацелены на правительственные учреждения, военные, дипломатические учреждения и другие отрасли промышленности в странах Южной Азии.
Чтобы смягчить такие угрозы, пользователям рекомендуется опасаться фишинговых атак, избегать открытия подозрительных ссылок или вложений электронной почты, воздерживаться от запуска неизвестных файлов, своевременно устанавливать исправления и регулярно создавать резервные копии важных данных. В целом, бдительность и рекомендации по кибербезопасности имеют решающее значение для защиты от возникающих киберугроз.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В тексте обсуждается киберугроза, известная как ORPCBackdoor, первоначально приписываемая организации Bitter, но позже отслеживаемая некоторыми поставщиками систем безопасности как новая группа под названием Mysterious Elephant из-за несоответствий в атрибуции. Mysterious Elephant - это группа APT, действующая в Южной Азии, использующая файлы CHM и бэкдоры C# для атак, нацеленных на такие страны, как Пакистан. Бэкдоры выполняют команды с сервера C2 и поддерживают различные команды атаки, распространяемые через образцы фишинга. В отрасли существует противоречие во взглядах на то, как отличить Mysterious Elephant от Bitter, но, основываясь на моделях и тактике атак, файлы CHM и бэкдоры на C# приписываются Mysterious Elephant, нацеленным на правительственные учреждения, военные и другие отрасли промышленности в странах Южной Азии. Стратегии предотвращения включают в себя осторожность при фишинговых атаках, отказ от подозрительных ссылок или вложений, оперативную установку исправлений и регулярное резервное копирование данных. Бдительность в области кибербезопасности и лучшие практики имеют решающее значение для защиты от этих развивающихся угроз.
-----
Изначально ORPCBackdoor был приписан организации Bitter, но позже некоторые поставщики систем безопасности начали отслеживать его как новую группу под названием Mysterious Elephant из-за несоответствий в атрибуции. Организация Mysterious Elephant, упомянутая в отчете Kaspersky, является APT-группой, действующей в Южной Азии. Считается, что файлы CHM и бэкдоры C#, нацеленные на страны Южной Азии, исходят от Mysterious Elephant, основываясь на сходстве с предыдущими атаками.
Организация "Таинственный слон" связана с несколькими группами APT в Южной Азии, которые используют методы нападения, аналогичные "Организации Биттера". Их целями являются такие страны, как Пакистан. Недавно Центр анализа угроз QiAnXin обнаружил специальные CHM-файлы, содержащие простой скрипт, который запускает внешний бэкдор на C#, замаскированный под PDF-файлы, относящиеся к южноазиатской тематике.
Бэкдоры на C# предназначены для выполнения команд, выдаваемых сервером управления (C2), с использованием асинхронного программирования задач и ConfuserEx для обфускации. Некоторые бэкдоры поддерживают дополнительные команды для атаки и могут получать информацию о сервере C2 различными способами, такими как жесткое кодирование в коде или расшифровка файлов конфигурации. Инструкции C2, поддерживаемые бэкдорами, включают удаленное выполнение команд и создание доступа к командной оболочке для злоумышленников.
Злоумышленники распространяют образцы фишинга в зашифрованных сжатых пакетах, содержащих файлы CHM и скрытые бэкдоры на C#. Из-за минимального количества вредоносных скриптов в файлах CHM антивирусное программное обеспечение может их не заметить, что приводит к неосознанной активации бэкдоров на C#. Злоумышленники манипулируют жертвами, имитируя методы "красной команды" и маскируя свои действия с помощью различных тактических приемов.
Многочисленные примеры выявляют связи между различными организациями APT в Южной Азии, что приводит к противоречивым взглядам отрасли на то, как отличить Mysterious Elephant от Bitter. Однако, основываясь на сходстве моделей и тактики атак, считается, что файлы CHM и бэкдоры на C# принадлежат Mysterious Elephant. Эти атаки нацелены на правительственные учреждения, военные, дипломатические учреждения и другие отрасли промышленности в странах Южной Азии.
Чтобы смягчить такие угрозы, пользователям рекомендуется опасаться фишинговых атак, избегать открытия подозрительных ссылок или вложений электронной почты, воздерживаться от запуска неизвестных файлов, своевременно устанавливать исправления и регулярно создавать резервные копии важных данных. В целом, бдительность и рекомендации по кибербезопасности имеют решающее значение для защиты от возникающих киберугроз.
#ParsedReport #CompletenessLow
21-10-2024
Stealer here, stealer there, stealers everywhere!
https://securelist.com/kral-amos-vidar-acr-stealers/114237
Report completeness: Low
Threats:
Kral_stealer
Aurora
Amos_stealer
Vidar_stealer
Dll_hijacking_technique
Hijackloader
Penguish
Acr_stealer
Geo:
Brazil
IOCs:
File: 3
Hash: 6
Soft:
macOS, ImageMagick
Algorithms:
zip
Win API:
WinVerifyTrust
Win Services:
BITS
Languages:
delphi
Platforms:
apple
Links:
21-10-2024
Stealer here, stealer there, stealers everywhere!
https://securelist.com/kral-amos-vidar-acr-stealers/114237
Report completeness: Low
Threats:
Kral_stealer
Aurora
Amos_stealer
Vidar_stealer
Dll_hijacking_technique
Hijackloader
Penguish
Acr_stealer
Geo:
Brazil
IOCs:
File: 3
Hash: 6
Soft:
macOS, ImageMagick
Algorithms:
zip
Win API:
WinVerifyTrust
Win Services:
BITS
Languages:
delphi
Platforms:
apple
Links:
https://github.com/rapid7/Rapid7-Labs/blob/main/Malware%20Config%20Extractors/IDAT\_Loader\_extractor.pySecurelist
Stealers on the rise: Kral, AMOS, Vidar and ACR
Kaspersky researchers investigated a number of stealer attacks over the past year, and they are now sharing some details on the new Kral stealer, recent AMOS version and Vidar delivering ACR stealer.
CTT Report Hub
#ParsedReport #CompletenessLow 21-10-2024 Stealer here, stealer there, stealers everywhere! https://securelist.com/kral-amos-vidar-acr-stealers/114237 Report completeness: Low Threats: Kral_stealer Aurora Amos_stealer Vidar_stealer Dll_hijacking_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что похитители информации активно распространяются киберпреступниками для сбора учетных данных для продажи в даркнете или использования в последующих кибератаках, создавая значительную угрозу как для личных, так и для корпоративных устройств. Эти злоумышленники развиваются, становятся все более изощренными и используются начинающими киберпреступниками, что подчеркивает важность надежных мер кибербезопасности для эффективного противодействия таким угрозам.
-----
Киберпреступники активно распространяют средства для кражи информации с целью сбора учетных данных для продажи в даркнете или использования в кибератаках, при этом целью является значительное количество устройств.
В 2023 году были выявлены различные типы похитителей, такие как Kral, AMOS и Vidar, каждый из которых обладал отличными характеристиками и методами работы.
Kral stealer развился из загрузчика, связанного с Aurora stealer, и нацелен на криптовалютные кошельки и данные браузера, используя специальные методы проникновения и эксфильтрации данных.
AMOS stealer нацелен на пользователей macOS, маскируясь под законный пакет программного обеспечения, и обманом заставляет пользователей раскрывать свои учетные данные с помощью обманчивых диалоговых окон.
Vidar stealer распространяется по ссылкам в комментариях на YouTube и в первую очередь нацелен на данные браузера и кошельки, загружая ACR stealer вместо прямой кражи данных.
Украденные данные могут быть использованы в различных вредоносных целях, что подчеркивает важность надежных мер кибербезопасности для эффективного противодействия этим угрозам.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что похитители информации активно распространяются киберпреступниками для сбора учетных данных для продажи в даркнете или использования в последующих кибератаках, создавая значительную угрозу как для личных, так и для корпоративных устройств. Эти злоумышленники развиваются, становятся все более изощренными и используются начинающими киберпреступниками, что подчеркивает важность надежных мер кибербезопасности для эффективного противодействия таким угрозам.
-----
Киберпреступники активно распространяют средства для кражи информации с целью сбора учетных данных для продажи в даркнете или использования в кибератаках, при этом целью является значительное количество устройств.
В 2023 году были выявлены различные типы похитителей, такие как Kral, AMOS и Vidar, каждый из которых обладал отличными характеристиками и методами работы.
Kral stealer развился из загрузчика, связанного с Aurora stealer, и нацелен на криптовалютные кошельки и данные браузера, используя специальные методы проникновения и эксфильтрации данных.
AMOS stealer нацелен на пользователей macOS, маскируясь под законный пакет программного обеспечения, и обманом заставляет пользователей раскрывать свои учетные данные с помощью обманчивых диалоговых окон.
Vidar stealer распространяется по ссылкам в комментариях на YouTube и в первую очередь нацелен на данные браузера и кошельки, загружая ACR stealer вместо прямой кражи данных.
Украденные данные могут быть использованы в различных вредоносных целях, что подчеркивает важность надежных мер кибербезопасности для эффективного противодействия этим угрозам.
#ParsedReport #CompletenessMedium
21-10-2024
Using ZoomEye platform to conduct C2 asset expansion
https://paper.seebug.org/3232
Report completeness: Medium
Threats:
Cobalt_strike
Avoslocker
Metasploit_tool
Industry:
Critical_infrastructure
Geo:
United kingdom, London
ChatGPT TTPs:
T1071, T1047, T1203, T1059, T1053, T1055, T1027, T1569
IOCs:
IP: 19
File: 16
Hash: 17
Soft:
ZoomEye, Twitter, Debian, ApacheBench
Languages:
powershell
21-10-2024
Using ZoomEye platform to conduct C2 asset expansion
https://paper.seebug.org/3232
Report completeness: Medium
Threats:
Cobalt_strike
Avoslocker
Metasploit_tool
Industry:
Critical_infrastructure
Geo:
United kingdom, London
ChatGPT TTPs:
do not use without manual checkT1071, T1047, T1203, T1059, T1053, T1055, T1027, T1569
IOCs:
IP: 19
File: 16
Hash: 17
Soft:
ZoomEye, Twitter, Debian, ApacheBench
Languages:
powershell
CTT Report Hub
#ParsedReport #CompletenessMedium 21-10-2024 Using ZoomEye platform to conduct C2 asset expansion https://paper.seebug.org/3232 Report completeness: Medium Threats: Cobalt_strike Avoslocker Metasploit_tool Industry: Critical_infrastructure Geo: United…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что исследователи отследили сетевые ресурсы хакерской группы C2, начав с IP-адреса C2 и информации о файлах, опубликованных в Twitter, расширив свое расследование с помощью поисковой системы в киберпространстве и проанализировав различные серверы, чтобы выявить распространенные методы атаки, связи с группами программ-вымогателей, схемы работы и многое другое. использование хакерской группой, базирующейся в основном в Великобритании, специфических методов загрузки вредоносного кода.
-----
Эта статья посвящена отслеживанию сетевых ресурсов C2 хакерской группы на основе IP-адреса C2 и связанной с ним информации о файлах, размещенных на платформе Twitter. Исследователи использовали поисковую систему ZoomEye в киберпространстве, чтобы расширить свое исследование и обнаружить больше ресурсов C2, связанных с хакерской группой. Анализируя троянские программы, обнаруженные на этих серверах C2, исследователи стремились выявить общие методы атаки и уникальные характеристики группы.
Первоначальным ориентиром, предоставленным 8 сентября 2024 года, был IP-адрес C2, идентифицированный как 89.197.154.116. Используя платформу ZoomEye, исследователи исследовали этот IP-адрес, который был расположен в Лондоне, Великобритания, с открытыми портами 80 и 3000, предлагающими услуги HTTP. После проведения анализа сетевого поведения файлов сервера было обнаружено, что большинство файлов были троянскими файлами C2 (CobaltStrike), недавно отправленными на анализ вредоносных программ. Кроме того, исследователи отметили, что 12 сентября 2024 года хакерская группа обновила пять файлов, что указывает на активные атаки. Коммуникационный порт C2 на этом сервере был идентифицирован как порт 7810.
Дальнейший анализ файлов сервера показал, что "lazagne.exe" использовался для получения сохраненных паролей, в то время как "AvosLocker.exe" был связан с организацией-вымогателем AvosLocker. Эта новая группа программ-вымогателей появилась в 2021 году, о чем подробно говорится в отчете Национального центра реагирования на чрезвычайные ситуации в области безопасности критической инфраструктуры. Программа-вымогатель AvosLocker была подключена к серверу с IP-адресом 89.197.154.116, что указывает на возможную связь между хакерской группой и этим объектом-вымогателем.
Расширив свое исследование, исследователи обнаружили 17 результатов, все из которых были получены в Соединенном Королевстве. Были подробно проанализированы два IP-адреса, а именно "89.197.154.115" и "193.117.208.148". Было отмечено, что сервер с IP-адресом 193.117.208.148 (именуемый "IP-адрес B") имеет сходства в коммуникационном порту C2, именах файлов и режиме работы с ранее исследованным сервером с IP-адресом 89.197.154.116.
Был проанализирован другой сервер с IP-адресом 193.117.208.101 (именуемый "IP-адрес D"), который продемонстрировал различия в именах файлов по сравнению с предыдущими серверами. Однако файл с именем "Cloudshare.vbs" на этом сервере имел сходство с файлом, найденным на сервере по IP-адресу 89.197.154.116. Поведение определенных файлов на этом сервере указывало на попытки подключения к серверу злоумышленника. Кроме того, исследователи заметили, что количество коммуникационных портов C2 на этих ресурсах было сосредоточено в диапазоне от 7000 до 8000, что позволило лучше понять принципы работы группы.
Проведя анализ, исследователи пришли к выводу, что хакерская группа в основном использовала трояны CobaltStrike и Metasploit, не имея возможности самостоятельно разрабатывать системы C2. Серверы C2 группы, по-видимому, были сосредоточены в Великобритании, а их активные и часто обновляемые ресурсы указывали на постоянную вредоносную деятельность. Кроме того, хакерская группа проявила тенденцию использовать различные методы загрузки вредоносного кода, включая HTA, PowerShell, VBS, а также тактику обмана, чтобы заманить цели к выполнению вредоносных программ.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что исследователи отследили сетевые ресурсы хакерской группы C2, начав с IP-адреса C2 и информации о файлах, опубликованных в Twitter, расширив свое расследование с помощью поисковой системы в киберпространстве и проанализировав различные серверы, чтобы выявить распространенные методы атаки, связи с группами программ-вымогателей, схемы работы и многое другое. использование хакерской группой, базирующейся в основном в Великобритании, специфических методов загрузки вредоносного кода.
-----
Эта статья посвящена отслеживанию сетевых ресурсов C2 хакерской группы на основе IP-адреса C2 и связанной с ним информации о файлах, размещенных на платформе Twitter. Исследователи использовали поисковую систему ZoomEye в киберпространстве, чтобы расширить свое исследование и обнаружить больше ресурсов C2, связанных с хакерской группой. Анализируя троянские программы, обнаруженные на этих серверах C2, исследователи стремились выявить общие методы атаки и уникальные характеристики группы.
Первоначальным ориентиром, предоставленным 8 сентября 2024 года, был IP-адрес C2, идентифицированный как 89.197.154.116. Используя платформу ZoomEye, исследователи исследовали этот IP-адрес, который был расположен в Лондоне, Великобритания, с открытыми портами 80 и 3000, предлагающими услуги HTTP. После проведения анализа сетевого поведения файлов сервера было обнаружено, что большинство файлов были троянскими файлами C2 (CobaltStrike), недавно отправленными на анализ вредоносных программ. Кроме того, исследователи отметили, что 12 сентября 2024 года хакерская группа обновила пять файлов, что указывает на активные атаки. Коммуникационный порт C2 на этом сервере был идентифицирован как порт 7810.
Дальнейший анализ файлов сервера показал, что "lazagne.exe" использовался для получения сохраненных паролей, в то время как "AvosLocker.exe" был связан с организацией-вымогателем AvosLocker. Эта новая группа программ-вымогателей появилась в 2021 году, о чем подробно говорится в отчете Национального центра реагирования на чрезвычайные ситуации в области безопасности критической инфраструктуры. Программа-вымогатель AvosLocker была подключена к серверу с IP-адресом 89.197.154.116, что указывает на возможную связь между хакерской группой и этим объектом-вымогателем.
Расширив свое исследование, исследователи обнаружили 17 результатов, все из которых были получены в Соединенном Королевстве. Были подробно проанализированы два IP-адреса, а именно "89.197.154.115" и "193.117.208.148". Было отмечено, что сервер с IP-адресом 193.117.208.148 (именуемый "IP-адрес B") имеет сходства в коммуникационном порту C2, именах файлов и режиме работы с ранее исследованным сервером с IP-адресом 89.197.154.116.
Был проанализирован другой сервер с IP-адресом 193.117.208.101 (именуемый "IP-адрес D"), который продемонстрировал различия в именах файлов по сравнению с предыдущими серверами. Однако файл с именем "Cloudshare.vbs" на этом сервере имел сходство с файлом, найденным на сервере по IP-адресу 89.197.154.116. Поведение определенных файлов на этом сервере указывало на попытки подключения к серверу злоумышленника. Кроме того, исследователи заметили, что количество коммуникационных портов C2 на этих ресурсах было сосредоточено в диапазоне от 7000 до 8000, что позволило лучше понять принципы работы группы.
Проведя анализ, исследователи пришли к выводу, что хакерская группа в основном использовала трояны CobaltStrike и Metasploit, не имея возможности самостоятельно разрабатывать системы C2. Серверы C2 группы, по-видимому, были сосредоточены в Великобритании, а их активные и часто обновляемые ресурсы указывали на постоянную вредоносную деятельность. Кроме того, хакерская группа проявила тенденцию использовать различные методы загрузки вредоносного кода, включая HTA, PowerShell, VBS, а также тактику обмана, чтобы заманить цели к выполнению вредоносных программ.
#ParsedReport #CompletenessHigh
21-10-2024
Encrypted Symphony: Infiltrating the Cicada3301 Ransomware-as-a-Service Group
https://www.group-ib.com/blog/cicada3301
Report completeness: High
Threats:
Cicada_ransomware
Shadow_copies_delete_technique
Lockbit
Qilin_ransomware
Ransomexx
Blackcat
Luna
Teamviewer_tool
Industry:
Healthcare
Geo:
Pol, Russian, Usa, United kingdom
TTPs:
IOCs:
Url: 1
Command: 3
File: 8
Path: 5
Registry: 1
Hash: 4
Soft:
ESXi, PSExec, Hyper-V, Ubuntu, Debian, SELinux, Unix, HyperV, macOS, bcdedit, have more...
Algorithms:
chacha20
Functions:
Company
Win Services:
agntsvc, dbeng50, dbsnmp, encsvc, infopath, isqlplussvc, ocautoupds, ocomm, ocssd, powerpnt, have more...
Languages:
powershell, rust
Platforms:
arm, x86, x64, apple
21-10-2024
Encrypted Symphony: Infiltrating the Cicada3301 Ransomware-as-a-Service Group
https://www.group-ib.com/blog/cicada3301
Report completeness: High
Threats:
Cicada_ransomware
Shadow_copies_delete_technique
Lockbit
Qilin_ransomware
Ransomexx
Blackcat
Luna
Teamviewer_tool
Industry:
Healthcare
Geo:
Pol, Russian, Usa, United kingdom
TTPs:
IOCs:
Url: 1
Command: 3
File: 8
Path: 5
Registry: 1
Hash: 4
Soft:
ESXi, PSExec, Hyper-V, Ubuntu, Debian, SELinux, Unix, HyperV, macOS, bcdedit, have more...
Algorithms:
chacha20
Functions:
Company
Win Services:
agntsvc, dbeng50, dbsnmp, encsvc, infopath, isqlplussvc, ocautoupds, ocomm, ocssd, powerpnt, have more...
Languages:
powershell, rust
Platforms:
arm, x86, x64, apple
Group-IB
Encrypted Symphony | Group-IB Blog
We observed how the Cicada3301 Ransomware-as-a-Service (RaaS) group operates, detailing the workflow of their affiliates within the panel and examining the Windows, Linux, ESXi, and PowerPC variants of the ransomware.
CTT Report Hub
#ParsedReport #CompletenessHigh 21-10-2024 Encrypted Symphony: Infiltrating the Cicada3301 Ransomware-as-a-Service Group https://www.group-ib.com/blog/cicada3301 Report completeness: High Threats: Cicada_ransomware Shadow_copies_delete_technique Lockbit…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В тексте обсуждается появление группы программ-вымогателей Cicada3301, предлагающей услуги, подчеркивается ее агрессивная тактика, расширенные возможности и широкий охват в отношении критически важных организаций в США и Великобритании. В нем описывается разработка программы-вымогателя в Rust, поддержка нескольких платформ, сложная партнерская программа, методы шифрования, операционная система, постоянные усовершенствования и сложные функциональные возможности. Анализ подчеркивает огромную угрозу, которую представляет эта группа для организаций, и необходимость усиления защиты от возникающих киберугроз.
-----
Группа программ-вымогателей Cicada3301 была обнаружена в июне 2024 года и нацелена на критически важные организации в США и Великобритании, используя агрессивную тактику для достижения максимального эффекта.
Программа-вымогатель, разработанная в Rust, поддерживает множество платформ, таких как Windows, Linux, ESXi и PowerPC, и может похвастаться сложными методами шифрования, такими как ChaCha20 и RSA, для настройки режимов шифрования файлов.
Группа работает через специальный сайт для утечек информации и веб-панель, предлагающую такие функции, как поддержка в чате, учетные записи дочерних компаний и настраиваемые уведомления о выкупе, а защита личных ключей поддерживается с помощью API, таких как Tox.
Постоянные обновления программы-вымогателя на панели партнеров включают такие усовершенствования, как режим работы с червями для Windows, возможности колл-центра и оптимизированные процессы шифрования, и все это в рамках структурированной операционной системы для партнеров.
Архитектура программы-вымогателя поддерживает системы x86, ARM и PowerPC, обеспечивая кроссплатформенную совместимость Rust и демонстрируя сложные функциональные возможности, такие как интеграция с PsExec и управление виртуальными машинами в ESXi.
Заслуживающие внимания параллели с программой-вымогателем BlackCat указывают на сходство в работе и схемах шифрования, что вносит свой вклад в сложную картину угроз, создаваемых Cicada3301.
Технические характеристики программы-вымогателя включают в себя такие действия, как отключение запуска среды восстановления Windows, очистка журналов событий, поддержка архитектуры PowerPC и использование расширенных функциональных возможностей, таких как одновременное шифрование файлов и объединение потоков для быстрой обработки.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В тексте обсуждается появление группы программ-вымогателей Cicada3301, предлагающей услуги, подчеркивается ее агрессивная тактика, расширенные возможности и широкий охват в отношении критически важных организаций в США и Великобритании. В нем описывается разработка программы-вымогателя в Rust, поддержка нескольких платформ, сложная партнерская программа, методы шифрования, операционная система, постоянные усовершенствования и сложные функциональные возможности. Анализ подчеркивает огромную угрозу, которую представляет эта группа для организаций, и необходимость усиления защиты от возникающих киберугроз.
-----
Группа программ-вымогателей Cicada3301 была обнаружена в июне 2024 года и нацелена на критически важные организации в США и Великобритании, используя агрессивную тактику для достижения максимального эффекта.
Программа-вымогатель, разработанная в Rust, поддерживает множество платформ, таких как Windows, Linux, ESXi и PowerPC, и может похвастаться сложными методами шифрования, такими как ChaCha20 и RSA, для настройки режимов шифрования файлов.
Группа работает через специальный сайт для утечек информации и веб-панель, предлагающую такие функции, как поддержка в чате, учетные записи дочерних компаний и настраиваемые уведомления о выкупе, а защита личных ключей поддерживается с помощью API, таких как Tox.
Постоянные обновления программы-вымогателя на панели партнеров включают такие усовершенствования, как режим работы с червями для Windows, возможности колл-центра и оптимизированные процессы шифрования, и все это в рамках структурированной операционной системы для партнеров.
Архитектура программы-вымогателя поддерживает системы x86, ARM и PowerPC, обеспечивая кроссплатформенную совместимость Rust и демонстрируя сложные функциональные возможности, такие как интеграция с PsExec и управление виртуальными машинами в ESXi.
Заслуживающие внимания параллели с программой-вымогателем BlackCat указывают на сходство в работе и схемах шифрования, что вносит свой вклад в сложную картину угроз, создаваемых Cicada3301.
Технические характеристики программы-вымогателя включают в себя такие действия, как отключение запуска среды восстановления Windows, очистка журналов событий, поддержка архитектуры PowerPC и использование расширенных функциональных возможностей, таких как одновременное шифрование файлов и объединение потоков для быстрой обработки.
#ParsedReport #CompletenessMedium
21-10-2024
Analysis of WebDAV actions of APT-C-08 (Manlinghua) organization
https://www.ctfiot.com/211062.html
Report completeness: Medium
Actors/Campaigns:
Bitter
Threats:
Double_kill_vuln
Double_star_vuln
Nightmare_formula_vuln
Industry:
Education, Military, Government
Geo:
Asian, Asia
ChatGPT TTPs:
T1566, T1203, T1105, T1053, T1071, T1005
IOCs:
File: 3
Hash: 7
IP: 2
Url: 7
Soft:
Windows search, WeChat
Languages:
powershell, php
21-10-2024
Analysis of WebDAV actions of APT-C-08 (Manlinghua) organization
https://www.ctfiot.com/211062.html
Report completeness: Medium
Actors/Campaigns:
Bitter
Threats:
Double_kill_vuln
Double_star_vuln
Nightmare_formula_vuln
Industry:
Education, Military, Government
Geo:
Asian, Asia
ChatGPT TTPs:
do not use without manual checkT1566, T1203, T1105, T1053, T1071, T1005
IOCs:
File: 3
Hash: 7
IP: 2
Url: 7
Soft:
Windows search, WeChat
Languages:
powershell, php
CTF导航
APT-C-08(蔓灵花)组织WebDAV行动分析 | CTF导航
APT-C-08 蔓灵花APT-C-08(蔓灵花)组织是一个拥有南亚地区政府背景的APT组织,近几年来持续对南亚周边国家进行APT攻击,攻击目标涉及政府、军工、高校和驻外机构等企事业单位组织。近期360安全大脑监测到...
CTT Report Hub
#ParsedReport #CompletenessMedium 21-10-2024 Analysis of WebDAV actions of APT-C-08 (Manlinghua) organization https://www.ctfiot.com/211062.html Report completeness: Medium Actors/Campaigns: Bitter Threats: Double_kill_vuln Double_star_vuln Nightmare_formula_vuln…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что APT-C-08, также известная как Manlinghua, является организацией APT, связанной с правительством Южной Азии, известной проведением атак APT в Южной Азии. В тексте подробно описываются их недавние фишинговые атаки с использованием файлов searchconnector-ms и описываются их методы атаки, направленные на получение удаленного доступа к целевым системам. В нем также рассказывается об усилиях 360 Advanced Threat Research Institute по обнаружению и изучению передовых угроз, исходящих от APT-организаций, таких как Manlinghua.
-----
APT-C-08, или Manlinghua, - это организация APT, связанная с правительством Южной Азии, которая проводит атаки APT в Южной Азии, нацеленные на правительственные учреждения, военную промышленность, университеты и зарубежные организации.
Недавно выявленные Manlinghua фишинговые атаки были связаны с вредоносными файлами searchconnector-ms, спрятанными в сжатых вложениях электронной почты.
Файл searchconnector-ms инициирует атаку, что приводит к развертыванию полезной нагрузки для удаленной атаки через службу WebDAV в виде вредоносных файлов LNK или CHM.
Manlinghua изменила свою тактику, отправив файлы с возможностями удаленного доступа, такими как searchconnector-ms или файлы с расширением .url, вместо сжатых пакетов с файлами LNK.
Связь с соответствующими серверами управления (C&C) должна быть проверена на предмет возможного компрометации.
360 Advanced Threat Research Institute известен тем, что обнаруживает атаки нулевого дня и действия APT, повышая общую безопасность сети.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что APT-C-08, также известная как Manlinghua, является организацией APT, связанной с правительством Южной Азии, известной проведением атак APT в Южной Азии. В тексте подробно описываются их недавние фишинговые атаки с использованием файлов searchconnector-ms и описываются их методы атаки, направленные на получение удаленного доступа к целевым системам. В нем также рассказывается об усилиях 360 Advanced Threat Research Institute по обнаружению и изучению передовых угроз, исходящих от APT-организаций, таких как Manlinghua.
-----
APT-C-08, или Manlinghua, - это организация APT, связанная с правительством Южной Азии, которая проводит атаки APT в Южной Азии, нацеленные на правительственные учреждения, военную промышленность, университеты и зарубежные организации.
Недавно выявленные Manlinghua фишинговые атаки были связаны с вредоносными файлами searchconnector-ms, спрятанными в сжатых вложениях электронной почты.
Файл searchconnector-ms инициирует атаку, что приводит к развертыванию полезной нагрузки для удаленной атаки через службу WebDAV в виде вредоносных файлов LNK или CHM.
Manlinghua изменила свою тактику, отправив файлы с возможностями удаленного доступа, такими как searchconnector-ms или файлы с расширением .url, вместо сжатых пакетов с файлами LNK.
Связь с соответствующими серверами управления (C&C) должна быть проверена на предмет возможного компрометации.
360 Advanced Threat Research Institute известен тем, что обнаруживает атаки нулевого дня и действия APT, повышая общую безопасность сети.
#ParsedReport #CompletenessMedium
21-10-2024
Analysis of the attack activities of the APT-C-35 organization against a manufacturing company in South Asia. 1. Analysis of attack activities. 1. Analysis of attack activities
https://mp.weixin.qq.com/s/qCcuU0E6d84tdQ1r2dCsjA
Report completeness: Medium
Actors/Campaigns:
Donot
Threats:
Double_kill_vuln
Double_star_vuln
Victims:
Shibli electrics limited
Industry:
Government, Energy
Geo:
Pakistan, Pakistani, Asia
CVEs:
CVE-2017-11882 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft office (2007, 2010, 2013, 2016)
ChatGPT TTPs:
T1203, T1027, T1562, T1140, T1105, T1547
IOCs:
Domain: 1
Hash: 7
File: 5
Registry: 1
Algorithms:
md5, xor
Functions:
IntegrateCheck
Win API:
CryptEnumOIDInfo, LoadLibrary
21-10-2024
Analysis of the attack activities of the APT-C-35 organization against a manufacturing company in South Asia. 1. Analysis of attack activities. 1. Analysis of attack activities
https://mp.weixin.qq.com/s/qCcuU0E6d84tdQ1r2dCsjA
Report completeness: Medium
Actors/Campaigns:
Donot
Threats:
Double_kill_vuln
Double_star_vuln
Victims:
Shibli electrics limited
Industry:
Government, Energy
Geo:
Pakistan, Pakistani, Asia
CVEs:
CVE-2017-11882 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft office (2007, 2010, 2013, 2016)
ChatGPT TTPs:
do not use without manual checkT1203, T1027, T1562, T1140, T1105, T1547
IOCs:
Domain: 1
Hash: 7
File: 5
Registry: 1
Algorithms:
md5, xor
Functions:
IntegrateCheck
Win API:
CryptEnumOIDInfo, LoadLibrary
Weixin Official Accounts Platform
APT-C-35(肚脑虫)组织针对南亚某制造公司的攻击活动分析
在本轮攻击行动中,该组织采用宏文档和漏洞文档作为恶意载体,加载.NET全新攻击组件,从而实现窃密行动
CTT Report Hub
#ParsedReport #CompletenessMedium 21-10-2024 Analysis of the attack activities of the APT-C-35 organization against a manufacturing company in South Asia. 1. Analysis of attack activities. 1. Analysis of attack activities https://mp.weixin.qq.com/s/qCcu…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основной идеей текста является анализ недавней кибератаки, проведенной организацией APT-C-35 (также известной как Donot) против целей в Пакистане. Атака была связана с использованием вредоносных документов, уязвимостей и сложных методов, таких как выполнение многослойного шелл-кода и внедрение шаблонов, для кражи секретной информации. В анализе освещаются тактика, методы и процедуры APT-C-35, их история нападений на правительственные учреждения в Южной Азии, а также продолжающаяся эволюция и усложнение их киберопераций. Исследование было проведено Институтом перспективных исследований угроз 360, который специализируется на выявлении и устранении передовых киберугроз по всему миру и направлен на повышение осведомленности об угрозах, исходящих от таких организаций, как APT-C-35.
-----
В тексте обсуждается недавняя кибератака, проведенная группой, известной как APT-C-35 (организация Donot), против объектов в Пакистане. Атака была связана с использованием вредоносных документов и уязвимостей для загрузки новых компонентов .NET-атаки для секретных операций по краже. В ходе атаки использовались два основных метода: использование файлов-приманки с макросами для выполнения многоуровневого шелл-кода и загрузки вредоносных библиотек DLL, а также внедрение шаблонов для загрузки документов в формате RTF, содержащих уязвимости, которые запускают выпуск вредоносных библиотек DLL.
В одном случае был проанализирован макрос-образец, замаскированный под документ SOP, относящийся к бухгалтерскому учету пакистанской компании Shibli Electrics Limited. Этот макрос-образец включал этап проверки пароля перед выполнением ключевых функций, что указывает на потенциальный обход механизмов обнаружения в изолированной среде. За тот же период был обнаружен еще один набор вредоносных макродокументов, в которых отсутствовала проверка пароля. В этих документах для последующей загрузки библиотек DLL использовался другой шелл-код, основанный на системной архитектуре, с использованием шифрования, чтобы избежать обнаружения антивирусом. Шеллкод выполнял операции отрицания и исключения для самостоятельной расшифровки, динамически получал адреса функций API и извлекал URL-адреса для загрузки замаскированных файлов и вредоносной полезной нагрузки.
Было обнаружено, что активность атаки соответствует типичным тактикам, методам и процедурам (TTP) организации APT-C-35, включая сходство в процессах выполнения макрокода, использование определенных путей к файлам, таких как "%Roaming%\wingui.dll ," и последовательное восстановление первых 4 байт в библиотеках DLL, загруженных с помощью samples. Организация продемонстрировала тенденцию к постоянному обновлению и совершенствованию функциональных возможностей вредоносного кода, демонстрируя модульность своей работы. Атака была приписана организации APT-C-35 (Thinworm), которая с 2016 года проводит кибератаки против правительственных учреждений в Южной Азии, причем в последнее время частота и изощренность атак возросли.
Анализ был проведен 360 Advanced Threat Research Institute, специализированным подразделением 360 Government and Enterprise Security Group, в состав которого входят ведущие эксперты по безопасности. Институт специализируется на обнаружении, защите от киберугроз, смягчении их последствий и исследовании современных киберугроз по всему миру. У него есть опыт обнаружения и раскрытия значительных атак нулевого дня и деятельности организаций APT, что способствует усилиям по обеспечению национальной сетевой безопасности. Этот общий ответ направлен на повышение осведомленности о меняющемся ландшафте угроз, создаваемых такими организациями, как APT-C-35, и их постоянной атаке на конфиденциальную информацию в различных секторах.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основной идеей текста является анализ недавней кибератаки, проведенной организацией APT-C-35 (также известной как Donot) против целей в Пакистане. Атака была связана с использованием вредоносных документов, уязвимостей и сложных методов, таких как выполнение многослойного шелл-кода и внедрение шаблонов, для кражи секретной информации. В анализе освещаются тактика, методы и процедуры APT-C-35, их история нападений на правительственные учреждения в Южной Азии, а также продолжающаяся эволюция и усложнение их киберопераций. Исследование было проведено Институтом перспективных исследований угроз 360, который специализируется на выявлении и устранении передовых киберугроз по всему миру и направлен на повышение осведомленности об угрозах, исходящих от таких организаций, как APT-C-35.
-----
В тексте обсуждается недавняя кибератака, проведенная группой, известной как APT-C-35 (организация Donot), против объектов в Пакистане. Атака была связана с использованием вредоносных документов и уязвимостей для загрузки новых компонентов .NET-атаки для секретных операций по краже. В ходе атаки использовались два основных метода: использование файлов-приманки с макросами для выполнения многоуровневого шелл-кода и загрузки вредоносных библиотек DLL, а также внедрение шаблонов для загрузки документов в формате RTF, содержащих уязвимости, которые запускают выпуск вредоносных библиотек DLL.
В одном случае был проанализирован макрос-образец, замаскированный под документ SOP, относящийся к бухгалтерскому учету пакистанской компании Shibli Electrics Limited. Этот макрос-образец включал этап проверки пароля перед выполнением ключевых функций, что указывает на потенциальный обход механизмов обнаружения в изолированной среде. За тот же период был обнаружен еще один набор вредоносных макродокументов, в которых отсутствовала проверка пароля. В этих документах для последующей загрузки библиотек DLL использовался другой шелл-код, основанный на системной архитектуре, с использованием шифрования, чтобы избежать обнаружения антивирусом. Шеллкод выполнял операции отрицания и исключения для самостоятельной расшифровки, динамически получал адреса функций API и извлекал URL-адреса для загрузки замаскированных файлов и вредоносной полезной нагрузки.
Было обнаружено, что активность атаки соответствует типичным тактикам, методам и процедурам (TTP) организации APT-C-35, включая сходство в процессах выполнения макрокода, использование определенных путей к файлам, таких как "%Roaming%\wingui.dll ," и последовательное восстановление первых 4 байт в библиотеках DLL, загруженных с помощью samples. Организация продемонстрировала тенденцию к постоянному обновлению и совершенствованию функциональных возможностей вредоносного кода, демонстрируя модульность своей работы. Атака была приписана организации APT-C-35 (Thinworm), которая с 2016 года проводит кибератаки против правительственных учреждений в Южной Азии, причем в последнее время частота и изощренность атак возросли.
Анализ был проведен 360 Advanced Threat Research Institute, специализированным подразделением 360 Government and Enterprise Security Group, в состав которого входят ведущие эксперты по безопасности. Институт специализируется на обнаружении, защите от киберугроз, смягчении их последствий и исследовании современных киберугроз по всему миру. У него есть опыт обнаружения и раскрытия значительных атак нулевого дня и деятельности организаций APT, что способствует усилиям по обеспечению национальной сетевой безопасности. Этот общий ответ направлен на повышение осведомленности о меняющемся ландшафте угроз, создаваемых такими организациями, как APT-C-35, и их постоянной атаке на конфиденциальную информацию в различных секторах.
#ParsedReport #CompletenessMedium
21-10-2024
Unmasking Lumma Stealer : Analyzing Deceptive Tactics with Fake CAPTCHA
https://blog.qualys.com/vulnerabilities-threat-research/2024/10/20/unmasking-lumma-stealer-analyzing-deceptive-tactics-with-fake-captcha
Report completeness: Medium
Threats:
Lumma_stealer
Polyglot
Process_hollowing_technique
Process_injection_technique
TTPs:
Tactics: 4
Technics: 3
IOCs:
File: 10
Domain: 9
Hash: 14
IP: 2
Algorithms:
base64, zip, aes, cbc
Languages:
autoit, javascript, powershell
21-10-2024
Unmasking Lumma Stealer : Analyzing Deceptive Tactics with Fake CAPTCHA
https://blog.qualys.com/vulnerabilities-threat-research/2024/10/20/unmasking-lumma-stealer-analyzing-deceptive-tactics-with-fake-captcha
Report completeness: Medium
Threats:
Lumma_stealer
Polyglot
Process_hollowing_technique
Process_injection_technique
TTPs:
Tactics: 4
Technics: 3
IOCs:
File: 10
Domain: 9
Hash: 14
IP: 2
Algorithms:
base64, zip, aes, cbc
Languages:
autoit, javascript, powershell
Qualys
Unmasking Lumma Stealer: Analyzing Deceptive Tactics with Fake CAPTCHA | Qualys
Lumma Stealer is an information-stealing malware available through a Malware-as-a-Service (MaaS). It specializes in stealing sensitive data such as passwords, browser information…