#ParsedReport #CompletenessMedium
15-11-2024

Sailing Into Danger: DONOT APT s Attack on Maritime & Defense Manufacturing

https://cyble.com/blog/donots-attack-on-maritime-defense-manufacturing

Report completeness: Medium

Actors/Campaigns:
Donot

Victims:
Karachi shipyard & engineering works

Industry:
Military, Government, Maritime

Geo:
Asia, Pakistan

TTPs:
Tactics: 6
Technics: 10

IOCs:
File: 5
Url: 3
Domain: 2
Hash: 2

Soft:
Microsoft Office

Algorithms:
aes, xor, base64, exhibit, hmac, sha256

Languages:
powershell

Links:
https://github.com/CRIL-Threat-Intelligence/Sigma\_rules/blob/main/Detection%20of%20Suspicious%20PowerShell.exe%20Copy%20and%20Command%20Execution.txt
https://github.com/CRIL-Threat-Intelligence/Yara\_rules/blob/main/Donot\_APT.txt

#ParsedReport #ExtractedSchema

Classified images:
chart: 1, schema: 1, code: 6

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в киберкампании, нацеленной на промышленную промышленность Пакистана с целью поддержки морского и оборонного секторов, организованной APT group DONOT. Кампания включает в себя сложные методы, такие как использование замаскированных файлов LNK, команд PowerShell, методов шифрования и специальных отраслевых документов-приманок. Злоумышленники сосредотачиваются на сборе системной информации, использовании передовых коммуникационных стратегий и разработке своей тактики для доставки и поддержания полезной нагрузки, подчеркивая при этом важность эффективных мер кибербезопасности для противодействия таким угрозам, нацеленным на критически важные сектора.
-----

Анализ, проведенный Cyble Research and Intelligence Labs (CRIL), выявил киберкампанию, направленную против обрабатывающей промышленности Пакистана для поддержки морского и оборонного секторов, организованную группой APT, известной как DONOT (также известной как APT-C-35). У DONOT есть опыт атак на правительственные и военные объекты по всей Южной Азии. В этой кампании злоумышленники использовали сложный метод, используя вредоносный файл LNK, замаскированный под документ в формате RTF, содержащий зашифрованные данные. Файл LNK при запуске запускает серию команд с использованием PowerShell для доставки RTF-документа и полезной нагрузки. Чтобы обеспечить постоянство, вредоносная программа создает запланированную задачу, которая выполняется каждые пять минут. Связь с сервером управления (C&C) запутывается с помощью шифрования AES и кодирования Base64, чтобы избежать обнаружения.

Заметные изменения, наблюдаемые в этой кампании, включают в себя новый метод шифрования для передачи данных C&C, при котором ключ дешифрования для полезной нагрузки второго этапа теперь содержится в загруженном двоичном коде, а не в жестком коде. Злоумышленники собирают системную информацию перед отправкой конечной полезной нагрузки, чтобы определить ценность цели. Переменные среды используются для хранения важных сведений о конфигурации, таких как адреса C&C и информация о задачах.

Первоначальным источником заражения в этой кампании было использование замаскированного файла LNK, отправленного по электронной почте в виде спама в архиве RAR. После запуска файла LNK программа PowerShell запускает дополнительные команды, что приводит к установке более распространенного вредоносного ПО для сохранения. Интересным аспектом является включение специального документа, связанного с верфью и инженерными работами в Карачи, что указывает на особое внимание к отраслям, поддерживающим оборонный сектор в Пакистане.

Взаимодействие C&C включает в себя создание случайных доменов для серверов резервного копирования, что повышает уровень сложности и устойчивости к атаке. Вредоносное ПО использует методы шифрования для связи и доставки полезной нагрузки, при этом TA контролирует ключевые аспекты поведения вредоносного ПО с помощью расшифрованных данных конфигурации JSON, полученных с сервера C&C.

В случае успешного развертывания полезной нагрузки или сбоя вредоносная программа stager регистрирует подробную системную информацию, обменивается данными с сервером управления и контроля и сохраняет зашифрованные записи для соответствующих данных в переменных среды. Кампания демонстрирует эволюцию тактики, переходя от файлов Microsoft Office к файлам LNK в качестве основного источника заражения и внедряя усовершенствованные стратегии передачи данных и шифрования на различных этапах.

Использование динамической генерации доменов, обновленных методов шифрования и внедрение специальных отраслевых приманок подчеркивают передовой характер этой киберкампании. Анализ подчеркивает меняющийся ландшафт угроз, создаваемых APT-группами, такими как DONOT, и необходимость принятия строгих мер кибербезопасности для обнаружения и смягчения таких изощренных атак, нацеленных на критически важные секторы, такие как оборонная и морская промышленность.

#ParsedReport #CompletenessMedium
15-11-2024

Babble Babble Babble Babble Babble Babble BabbleLoader

https://intezer.com/blog/research/babble-babble-babble-babble-babble-babble-babbleloader

Report completeness: Medium

Threats:
Babbleloader
Junk_code_technique
Donut
Furtim
Raspberry_robin
Latrodectus
Whitesnake_stealer
Whitesnake
Meduza

Industry:
Entertainment, Financial

Geo:
Russian

ChatGPT TTPs:
do not use without manual check
T1027, T1106, T1140, T1036, T1055, T1082, T1573

IOCs:
Hash: 84
File: 3

Soft:
DirectX, Windows Defender

Algorithms:
xor

Functions:
GetDesc

Win API:
NtCreateSection, NtMapViewOfSection, NtUnmapViewOfSection, NtClose, NTQuerySystemInformation, RtlAllocateHeap, RtlFreeHeap, CreateDXGIFactory, GetProcAddress

Platforms:
intel

Links:
https://github.com/TheWover/donut
https://github.com/matinrco/tor

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте обсуждается эволюционирующий характер рынка обнаружения вредоносных программ в связи со все более уклончивыми и мощными программами, разрабатываемыми кибер-хакерами. В нем подчеркивается роль загрузчиков, в частности BabbleLoader, в операциях по борьбе с киберпреступностью, поскольку они доставляют вредоносные программы, такие как похитители информации и программы-вымогатели, обходя традиционную антивирусную защиту с помощью различных передовых методов. Функции BabbleLoader включают вставку нежелательного кода, метаморфические преобразования, динамическое разрешение API, меры по защите от "песочницы" и многое другое, все это предназначено для того, чтобы препятствовать обнаружению и анализу со стороны поставщиков средств безопасности. хакеры постоянно совершенствуют свои вредоносные программы с помощью нескольких уровней защиты, чтобы противостоять методам обнаружения, что приводит к непрекращающейся гонке вооружений между атакующими и защитниками в условиях киберугроз.
-----

Рынок обнаружения вредоносных программ развивается в связи со все более уклончивыми и мощными программами, разрабатываемыми кибер-хакерами.

Загрузчики играют решающую роль в операциях по борьбе с киберпреступностью, предоставляя вредоносные программы, такие как программы-похитители информации или программы-вымогатели, обходя традиционную антивирусную защиту с помощью таких методов, как выполнение в памяти и функции антианализа.

"BabbleLoader" - это чрезвычайно маневренный загрузчик с защитными механизмами, предназначенными для обхода антивирусных программ и изолированных сред, чтобы обеспечить проникновение злоумышленников в память.

Ключевые функции BabbleLoader включают вставку нежелательного кода, метаморфические преобразования, динамическое разрешение API, загрузку шеллкода и расшифровку, чтобы запутать полезную нагрузку и избежать обнаружения на основе сигнатур, искусственного интеллекта и поведения.

Включение нежелательного кода в BabbleLoader сбивает с толку аналитиков, перегружает инструменты дизассемблирования и декомпиляции, бросает вызов моделям искусственного интеллекта, что приводит к пропущенным обнаружениям, ложным срабатываниям и увеличению вычислительных и финансовых затрат на анализ с помощью искусственного интеллекта.

BabbleLoader использует методы защиты от "песочницы", такие как разрешение указателей для импорта, сравнение идентификатора поставщика с белым списком, проверка VDLL, запуск анализа процессов и загрузчик Donut для распаковки и выполнения окончательной полезной нагрузки, WhiteSnake stealer с уникальной связью C2 через TOR.

хакеры включают в свои сборки несколько уровней защиты, чтобы противостоять методам обнаружения, используемым поставщиками систем безопасности, что приводит к гонке вооружений между атакующими и защищающимися.

BabbleLoader нацелен на защиту от различных методов обнаружения за счет высоких затрат для поставщиков средств безопасности, используя передовые методы обхода, которые создают проблемы для точного обнаружения вредоносных программ в меняющемся ландшафте киберугроз.

#ParsedReport #CompletenessLow
16-11-2024

The latest Patchwork (White Elephant) Protego remote control Trojan will be unable to respond to subsequent remote control commands after receiving a remote control command

https://www.ctfiot.com/215643.html

Report completeness: Low

Actors/Campaigns:
Dropping_elephant

Threats:
Protego

IOCs:
Hash: 1

Soft:
WeChat

Algorithms:
base64, xor

Functions:
CreateThreadshellcode

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в анализе уязвимостей и недостатков в работе троянца Protego remote control, используемого APT-организацией Patchwork (White Elephant). Основные выводы включают логические ошибки, влияющие на команды удаленного управления, проблемы с шифрованием и передачей файлов, недостатки в функциональности команды enablecmd, использование объекта mutex для скрытности и сведения о языке программирования.
-----

В тексте обсуждаются результаты, связанные с троянцем Protego remote control, используемым организацией Patchwork (White Elephant) APT. Аналитик обнаружил множество логических ошибок в трояне, которые потенциально могут сделать его невосприимчивым к командам удаленного управления в будущем. Троянец выполняет алгоритм дешифрования для расшифровки шелл-кода из своего раздела, после чего запускает окончательный троян Protego remote control.

После запуска троянец Protego remote control создает мьютекс-объект, гарантирующий, что на хосте будет работать только один экземпляр, что повышает скрытность и возможности управления. После успешного онлайн-подключения к хосту загружается зашифрованная информация о хосте, включающая такие сведения о системе, как версия, имена хоста и пользователей, путь к троянской программе, IP-адрес, информация об антивирусном программном обеспечении и установленных программах.

Анализ также выявил недостаток в функциональности передачи файлов троянца. При загрузке указанного файла из контролируемой системы было отмечено, что переданный сжатый файл значительно превышает первоначальный размер. Процесс передачи данных включает в себя сегментацию, при этом троянец каждый раз считывает 1048576 байт данных, шифрует и отправляет их. Однако неэффективное тестирование передачи файлов, проведенное разработчиком, привело к аномальному сжатию, что привело к увеличению размера файла по сравнению с ожидаемым.

Кроме того, была выявлена проблема с функциональностью команды enablecmd. Было замечено, что выполнение этой команды не соответствует ее назначению. После выполнения троянец удаленного управления перестал отвечать на последующие команды удаленного управления от злоумышленника. Логика кода команды enablecmd нарушает поток ответов троянца на команды, что приводит к прекращению ответа после активации режима cmd.

Кроме того, анализ выявил, что язык программирования троянца Protego remote control - .NET, что очевидно при просмотре через модули обработки. Троянец использует методы извлечения памяти для идентификации и анализа присутствия троянца Protego remote control в PE-файле. Эти данные позволяют получить важнейшее представление об уязвимостях и недостатках в работе троянской программы дистанционного управления APT organization Patchwork (White Elephant).

#ParsedReport #CompletenessLow
16-11-2024

ShrinkLocker Ransomware Threatens Global Cybersecurity with BitLocker Exploit in 2024

https://www.secureblink.com/cyber-security-news/shrink-locker-ransomware-threatens-global-cybersecurity-with-bit-locker-exploit-in-2024

Report completeness: Low

Threats:
Shrinklocker
Supply_chain_technique
Chaos_ransomware

Victims:
Healthcare company

Industry:
Financial, Healthcare, Critical_infrastructure

Geo:
Middle east

ChatGPT TTPs:
do not use without manual check
T1222, T1218, T1021, T1021.001

Soft:
BitLocker, Active Directory, Active Directory Domain Services

Algorithms:
ecc, rsa-2048, ecdh

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что программа-вымогатель ShrinkLocker представляет собой серьезную угрозу кибербезопасности, которая использует уязвимость в шифровании BitLocker с использованием VBScript. Он отличается простотой и в то же время эффективностью, быстро распространяется по сетям и блокирует доступ пользователей к их системам до тех пор, пока не будет выплачен выкуп. Несмотря на то, что ShrinkLocker изначально создавался в безобидных целях, он подчеркивает снижение барьеров для проникновения вредоносных программ и важность проактивных средств кибербезопасности для защиты от таких угроз.
-----

Программа-вымогатель ShrinkLocker - это серьезная угроза кибербезопасности в 2024 году, которая использует уязвимость в шифровании BitLocker с использованием VBScript. Эта программа-вымогатель отличается тем, что использует более простые, но эффективные инструменты, используя шифрование BitLocker вместо более сложных методов, таких как ECC или RSA-2048. Используя существующие системные инструменты, ShrinkLocker уклоняется от обнаружения и принятия ответных мер. Он повторно шифрует диск жертвы, используя новый пароль, загруженный на сервер злоумышленника, эффективно блокируя доступ пользователей к их системам до тех пор, пока выкуп не будет выплачен. Примечательно, что ShrinkLocker может быстро распространяться по корпоративным сетям, используя объекты групповой политики и запланированные задачи для автоматизации команд шифрования, компрометируя целые домены в течение нескольких минут.

Более десяти лет назад ShrinkLocker был создан в благих целях и перепрофилирован киберпреступниками для использования его возможностей в злонамеренных целях. Несмотря на свою простоту, скорость распространения ShrinkLocker и возможность изменять настройки реестра и использовать BitLocker в своих целях, значительно снижают барьер для проникновения вредоносных программ. Дополнительный анализ атаки ShrinkLocker на медицинскую компанию на Ближнем Востоке выявил риски, связанные с уязвимостями цепочки поставок, горизонтальным перемещением внутри сетей и потенциальным воздействием на критически важные сектора.

Примечательно, что ShrinkLocker уникален среди программ-вымогателей, поскольку в нем было разработано решение для расшифровки, хотя и с ограничениями. Этот инструмент может восстанавливать данные в течение определенного периода времени после заражения, предоставляя пользователям редкую возможность восстановить свою зашифрованную информацию без уплаты выкупа. Для предотвращения атак ShrinkLocker требуется упреждающий мониторинг настроек BitLocker, хранение информации о восстановлении в AD DS и реализация комплексной стратегии защиты с использованием надежных мер безопасности, таких как брандмауэры, системы обнаружения вторжений и MFA.

Появление ShrinkLocker демонстрирует, что даже устаревшие технологии, такие как VBScript, могут быть использованы для проведения разрушительных кибератак. Понимая нетрадиционные угрозы, такие как ShrinkLocker, и готовясь к ним, организации могут лучше защищаться как от традиционных, так и от новых вариантов программ-вымогателей. Доступность инструмента расшифровки для ShrinkLocker дает жертвам проблеск надежды на фоне меняющегося ландшафта киберугроз, подчеркивая важность сохранения бдительности и проактивности в защите от кибербезопасности.

#ParsedReport #CompletenessHigh
15-11-2024

Bored BeaverTail & InvisibleFerret Yacht Club - A Lazarus Lure Pt.2

https://www.esentire.com/blog/bored-beavertail-invisibleferret-yacht-club-a-lazarus-lure-pt-2

Report completeness: High

Actors/Campaigns:
Lazarus
Contagious_interview

Threats:
Beavertail
Invisibleferret
Anydesk_tool
Typosquatting_technique
Msedge
Credential_stealing_technique

Victims:
Software developer

Industry:
Financial

Geo:
North korea, North korean

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1059.007, T1105, T1056.002, T1113, T1057, T1213, T1140, T1071, T1027, T1587.001, have more...

IOCs:
Domain: 2
Coin: 2
File: 6
IP: 33
Url: 48
Path: 3
Hash: 7

Soft:
Chrome, cURL, Linux, MacOS, Opera

Wallets:
metamask, tronlink, coin98, rabby, tonkeeper, exodus_wallet, openmask, safepal, mytonwallet, solflare_wallet, have more...

Crypto:
solana

Algorithms:
zip, base64, md5

Functions:
auto_up, act_win_pn, GetTextFromClipboard, save_log

Languages:
python, javascript

Platforms:
cross-platform

Links:
https://github.com/eSentire/iocs/blob/main/InvisibleFerret\_2/InvisibleFerret2\_iocs\_11-01-2024.txt

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - подробный анализ киберинцидента, проведенного подразделением eSentire Threat Response Unit (TRU), который включал распространение вредоносного ПО, замаскированного под проект на JavaScript, и его влияние на систему жертвы. Этот инцидент высветил тактику северокорейских хакеров и подчеркнул важность решений для обеспечения безопасности конечных точек, повышения осведомленности о безопасности и бдительности при взаимодействии с общедоступными хранилищами кода для снижения угрозы распространения вредоносного ПО.
-----

Инцидент был связан с вредоносными программами BeaverTail и InvisibleFerret, распространявшимися через NPM в октябре 2024 года.

Тактика, согласованная с северокорейскими хакерами, в частности с группой Contagious Interview group.

Вредоносный ZIP-файл, установленный в пакете NPM, запускает различные вредоносные действия, крадет учетные данные браузера и нацеливается на крипто-кошельки.

Компоненты вредоносного ПО включали в себя запутанный JavaScript-файл, инициирующий загрузку с сервера управления.

Файлы на Python содержали загрузчик и три полезные программы, выполняющие вредоносные действия, такие как снятие отпечатков пальцев с хоста, создание бэкдор-сессий, кейлоггинг и эксфильтрация файлов.

Для устранения угроз рекомендуются такие решения для обеспечения безопасности конечных точек, как EDR и тренинги по повышению осведомленности о безопасности.

Настоятельно рекомендуется соблюдать осторожность при взаимодействии с общедоступными хранилищами кода, чтобы предотвратить распространение вредоносного ПО.

Для принятия превентивных мер защиты подчеркивается важность отслеживания и идентификации хэшей файлов, связанных с вредоносными компонентами.

#ParsedReport #CompletenessMedium
18-11-2024

Glove Stealer: Leveraging IElevator to Bypass App-Bound Encryption & Steal Sensitive Data

https://www.gendigital.com/blog/insights/research/glove-stealer

Report completeness: Medium

Threats:
Glove_stealer
Clickfix_technique
Fakecaptcha_technique
Homoglyph_technique
Msedge

Industry:
Entertainment

ChatGPT TTPs:
do not use without manual check
T1059, T1071, T1005, T1560, T1140, T1074

IOCs:
File: 7
Url: 5
Path: 3
Hash: 3
Domain: 2

Soft:
Chrome, opera, chromium, CryptoTab, Firefox, Aegis, LastPass, Bitwarden, KeePass, Steam, have more...

Algorithms:
md5, 3des, base64, zip

Languages:
powershell

Links:
https://github.com/xaitax/Chrome-App-Bound-Encryption-Decryption
https://github.com/avast/ioc/tree/master/GloveStealer
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Glove Stealer - это сложный инструмент для кражи информации, предназначенный для извлечения конфиденциальных данных из различных источников, в первую очередь нацеленный на данные браузера, криптовалютные кошельки, аутентификаторы 2FA, менеджеры паролей, почтовые клиенты и другие ценные ресурсы. Этот инструмент использует тактику социальной инженерии, фишинговые электронные письма и методы обмана для заражения систем и передачи украденных данных на удаленные серверы. В нем подчеркивается важность осведомленности пользователей и надежных мер безопасности для предотвращения подобных угроз.
-----

Glove Stealer - это вредоносный инструмент для кражи информации, написанный на .NET и предназначенный для извлечения конфиденциальных данных из широкого спектра источников. В первую очередь он нацелен на данные браузера, включая файлы cookie и информацию об автозаполнении, а также на криптовалютные кошельки, средства аутентификации 2FA, менеджеры паролей, почтовые клиенты и другие ценные ресурсы. Одной из примечательных особенностей Glove Stealer является использование вспомогательного модуля, который позволяет обойти шифрование, связанное с приложением, с помощью сервиса IElevator.

При распространении Glove Stealer часто используются методы социальной инженерии, такие как имитация законных инструментов, таких как ClickFix, для обмана пользователей. Эти методы обычно приводят к тому, что пользователи неосознанно запускают вредоносные скрипты, копируя и вставляя их в терминалы PowerShell или запуская приглашения в системах Windows. В некоторых случаях для инициирования процесса заражения используются фишинговые электронные письма с HTML-вложениями, содержащими поддельные сообщения об ошибках.

После запуска Glove Stealer выдает поддельные сообщения терминала за подлинные, даже используя символы-аналоги для обфускации. Вредоносная программа взаимодействует с серверами управления (C&C), генерирует ключи шифрования "на лету" и отправляет украденные данные на удаленные серверы. Он ориентирован на различные браузеры и приложения, включая широкий спектр криптовалютных кошельков, средства аутентификации 2FA, менеджеры паролей, почтовые клиенты и игровые платформы.

Чтобы избежать шифрования, связанного с приложениями, в Chrome, Glove Stealer запрашивает полезную информацию .NET с C&C-сервера, которая расшифровывается и хранится локально для целей расшифровки. Этот вспомогательный модуль должен быть размещен в дереве каталогов Program Files в Chrome, для успешной работы ему требуются права локального администратора.

Таким образом, Glove Stealer - это сложный инструмент для кражи информации, который используется в недавних фишинговых кампаниях для сбора ценных данных из взломанных систем. Это подчеркивает важность осведомленности пользователей при распознавании и смягчении последствий атак социальной инженерии, а также необходимость принятия надежных мер безопасности для предотвращения компрометации конфиденциальной информации такими угрозами.

#ParsedReport #CompletenessLow
18-11-2024

QuickBooks popup scam still being delivered via Google ads

https://www.malwarebytes.com/blog/scams/2024/11/quickbooks-popup-scam-still-being-delivered-via-google-ads

Report completeness: Low

Threats:
Squiblydoo

Victims:
Quickbooks users

Geo:
India

ChatGPT TTPs:
do not use without manual check
T1059, T1204

IOCs:
File: 2
Domain: 1
Hash: 2

Soft:
QuickBooks

Algorithms:
base64

Functions:
MonitorAndShowForm, CheckTimeWindow

#ParsedReport #GeneratedSchema
Generated with GPT-4