#ParsedReport #ExtractedSchema

Classified images:
schema: 3, code: 4

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в подробном описании ElizaRAT, инструмента удаленного доступа для Windows, используемого организацией Transparent Tribe для проведения кампаний кибершпионажа, нацеленных на правительственные организации Индии, дипломатический персонал и военные объекты. В тексте обсуждается эволюция ElizaRAT, его методы распространения, коммуникации командования и контроля, характеристики в различных кампаниях, новые варианты, такие как Circle с расширенными возможностями уклонения, и дополнительные полезные функции, такие как ApoloStealer, extensionhelper_64.dll, и ConnectX.dll, используемые для кражи информации и вывода данных из игры.
-----

ElizaRAT, инструмент удаленного доступа для Windows (RAT), впервые представленный в сентябре 2023 года, используется злоумышленником Transparent Tribe, также известным как APT36. Эта группировка, базирующаяся в Пакистане, известна тем, что нацелена на правительственные организации Индии, дипломатический персонал и военные объекты с помощью кампаний кибершпионажа. Заражение ElizaRAT часто начинается с распространения CPL-файлов по ссылкам в Google Storage, что, вероятно, вызвано фишинговыми атаками. С течением времени вредоносная программа совершенствовала свои методы уклонения и методы коммуникации командования и контроля (C2).

В ходе различных кампаний, проводившихся с конца 2023 по начало 2024 года, было замечено, что ElizaRAT обладает отличительными особенностями, такими как написание на .NET, использование облачных сервисов, таких как Google, Telegram и Slack, для распространения и коммуникации C2, а также использование документов-приманок или видеороликов для заманивания жертв. SlackAPI.dll , вариант ElizaRAT, скомпилированный в 2023 году, использует каналы Slack в качестве своей инфраструктуры C2 и постоянно опрашивает канал в поисках новых команд. Кроме того, ApoloStealer, еще одна полезная нагрузка, развернутая Transparent Tribe, собирает и отправляет данные на сервер C2 в определенных кампаниях.

В более поздней кампании Circle, которая проводилась в январе 2024 года, был представлен новый вариант ElizaRAT с расширенными возможностями уклонения, использующий компонент dropper для снижения частоты обнаружения. В этой кампании не использовались облачные сервисы для инфраструктуры C2, а вместо этого использовался простой виртуальный частный сервер (VPS) для связи. Вариант Circle включал в себя такие функции, как регистрация жертв, проверка часовых поясов и связь с сервером C2 через определенные URL-адреса.

Кампания Circle также представила функцию "BringCircle", которая отвечает за распаковку вредоносной программы ElizaRAT из встроенного zip-файла. Вредоносная программа создала файл LNK для запуска, но не указала его использование. Кроме того, в рамках кампании ElizaRAT выполнялись стандартные проверки, регистрировались данные жертв и осуществлялся обмен данными с сервером C2 для получения команд. Полезная нагрузка в этой кампании была сосредоточена на загрузке определенных файлов и поддержании постоянства в скомпрометированных системах.

Более того, в различных кампаниях были замечены различные полезные приложения, такие как extensionhelper_64.dll и ConnectX.dll, которые действовали как похитители информации, нацеленные на сбор определенных типов файлов и их отправку на сервер C2. Эти полезные приложения хранили метаданные в базах данных SQLite, взаимодействовали с облачными сервисами для обмена данными и ориентировались на определенные расширения файлов на внешних дисках для сбора данных.

#technique

Storm-0978 использует новую технологию внедрения ядра «Step Bear

https://github.com/huoji120/APT_Step_Bear_Inject

Сама техника описана еще весной тут https://ti-qianxin-com.translate.goog/blog/articles/The-Nightmare-of-EDR-Storm-0978-Utilizing-New-Kernel-Injection-Technique-Step-Bear-CN/?_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=ru&_x_tr_pto=wapp&_x_tr_hist=true

Ну и так, немного по OSINT-у

Tracking the FBI’s Most Wanted: "RedLine" Info-Stealer Creator Maxim Rudometov

https://www.osinord.com/post/tracking-the-fbi-s-most-wanted-redline-info-stealer-creator-maxim-rudometov

#ParsedReport #CompletenessMedium
06-11-2024

Analyzing Cyber Reconnaissance Activities Behind APT37 Threats

https://www.genians.co.kr/blog/threat_intelligence/apt37_recon

Report completeness: Medium

Actors/Campaigns:
Scarcruft (motivation: cyber_espionage, cyber_terrorism)

Threats:
Rokrat
Spear-phishing_technique

Victims:
North korean human rights groups, Defectors, Reporters covering north korea, Experts, Professors

Industry:
Government, Education

Geo:
North korean, Usa, North korea, Korean, Korea, Gyeonggi-do

CVEs:
CVE-2022-41128 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows 10 1507 (<10.0.10240.19567)
- microsoft windows 10 1607 (<10.0.14393.5501)
- microsoft windows 10 1809 (<10.0.17763.3650)
- microsoft windows 10 20h2 (<10.0.19042.2251)
- microsoft windows 10 21h1 (<10.0.19043.2251)
have more...

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1003, T1036, T1204, T1566, T1140, T1082, T1059, T1190

IOCs:
File: 18
IP: 13
Domain: 3
Email: 5
Hash: 7

Soft:
Slack, Instagram, macOS, Gmail, Dropbox

Algorithms:
md5, base64, xor

Win API:
ShellExecuteW

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
windows: 3, code: 1, dump: 3, schema: 3, table: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основной идеей текста является анализ деятельности по киберразведке, проводимой поддерживаемой государством хакерской группой APT37, с акцентом на их тактику, такую как фишинговые атаки с использованием вредоносных файлов lnk, замаскированных под законные документы. Злоумышленники используют различные методы, включая тактику социальной инженерии и шифрование файлов, для борьбы с организациями в Южной Корее, особенно с теми, кто вовлечен в дела Северной Кореи. В тексте подчеркивается важность внедрения передовых технологий обнаружения угроз для усиления защиты от такой скрытой кибератаки.
-----

Анализ сосредоточен на деятельности в области киберразведки поддерживаемой государством хакерской группы APT37, известной тем, что она занимается кибершпионажем, нацеленным в первую очередь на организации в Южной Корее, такие как северокорейские правозащитные группы, перебежчиков, репортеров, освещающих Северную Корею, экспертов в различных смежных областях и профессоров в таких областях, как объединение и национальная оборона, иностранные дела и безопасность в Северной Корее. Группа использует различные тактические приемы, одним из которых является использование вредоносных файлов lnk в качестве основной стратегии.

В одном случае, обнаруженном в апреле, злоумышленники замаскировали атаку под электронное письмо, якобы отправленное университетским профессором с государственным образованием, содержащее документ под названием "Северная Корея Trends.docx". Распространение вредоносного файла было замаскировано под обычный документ, прикрепленный к электронному письму, отправленному с домена, похожего на сайт внутреннего портала. Вредоносный файл "North Korea Trends.lnk" использовал команду PowerShell для обмана пользователей, скрывая вредоносный модуль RoKRAT внутри файла lnk с помощью шифрования с помощью логики XOR. Модуль RoKRAT, распространяемый в различных файлах lnk, выполнял команды для управления целевой системой и манипулирования ею, такие как сбор файлов и передача их на сервер C2.

После фишинговой атаки spear в апреле были замечены последующие разведывательные действия, связанные с электронными письмами различного содержания, такими как кибертерроризм и похищение гражданских лиц Северной Кореей. Эти действия были направлены на сбор информации, необходимой для проникновения, иногда с использованием вложений или сокращенных URL-адресов для поиска целей. Злоумышленники предприняли целенаправленные усилия по снижению уровня подозрительности, включив обычный контент в дополнение к вредоносным файлам, продемонстрировав сложный подход к разведке и тактике социальной инженерии.

Злоумышленники использовали различные методы для сокрытия своей деятельности, такие как использование IP-адресов VPN и разных имен файлов для сокрытия своих вредоносных намерений. Кроме того, они выдавали себя за таких людей, как бывшие правительственные чиновники, журналисты и эксперты по делам Северной Кореи, чтобы повысить достоверность своих попыток фишинга. Проведенный анализ подчеркивает важность внедрения решений для обнаружения аномального поведения и реагирования на него, таких как активное внедрение Genian EDR, для повышения безопасности терминалов и эффективного противодействия такой скрытой деятельности в области киберразведки.

Перед лицом растущих киберугроз, исходящих от спонсируемых государством хакерских группировок, таких как APT37, организациям важно усилить свою защиту, используя передовые технологии обнаружения угроз, способные выявлять изощренные атаки и смягчать их последствия. Такие решения, как Genian EDR, оказываются полезными при обнаружении и реагировании на вредоносные программы без использования файлов и облачные коммуникации C2, обеспечивая дополнительный уровень защиты от APT-атак. Тщательно отслеживая доступ к вредоносным файлам и выявляя ненормальное поведение, организации могут повысить свою киберустойчивость и активно реагировать на возникающие угрозы.

#ParsedReport #CompletenessHigh
05-11-2024

Venture Wolf attempts to disrupt Russian businesses with MetaStealer

https://bi.zone/eng/expertise/blog/venture-wolf-ispolzuet-metastealer-v-atakakh-na-rossiyskie-kompanii

Report completeness: High

Actors/Campaigns:
Venture_wolf

Threats:
Meta_stealer
Themida_tool
Vmprotect_tool
Redline_stealer
Process_injection_technique

Industry:
Telco, Financial

Geo:
Chinese, Russian

TTPs:
Tactics: 8
Technics: 0

IOCs:
Hash: 15
IP: 5
File: 5
Url: 1

Soft:
Chromium, Google Chrome, Opera, CentBrowser, Chedot, Vivaldi, Kometa, Yandex Browser, Mozilla Firefox, Mozilla Thunderbird, Steam, have more...

Wallets:
electrum, exodus_wallet

Crypto:
bitcoin

Algorithms:
rc4, zip

Win API:
CreateProcessW, VirtualAllocEx, WriteProcessMemory, ResumeThread

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что BI выявила новый кластер угроз под названием Venture Wolf, которая распространяет вредоносное ПО MetaStealer на целевые системы в различных отраслях промышленности. Эта вредоносная программа известна своей эффективностью при краже данных, а тактика Venture Wolf заключается в использовании нескольких загрузчиков с изощренными методами внедрения. Кроме того, в тексте подчеркивается отсутствие ограничений на использование российских компаний, что делает эти вредоносные действия более привлекательными для участников угроз.
-----

BI.ZONE Threat Intelligence выявила новый кластер угроз под названием Venture Wolf, который, как выяснилось, действует с ноября 2023 года. Этот кластер использует несколько загрузчиков для распространения вредоносного ПО MetaStealer на целевые системы в различных отраслях, таких как производство, строительство, информационные технологии и телекоммуникации. MetaStealer относится к категории вредоносных программ-похитителей, которые пользуются популярностью у злоумышленников из-за своей эффективности в краже данных. Примечательно, что некоторые вредоносные программы, в том числе MetaStealer, не имеют ограничений на их использование против российских компаний, что повышает их привлекательность для злоумышленников.

Принцип работы Venture Wolf заключается в распространении архивов, содержащих загрузчики с расширениями .com или .exe, а также фишинговые документы. При запуске загрузчик либо создает фиктивный .NET-файл для внедрения вредоносной полезной нагрузки, либо внедряет его в процесс RegAsm.exe. Эти загрузчики упакованы в виде переносимых исполняемых файлов (PE) с запутанным кодом и зашифрованными именами функций WinAPI для вредоносных программ. В зависимости от типа загрузчика полезная нагрузка и фиктивный файл шифруются с использованием RC4 и хранятся в теле загрузчика.

Некоторые загрузчики вводят вредоносную полезную нагрузку в приостановленный процесс фиктивного файла .NET, в то время как другие вводят ее напрямую в RegAsm.exe. Расшифрованная полезная нагрузка вводится с использованием различных этапов, включая создание процесса в приостановленном режиме, выделение памяти, запись данных полезной нагрузки и манипулирование контекстом потока для выполнения полезной нагрузки. Кроме того, было замечено, что компания Venture Wolf использует такие средства защиты, как Enigma, VMProtect и Themida, для загрузочных секций.

MetaStealer, написанный на C#, идентифицируется как ответвление RedLine stealer, отличающееся отсутствием ограничений на таргетинг на организации из России и других стран СНГ. Кроме того, Venture Wolf использует .NET Reactor protector для маскировки кода MetaStealer, что затрудняет его обнаружение и анализ.

#ParsedReport #CompletenessHigh
06-11-2024

Bengal cat lovers in Australia get psspsspss d in Google-driven Gootloader campaign

https://news.sophos.com/en-us/2024/11/06/bengal-cat-lovers-in-australia-get-psspsspssd-in-google-driven-gootloader-campaign

Report completeness: High

Threats:
Gootkit
Seo_poisoning_technique
Revil
Cobalt_strike
Process_hacker_tool
Raccoon_stealer

Industry:
Financial, Aerospace

Geo:
Australia

TTPs:
Tactics: 14
Technics: 8

IOCs:
Url: 13
Path: 7
File: 12
Hash: 4

Soft:
Sysinternals

Algorithms:
sha256, zip, base64

Functions:
CreateFile

Languages:
python, powershell, cscript, php, javascript

Links:
https://github.com/mandiant/gootloader/blob/main/GootLoaderAutoJsDecode.py
https://github.com/sophoslabs/IoCs/blob/master/gootloader\_cats\_iocs.csv

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что GootLoader, ранее ассоциировавшийся с известными киберпреступными группировками, превратился в платформу для предоставления услуг начального доступа, использующую поисковую оптимизацию (SEO) для доставки вредоносных полезных данных. Вредоносная программа может использовать возможности для кражи информации, инструменты для последующей эксплуатации и программы-вымогатели, что в конечном итоге способствует сохранению в сетях жертв. Недавно был обнаружен вариант GootLoader, что привело к проведению подробной кампании по поиску угроз для выявления технических деталей процесса атаки и используемых сложных методов обфускации. Анализ показывает сложное поведение вредоносного ПО, включая установление связи с вредоносными доменами и потенциальную утечку конфиденциальной информации. Меняющаяся тактика злоумышленников подчеркивает важность проактивного поиска угроз для обнаружения и устранения таких сложных угроз.
-----

GootLoader превратился в сервисную платформу начального доступа, связанную с программами-вымогателями REvil и банковским трояном Gootkit, что облегчает развертывание программ-вымогателей и инструментов для последующей эксплуатации.

GootLoader использует методы поисковой оптимизации (SEO), чтобы заставить жертв переходить по вредоносному контенту, обеспечивая доступ к скомпрометированным веб-сайтам, на которых размещена вредоносная полезная нагрузка.

Недавно был обнаружен вариант GootLoader, использующий SEO-оптимизацию, связанную с конкретными темами, такими как бенгальские кошки в Австралии.

Sophos X-Ops MDR провела кампанию по поиску угроз, в ходе которой были раскрыты технические подробности кампании GootLoader.

Анализ вредоносных файлов выявил сложные методы обфускации в образцах GootLoader, включая сильно запутанный код и вводящие в заблуждение комментарии к лицензии.

Вредоносная программа демонстрировала многоэтапные процессы, используя для выполнения специальные инструменты командной строки, такие как WScript.exe и CScript.exe, а также потенциальные механизмы сохранения в системе.

Динамический анализ показал, что вредоносный JavaScript создает файлы и процессы, устанавливает связь с вредоносными доменами и потенциально выводит конфиденциальную информацию.

Инструменты сетевого мониторинга, такие как Wireshark и FakeNet, использовались для выявления передачи информации в кодировке base64 во внешние домены, что создавало значительную угрозу безопасности.

GootLoader является частью тенденции в области доставки вредоносных программ как услуги с использованием манипуляций с поисковыми системами, подчеркивающей важность упреждающего поиска угроз и бдительности в отношении подозрительных результатов поиска и рекламы.

#ParsedReport #CompletenessLow
06-11-2024

Recent Keylogger Attributed to North Korean Group Andariel Analyzed Through A Hybrid Analysis Perspective

https://hybrid-analysis.blogspot.com/2024/11/recent-keylogger-attributed-to-north.html

Report completeness: Low

Actors/Campaigns:
Andariel

Threats:
Junk_code_technique

Geo:
North korean, North korea

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1056, T1027

IOCs:
File: 2
Hash: 1

Soft:
Twitter

Algorithms:
zip

Win API:
ReadFile, SetErrorMode, RegCreateKeyExW, RegSetValueExW, SetWindowsHookExW, GetMessageW, GetLocalTime, SystemTimeToFileTime, GetKeyboardLayout, ToUnicode, have more...

Links:
https://github.com/killswitch-GUI/SetWindowsHookEx-Keylogger/blob/master/SetWindowsHookEx-Keylogger/SetWindowsHookEx-Keylogger/SetWindowsHookEx-Keylogger.cpp
https://github.com/hasherezade/pe-sieve

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что новый продвинутый северокорейский кейлоггер, приписываемый группе Andariel, представляет серьезную киберугрозу благодаря своим сложным возможностям и методам антианализа, таким как обфускация кода и установка глобальных перехватчиков Windows. Кейлоггер связан с целенаправленными атаками на организации в США и был обнаружен в результате детального анализа, в частности, гибридного анализа, который предоставляет ценную информацию для охотников за угрозами, аналитиков и исследователей для усиления защиты кибербезопасности от возникающих угроз.
-----

Подробное техническое описание нового северокорейского кейлоггера, принадлежащего группе Andariel (также известного как APT45, Silent Chollima или Onyx Sleet), раскрывает его расширенные возможности и сложные методы антианализа. Этот кейлоггер был связан с целенаправленными атаками на организации в США, что свидетельствует о серьезной киберугрозе.

Кейлоггер регистрирует нажатия клавиш и действия мыши, сохраняя захваченные данные в защищенном паролем зашифрованном архиве. Использование нежелательного кода в качестве средства защиты от анализа направлено на то, чтобы запутать процесс выполнения программы и усложнить анализ вредоносных программ. Используя методы обфускации кода, кейлоггер препятствует усилиям исследователей в области безопасности по обнаружению и анализу.

Одной из примечательных особенностей вредоносной программы является ее способность устанавливать глобальный перехват Windows для перехвата нажатий клавиш и событий, происходящих с мышью. Этот метод позволяет кейлоггеру захватывать конфиденциальную информацию, отслеживая события ввода с клавиатуры низкого уровня и извлекая текст из окна переднего плана при обнаружении новых нажатий клавиш или событий мыши. Механизм сохранения и создания файлов для хранения журналов также раскрывается с помощью анализа, что дает ценную информацию для охотников за угрозами, аналитиков и исследователей.

Гибридный анализ сыграл решающую роль в раскрытии функциональных возможностей и поведения кейлоггера. Выявляя вызовы API, используемые для установки перехватывающих процедур, и строки, указывающие на активность кейлоггера, гибридный анализ предлагает подробный и структурированный отчет, который помогает лучше понять угрозу. Эта платформа служит бесценным инструментом для анализа как сложных, так и более распространенных вредоносных программ, предлагая богатый контекст и информацию, которые могут быть дополнительно исследованы в ходе динамического анализа вредоносных программ.

Для тех, кто заинтересован в проведении более глубокого анализа образцов вредоносных программ, Hybrid Analysis предоставляет возможность загрузить образцы, зарегистрировав учетную запись. Этот доступ позволяет пользователям глубже разобраться в работе кейлоггера и другого вредоносного программного обеспечения, что позволяет им усилить свою защиту от кибербезопасности и эффективно реагировать на возникающие киберугрозы.

#ParsedReport #CompletenessHigh
05-11-2024

Ngioweb Remains Active 7 Years Later

https://levelblue.com/blogs/labs-research/ngioweb-remains-active-7-years-later

Report completeness: High

Actors/Campaigns:
Fancy_bear

Threats:
Ngioweb
Residential_proxy_technique
Ramnit

Victims:
Residential isp users, Linear emerge, Zyxel routers, Neato vacuums, Reolink, Comtrend routers, Nuuo network video recorder, Hikvision

Industry:
Telco, Healthcare, Government, Iot, Financial

Geo:
Oceania, Asia, Australia, Canadian, Japan, India, Canada

CVEs:
CVE-2019-7256 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- nortekcontrol linear emerge essential firmware (le1.00-06)

CVE-2023-28769 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- zyxel dx5401-b0 firmware (<5.17\(abyo.1\)c0)

CVE-2023-28770 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- zyxel dx5401-b0 firmware (<5.17\(abyo.1\)c0)

CVE-2022-45440 [Vulners]
CVSS V3.1: 4.4,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- zyxel ax7501-b0 firmware (<5.17\(abpc.3\)c0)


TTPs:
Tactics: 7
Technics: 15

IOCs:
Hash: 2
File: 5
IP: 4
Domain: 5

Soft:
Zyxel, EdgeOS, curl, Linux

Crypto:
bitcoin, litecoin

Algorithms:
md5, zip, sha256, base64

Languages:
php

Platforms:
x64

#ParsedReport #GeneratedSchema
Generated with GPT-4