#ParsedReport #CompletenessMedium
19-11-2024

One Sock Fits All: The use and abuse of the NSOCKS botnet

https://blog.lumen.com/one-sock-fits-all-the-use-and-abuse-of-the-nsocks-botnet

Report completeness: Medium

Actors/Campaigns:
0ktapus
Fancy_bear

Threats:
Nsocks_tool
Ngioweb
Bandit_stealer
Truesocks_tool
Agent_tesla
Password_spray_technique
Limpopo_ransomware

Industry:
Iot

ChatGPT TTPs:
do not use without manual check
T1090, T1568, T1095, T1498, T1071, T1203

IOCs:
IP: 2
Hash: 1
File: 1
Domain: 3

Soft:
Twitter, gatekeepers, Zyxel

Algorithms:
md5, base64

Platforms:
arm

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, dump: 4, code: 3, chart: 1, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в исследовании ботнета ngioweb, проведенного командой Black Lotus Labs в Lumen Technologies, и его связи с криминальным прокси-сервисом NSOCKS. В тексте описывается, как работает инфраструктура ботнетов, как используется криминальный прокси-сервис и взаимосвязь различных видов преступной деятельности. В нем также подчеркиваются риски, связанные с прокси-ботнетами, которые обеспечивают анонимность, способствуют преступной деятельности и создают проблемы кибербезопасности, требующие активных защитных мер.
-----

Команда Black Lotus Labs из Lumen Technologies провела обширное исследование ботнета ngioweb и его роли в обеспечении работы криминального прокси-сервиса NSOCKS. NSOCKS - это широко используемый криминальный прокси-сервер с более чем 35 000 ежедневных ботов, распространяющихся по 180 странам, в основном из ботнета ngioweb, который использует маршрутизаторы small office/home office (SOHO) и устройства Интернета вещей. Инфраструктура ботнета включает в себя активные и архивные узлы управления (C2), которые скрывают истинную личность пользователей и поддерживают различные вредоносные действия, включая запуск мощных DDoS-атак.

Криминальный прокси-сервис NSOCKS предлагает клиентам возможность проксировать вредоносный трафик, но также используется для таких целей, как обфускация вредоносного трафика, утечка учетных данных и фишинг. NSOCKS использует сеть узлов C2 "backconnect" для прокси-трафика, в которой более 180 узлов служат точками входа и выхода. Ботнет ngioweb состоит из двух отдельных элементов - сети загрузчиков, которая извлекает и запускает вредоносное ПО, и набора доменов C2, управляемых алгоритмом генерации доменов. Ботнет использует множество эксплойтов, нацеленных на уязвимые библиотеки веб-приложений и модели маршрутизаторов, но, похоже, не использует эксплойты нулевого дня.

Примечательно, что NSOCKS взаимодействует с другими видами преступной деятельности, такими как Shopsocks5 и VN5Socks, распространяя свое влияние не только на прокси-сервисы. Взаимосвязанность этих сетей представляет значительную угрозу для законных организаций в Интернете. Многие боты NSOCKS также используются другими вредоносными группами, что позволяет предположить, что зараженные устройства могут быть доступны нескольким хакерам одновременно.

В исследовании подчеркиваются риски, связанные с прокси-ботнетами, особенно связанные с обеспечением анонимности и содействием преступной деятельности, такой как мошенничество, спам и фишинг. Сервис NSOCKS предлагает пользователям возможность приобретать прокси-серверы на определенный срок, ориентируясь на объекты в США и позволяя фильтровать вредоносные действия по доменам. Архитектура NSOCKS, характеризующаяся большим уровнем backconnect C2s, не только подключает пользователей к прокси-сервису, но и выявляет уязвимости, которые могут быть использованы злоумышленниками, включая DDoS-атаки.

Растущая популярность прокси-ботнетов представляет серьезную проблему для кибербезопасности, поскольку они предоставляют хакерам скрытые средства для осуществления вредоносных действий, избегая при этом обнаружения. Возможности прокси-ботнетов, таких как NSOCKS, выходят за рамки обычной киберпреступности, позволяя проводить скоординированные атаки и повышая изощренность вредоносных действий. Защита от этих угроз требует принятия упреждающих мер, таких как блокирование индикаторов компрометации (IOCs) и защита облачных ресурсов от потенциальных атак, организованных через прокси-ботнеты.

#ParsedReport #CompletenessHigh
19-11-2024

Unraveling Raspberry Robin's Layers: Analyzing Obfuscation Techniques and Core Mechanisms

https://www.zscaler.com/blogs/security-research/unraveling-raspberry-robin-s-layers-analyzing-obfuscation-techniques-and

Report completeness: High

Threats:
Raspberry_robin
Rapsberry_robin
Bumblebee
Inline_hooking_technique
Sandbox_evasion_technique
Bogus_control_technique
Paexec_tool
Psexec_tool
Uac_bypass_technique
Fodhelper_technique
Donut

Geo:
Pol

CVEs:
CVE-2021-31969 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows 10 (20h2, 21h1, 1909, 2004)
- microsoft windows server 2016 (20h2, 2004)
- microsoft windows server 2019 (-)

CVE-2024-26229 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1091, T1027, T1055, T1018, T1005, T1106, T1033, T1060

IOCs:
File: 19
Command: 2
Registry: 1
Hash: 3
Url: 59

Soft:
Microsoft Office, Microsoft Windows Defender, Windows registry, Windows Defender, PsExec, Windows firewall

Algorithms:
rc4, aes-ctr, prng, base64, crc-64, crc-32, xor

Functions:
switch_gs_value

Win API:
NtGlobalFlag, KdDebuggerEnabled, MulDiv, DbgElevationEnabled, DbgBreakPoint, NtQueryObject, ZwRestoreKey, GetSystemMetrics, ShellExecuteEx, NtWow64ReadVirtualMemory64, have more...

Languages:
python, java

Platforms:
x64

Links:
have more...
https://github.com/mrphrazer/msynth
https://github.com/ThreatLabz/tools/blob/main/raspberry\_robin/anti\_analysis.cpp
https://github.com/DenuvoSoftwareSolutions/SiMBA

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея заключается в том, что Raspberry Robin - это сложная и стойкая вредоносная программа, обнаруженная в 2021 году, которая распространяется через зараженные USB-устройства. Она использует уникальные методы двоичной обфускации, методы антианализа и эксплойты для повышения привилегий и использовалась хакерами для развертывания других семейств вредоносных программ. Raspberry Robin шифрует данные, обменивается данными через сеть TOR, распространяется по сетям с использованием законных инструментов и использует различные методы обфускации и уклонения, чтобы избежать обнаружения и анализа.
-----

Raspberry Robin, также известный как Roshtyak, - это вредоносный загрузчик, обнаруженный в 2021 году, который уже несколько лет циркулирует в дикой природе, в основном распространяясь через зараженные USB-устройства. Raspberry Robin выделяется своими уникальными методами бинарной обфускации, широким использованием методов антианализа и набором эксплойтов для повышения привилегий. Эта вредоносная программа использовалась различными хакерами для развертывания других семейств вредоносных программ, таких как Bumblebee.

Raspberry Robin использует ряд методов противодействия анализу, чтобы избежать обнаружения. При обнаружении среды анализа он запускает ложную информацию и использует несколько уровней кода с использованием методов обфускации, таких как сглаживание потока управления и смешанная логико-арифметическая (MBA) обфускация. Он взаимодействует со своими серверами управления (C2) через сеть TOR и использует низкоуровневые API операционной системы Windows. Вредоносное ПО способно распространяться по сетям.

Функциональность Raspberry Robin представлена на трех ключевых уровнях, каждый из которых содержит различные методы антианализа. Он использует различные методы для обнаружения сред эмуляции и анализа, обновляя блок Process Environment, чтобы отметить любой обнаруженный метод антианализа. Вредоносная программа также использует методы обфускации, такие как сглаживание потока управления, обфускация строк и смешанные логически-арифметические операции.

Raspberry Robin шифрует данные, используя такие алгоритмы, как RC4 и RSA, при этом ключ шифрования берется из конкретной системной информации. Он использует реестр Windows для сохранения на скомпрометированных хостах и манипулирует данными реестра, чтобы избежать обнаружения. Вредоносная программа использует такие методы, как добавление ненужных данных, случайные смещения и отключение отчетов о сбоях, чтобы избежать анализа.

Интересной особенностью Raspberry Robin является его способность распространяться в сетях Windows с помощью законных инструментов, таких как PsExec и PAExec. Он создает пути к файлам, копирует себя в целевые каталоги и выполняет итерацию сетевых дисков для распространения. Вредоносная программа гарантирует, что пользователь получит права администратора перед выполнением процесса распространения, и создает списки исключений для продуктов безопасности, чтобы избежать обнаружения.

Raspberry Robin использует методы обхода контроля учетных записей и эксплойты локального повышения привилегий для повышения своих привилегий на скомпрометированных хостах. Перед выбором метода повышения прав он проверяет различные условия и запускает вредоносные файлы с помощью законных приложений Windows. Вредоносная программа использует эксплойты типа CVE-2024-26229 и CVE-2021-31969, расшифрованные во время выполнения, для компрометации систем.

Основная задача Raspberry Robin - загружать и выполнять полезную нагрузку на скомпрометированных хостах. Он проверяет подключение к сети TOR, шифрует данные, внедряет код в процессы и взаимодействует с серверами ЧПУ. Вредоносная программа собирает обширную системную информацию и использует такие методы шифрования, как RC4 и AES-CTR, для защиты данных.

#ParsedReport #CompletenessLow
19-11-2024

XenoRAT Adopts Excel XLL Files and ConfuserEx as Access Method

https://hunt.io/blog/xenorat-excel-xll-confuserex-as-access-method

Report completeness: Low

Actors/Campaigns:
Uat-5394

Threats:
Xenorat
Confuserex_tool
Spear-phishing_technique

Geo:
North korean, Spanish, Bulgaria

ChatGPT TTPs:
do not use without manual check
T1203, T1140, T1027, T1071, T1204

IOCs:
File: 3
IP: 2
Hash: 7

Algorithms:
zip, sha256

Links:
https://github.com/moom825/xeno-rat

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что исследователи обнаружили, что образец XenoRAT доставлялся новым, нетрадиционным способом через XLL-файл Excel, защищенный ConfuserEx, что указывает на изменение тактики, направленной на корпоративные сети, а не на отдельных пользователей. При внедрении вредоносного ПО использовались различные приманки и уровни обфускации, что продемонстрировало адаптивность злоумышленников и подчеркнуло необходимость обновления защитниками механизмов обнаружения для противодействия развивающимся угрозам.
-----

Исследователи из Hunt обнаружили образец XenoRAT, который был доставлен нетрадиционным способом с использованием файла Excel XLL, созданного с помощью Excel-DNA framework и защищенного ConfuserEx. Этот отход от типичных методов доставки XenoRAT, известного тем, что он нацелен на геймеров и выдает себя за легальное программное обеспечение, указывает на изменение тактики. Вредоносное ПО, замаскированное под файл с именем "Платежные реквизиты", намекает на то, что оно нацелено на получение доступа к корпоративным сетям, а не к отдельным пользователям.

XenoRAT - это RAT с открытым исходным кодом, написанный на C# и размещенный на GitHub, что делает его широко доступным для использования злоумышленниками в различных кампаниях. Несмотря на то, что XenoRAT обычно нацелен на геймеров с помощью подводной охоты и загрузки поддельного программного обеспечения, этот вариант развертывания XenoRAT отличается новым способом доставки. В файле dropper "Payment_Details.xll" используется XenoRAT и дополнительный инструмент удаленного доступа. Платформа Excel-DNA позволяет авторам вредоносных программ загружать вредоносные файлы в память, в то время как поддельный PDF-файл с именем "Pago.pdf" создает иллюзию законной финансовой транзакции, чтобы обмануть пользователя.

Дальнейший анализ образца вредоносного ПО выявил дополнительный исполняемый файл "Original.exe", который был идентифицирован как полезная нагрузка XenoRAT. Изучив конфигурацию XenoRAT в dnSpy, исследователи обнаружили, что адрес сервера управления (C2) жестко закодирован в вредоносном ПО. Сервер C2, расположенный по IP-адресу 87.120.116.115 и осуществляющий связь через TCP-порт 1391, размещен в ASN 401115 (EKABI) в Болгарии, что ограничивает возможности отслеживания дополнительной инфраструктуры, связанной с этой операцией.

Стратегическое внедрение XenoRAT в данном случае предполагало включение уровней доставки Excel XLL и обфускации с использованием таких инструментов, как Excel-DNA и ConfuserEx. Используя легальное программное обеспечение и вредоносные программы с открытым исходным кодом, злоумышленники продемонстрировали адаптивность вредоносных действий, интегрированных в привычные типы файлов и инструменты. Этот сдвиг в тактике подчеркивает важность того, чтобы защитники сохраняли бдительность и обновляли свои механизмы обнаружения для противодействия развивающимся угрозам, таким как эта модифицированная версия XenoRAT, нацеленная на корпоративные сети.

#ParsedReport #CompletenessLow
20-11-2024

Python NodeStealer Targets Facebook Ads Manager with New Techniques

https://www.netskope.com/blog/python-nodestealer-targets-facebook-ads-manager-with-new-techniques

Report completeness: Low

Threats:
Nodestealer
Junk_code_technique
Lolbin_technique

Victims:
Facebook business accounts, Facebook ads manager accounts

Geo:
Vietnamese, Vietnam

ChatGPT TTPs:
do not use without manual check
T1555.003, T1071.001, T1564.001, T1218, T1105

IOCs:
File: 2

Soft:
Telegram, Instagram

Algorithms:
exhibit, zip

Win API:
LoadLibrary, RmShutdown

Languages:
powershell, python

Links:
https://github.com/netskopeoss/NetskopeThreatLabsIOCs/blob/main/Malware/Python%20Nodestealer/IOCs/2024-11-19/README.md

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении и анализе программы-инфокрадчика NodeStealer, работающей на Python и нацеленной на бизнес-аккаунты Facebook. Вредоносная программа предназначена для сбора различных учетных данных, включая данные для входа в Facebook и cookie-файлы, а также информацию о кредитной карте. Вредоносная программа продолжает развиваться, предлагая новые возможности и методы, такие как таргетинг на аккаунты Facebook Ads Manager и использование различных тактик уклонения, чтобы избежать обнаружения. Кроме того, образцы NodeStealer используют Telegram для извлечения украденных данных, включая учетные данные и данные о жертвах.
-----

В сентябре 2024 года Netskope Threat Labs обнаружила программу NodeStealer, работающую на Python и предназначенную для взлома бизнес-аккаунтов Facebook.

NodeStealer предназначен для сбора регистрационных данных Facebook, данных файлов cookie, а теперь и сведений о бюджете из аккаунтов Facebook Ads Manager.

Вредоносная программа имеет множество вариантов с расширяющимися возможностями, включая возможность кражи информации о кредитных картах.

NodeStealer использует такие методы, как использование диспетчера перезапуска Windows, для разблокировки файлов базы данных браузера и обеспечения скрытности во время операций.

Некоторые образцы NodeStealer содержат вьетнамские строки, что позволяет сосредоточиться на целях за пределами Вьетнама, чтобы избежать юридических последствий.

Вредоносная программа может извлекать информацию о кредитных картах, получая доступ к базам данных браузера с помощью библиотеки Python SQLite3.

Варианты NodeStealer имеют усовершенствованные механизмы сохранения, использующие реестр ключей запуска текущего пользователя для запуска Python через Powershell.

Нежелательный код используется в некоторых версиях NodeStealer, чтобы скрыть вредоносную полезную нагрузку и избежать обнаружения.

В одном варианте используется пакетный файл для встраивания всей полезной нагрузки и выполнения скрипта на Python.

Все образцы NodeStealer используют Telegram для извлечения украденных данных, включая учетные данные и сведения о жертве, такие как общедоступный IP-адрес и имя хоста.

#ParsedReport #CompletenessLow
19-11-2024

Exploited PAN-OS Zero-Days Threaten Thousands of Firewalls (CVE-2024-0012 and CVE-2024-9474)

https://socradar.io/exploited-pan-os-zero-days-threaten-firewalls

Report completeness: Low

Actors/Campaigns:
Lunar_peek

Victims:
Palo alto networks devices

CVEs:
CVE-2024-0012 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- paloaltonetworks pan-os (<10.2.12, <11.0.6, <11.1.5, <11.2.4)

CVE-2024-9474 [Vulners]
CVSS V3.1: 7.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- paloaltonetworks pan-os (<10.1.14, <10.2.12, <11.0.6, <11.1.5, <11.2.4)

CVE-2024-1212 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- progress loadmaster (<7.2.48.10, <7.2.54.8, <7.2.59.2)


ChatGPT TTPs:
do not use without manual check
T1078.001, T1078

IOCs:
IP: 20
Hash: 1

Soft:
PAN-OS

Algorithms:
sha256

Links:
https://github.com/watchtowrlabs/palo-alto-panos-cve-2024-0012/tree/main?ref=labs.watchtowr.com

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: Palo Alto Networks раскрыла две уязвимости нулевого дня, CVE-2024-0012 и CVE-2024-9474, которые затрагивают устройства под управлением PAN-OS. Первая из них позволяет обходить аутентификацию и получать права администратора, а вторая - повышать привилегии администраторов-злоумышленников. Немедленное внесение исправлений и строгий контроль доступа необходимы для устранения этих уязвимостей, которые активно эксплуатировались в дикой природе, что привело к их включению в каталог известных эксплуатируемых уязвимостей CISA.
-----

Palo Alto Networks недавно раскрыла две уязвимости нулевого дня, влияющие на их устройства под управлением PAN-OS, которые активно использовались в дикой природе. Эти уязвимости, идентифицированные как CVE-2024-0012 и CVE-2024-9474, нацелены на слабые места в веб-интерфейсе управления. CVE-2024-0012 - это критическая уязвимость с рейтингом CVSS 9,3, которая позволяет злоумышленникам обойти аутентификацию и получить права администратора без участия пользователя. Первоначально проблема была идентифицирована как проблема удаленного выполнения команд, но позже в обновленном отчете Palo Alto Networks она была переквалифицирована в обход аутентификации.

С другой стороны, CVE-2024-9474 относится к уязвимостям средней степени тяжести с рейтингом CVSS 6,9. Этот недостаток позволяет администраторам-злоумышленникам повышать свои привилегии до уровня root в уязвимых системах PAN-OS. В отличие от CVE-2024-0012, для использования CVE-2024-9474 требуется существующий административный доступ, что делает его менее критичным, но по-прежнему представляет серьезную проблему для организаций. Хотя он представляет меньший риск по сравнению с CVE-2024-0012, потенциальное воздействие на скомпрометированные системы подчеркивает важность немедленного исправления и строгого контроля доступа.

Как CVE-2024-0012, так и CVE-2024-9474 влияют на несколько версий PAN-OS. Уязвимые версии для каждой уязвимости следующие: CVE-2024-0012 затрагивает PAN-OS с 10.2 по 11.2 (предыдущие версии: 10.2.12-h2, 11.0.6-h1, 11.1.5-h1, 11.2.4-h1). Для сравнения, CVE-2024-9474 распространяется на PAN-OS с 10.1 по 11.2 (более ранние версии: 10.1.14-h6, 10.2.12-h2, 11.0.6-h1, 11.1.5-h1, 11.2.4-h1). Обновление до последних версий PAN-OS имеет решающее значение для устранения этих уязвимостей и снижения риска их использования.

Palo Alto Networks связала использование критической уязвимости CVE-2024-0012 с кампанией под названием "Операция "Лунный взгляд"". Злоумышленники атаковали уязвимые интерфейсы управления PAN-OS, используя эту уязвимость для обхода аутентификации и получения административного доступа. Хотя CVE-2024-9474 также использовался в последующих атаках, исследователи напрямую не связывали его с операцией Lunar Peek. Оповещения в режиме реального времени о таких опасных уязвимостях, как CVE-2024-0012, позволяют получить информацию о подробном анализе эксплойтов и поведении хакеров, способствуя оперативному исправлению, обеспечению безопасности активов и снижению рисков.

Агентство по кибербезопасности и защите инфраструктуры (CISA) включило уязвимости Palo Alto Networks CVE-2024-0012 и CVE-2024-9474 в свой каталог известных эксплуатируемых уязвимостей (KEV). Федеральным агентствам было поручено до 9 декабря 2024 года определить приоритетность исправления уязвимых систем в соответствии с директивой CISA. Кроме того, CISA добавила в каталог KEV еще одну проблему высокого риска, CVE-2024-1212. Эта уязвимость связана с ошибкой при вводе команд в Kemp LoadMaster Progress с максимальной оценкой CVSS 10, что еще раз подчеркивает критический характер этих угроз кибербезопасности.

#ParsedReport #CompletenessLow
20-11-2024

Unveiling LIMINAL PANDA: A Closer Look at China's Cyber Threats to the Telecom Sector

https://www.crowdstrike.com/en-us/blog/liminal-panda-telecom-sector-threats

Report completeness: Low

Actors/Campaigns:
Liminal_panda (motivation: financially_motivated)
Lightbasin
Sunrise_panda
Horde_panda

Threats:
Pingpong
Slapstick
Cordscan
Blindingdart
Sigtranslator
Dalerat
Tinyshell
Unimerat
Dungeonkeeper
Microsocks_tool
Silentkeeper
Proxychains_tool
Toxicshot
Stealthproxy_tool
Bridgetroll
Cdr_xf_tool
Steelcorgi
Logbleach
Cobalt_strike

Victims:
Telecommunications entities

Industry:
Critical_infrastructure, Telco

Geo:
Chinese, China, Africa, Asia

ChatGPT TTPs:
do not use without manual check
T1071, T1095, T1071.001, T1573, T1589

IOCs:
Domain: 1

Algorithms:
xor

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в отслеживании краудстриков и обсуждении спонсируемого государством китайского кибер-хакера LIMINAL PANDA, нацеленного на телекоммуникационные компании с помощью специальных инструментов для скрытого доступа, командования и контроля, а также утечки данных. Злоумышленник демонстрирует глубокое понимание телекоммуникационных сетей, в частности протоколов мобильной связи, и был связан с кластером LightBasin activity cluster. CrowdStrike предоставляет обновленную информацию о тактике злоумышленника, его целях и текущих вредоносных программах, отмечая, что операции LIMINAL PANDA представляют значительную угрозу для телекоммуникационных компаний и потенциально связаны с кибератаками China-nexus.
-----

С 2020 года LIMINAL PANDA нацелена на телекоммуникационные компании, используя специальные инструменты для скрытого доступа, управления и утилизации данных.

Злоумышленник демонстрирует глубокое понимание телекоммуникационных сетей и использует скомпрометированные серверы для осуществления вторжений к различным провайдерам в разных географических регионах.

Тактика LIMINAL PANDA включает в себя пользовательское вредоносное ПО, общедоступные инструменты и прокси-программное обеспечение для маршрутизации командных сообщений и контроля над ними через различные сегменты сети.

Основными целями противника, по-видимому, являются телекоммуникационные провайдеры в Южной Азии и Африке, оперативные мотивы которых сосредоточены на сборе разведывательных данных, а не на финансовой выгоде.

CrowdStrike Intelligence оценивает деятельность LIMINAL PANDA как потенциально связанную с кибероперациями China-nexus, поскольку она нацелена на страны, связанные с китайской инициативой "Один пояс, один путь", и использует элементы китайского языка в инфраструктуре.

#ParsedReport #CompletenessLow
20-11-2024

FrostyGoop s Zoom-In: A Closer Look into the Malware Artifacts, Behaviors and Network Communications

https://unit42.paloaltonetworks.com/frostygoop-malware-analysis

Report completeness: Low

Threats:
Frostygoop

Victims:
Municipal energy company

Industry:
Ics, Critical_infrastructure, Iot, Energy

Geo:
America, Apac, Japan, China, Russian, Russia, Emea, Romania, Israel, Ukraine

ChatGPT TTPs:
do not use without manual check
T1043, T1049, T1562.001, T1203, T1027, T1105

IOCs:
File: 7
Hash: 8

Algorithms:
aes, sha256

Functions:
writeMultiple

Win API:
IsDebuggerPresent

Languages:
golang, python

Links:
https://github.com/goccy/go-json
https://github.com/rolfl/modbus
have more...
https://github.com/hsblhsn/queues