#ParsedReport #CompletenessHigh
22-11-2024

#StopRansomware: BianLian Ransomware Group

https://www.cyber.gov.au/about-us/view-all-content/alerts-and-advisories/stopransomware-bianlian-ransomware-group

Report completeness: High

Actors/Campaigns:
Bianlian (motivation: financially_motivated, cyber_criminal)

Threats:
Bianlian_ransomware
Credential_harvesting_technique
Rclone_tool
Proxyshell_vuln
Atera_tool
Teamviewer_tool
Splashtop_tool
Anydesk_tool
Ngrok_tool
Upx_tool
Advanced-port-scanner_tool
Sharpshares_tool
Pingcastle_tool
Rdp_recognizer_tool
Impacket_tool
Sessiongopher_tool
Supply_chain_technique
Bianlian_encryptor
Credential_dumping_technique
Minidump_tool
Mstsc_tool
Nltest_tool
Tightvnc_tool

Victims:
Organizations, Private enterprises, Critical infrastructure organization

Industry:
Critical_infrastructure, Healthcare

Geo:
Russia, Australian, Australia

CVEs:
CVE-2021-31207 [Vulners]
CVSS V3.1: 6.6,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft exchange server (2013, 2016, 2019)

CVE-2021-34473 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft exchange server (2013, 2016, 2019)

CVE-2021-34523 [Vulners]
CVSS V3.1: 9.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft exchange server (2013, 2016, 2019)

CVE-2022-37969 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows 10 1507 (<10.0.10240.19444)
- microsoft windows 10 1607 (<10.0.14393.5356)
- microsoft windows 10 1809 (<10.0.17763.3406)
- microsoft windows 10 20h2 (<10.0.19042.2006)
- microsoft windows 10 21h1 (<10.0.19043.2006)
have more...
CVE-2020-1472 [Vulners]
CVSS V3.1: 5.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows server 1903 (*)
- microsoft windows server 1909 (*)
- microsoft windows server 2004 (-)
- microsoft windows server 2008 (r2)
- microsoft windows server 2012 (-, r2)
have more...

TTPs:
Tactics: 8
Technics: 47

IOCs:
File: 15
Url: 3
Email: 3
Domain: 1
Command: 7
Path: 6
Registry: 4
Hash: 4

Soft:
Windows Powershell, ESXi, Windows defender, Windows Registry, SoftPerfect Network Scanner, Active Directory, Local Security Authority, PsExec, Windows firewall, Azure AD, have more...

Crypto:
bitcoin

Functions:
All, GetWmiObject

Win Services:
SAVService

Languages:
python, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в совместном рекомендательном документе по кибербезопасности, выпущенном ФБР, CISA и ACSC в качестве руководства по борьбе с программой-вымогателем BianLian, нацеленной на критически важные инфраструктурные организации в США и Австралии. В рекомендациях подробно описываются тактика, методы и процедуры, используемые BianLian group, даются рекомендации не платить выкуп и излагаются стратегии смягчения последствий для повышения уровня кибербезопасности от угроз программ-вымогателей.
-----

Группа BianLian, занимающаяся вымогательством данных и программ-вымогателей, предположительно базирующаяся в России, с июня 2022 года атакует организации в критически важных инфраструктурных секторах США и Австралии.

Первоначально BianLian использовала метод двойного вымогательства, но к январю 2024 года перешла к вымогательству, основанному исключительно на эксфильтрации, угрожая обнародовать конфиденциальные данные, если требования о выкупе не будут выполнены.

Они получают доступ с помощью скомпрометированных учетных данных RDP, инструментов с открытым исходным кодом и сценариев командной строки для обнаружения и сбора учетных данных. Фильтрация данных осуществляется с помощью FTP, Rclone или Mega services.

Злоумышленники из Китая внедряют пользовательские бэкдоры, программное обеспечение для удаленного управления, такое как TeamViewer, Atera Agent, и изменяют учетные записи локальных администраторов для обеспечения сохранности и контроля. Они используют уязвимости, такие как CVE-2022-37969.

Для горизонтального перемещения они используют действительные учетные данные, такие инструменты, как PsExec и RDP, а также методы сбора учетных данных из памяти и контроллеров домена, используя уязвимости, подобные CVE-2020-1472.

Они используют вредоносное ПО для подсчета значений реестра и файлов, копирования данных из буфера обмена, сжатия/шифрования собранных данных и поиска конфиденциальных файлов для последующей фильтрации. Уведомления о требовании выкупа угрожают утечкой данных, если требования о выкупе не будут выполнены.

ФБР рекомендует не платить выкуп, подчеркивая необходимость оперативного информирования властей об инцидентах для снижения рисков и излагая стратегии смягчения последствий, направленные на уменьшение воздействия программ-вымогателей.

#ParsedReport #CompletenessLow
22-11-2024

The Nearest Neighbor Attack: How A Russian APT Weaponized Nearby Wi-Fi Networks for Covert Access

https://www.volexity.com/blog/2024/11/22/the-nearest-neighbor-attack-how-a-russian-apt-weaponized-nearby-wi-fi-networks-for-covert-access

Report completeness: Low

Actors/Campaigns:
Fancy_bear

Threats:
Nearest_neighbor_attack_technique
Lolbin_technique
Password_spray_technique
Vssadmin_tool
Shadow_copies_delete_technique
Gooseegg_tool

Geo:
Ukraine, Ukrainian, Russia, Russian

CVEs:
CVE-2022-38028 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows 10 1507 (<10.0.10240.19507)
- microsoft windows 10 1607 (<10.0.14393.5427)
- microsoft windows 10 1809 (<10.0.17763.3532)
- microsoft windows 10 20h2 (<10.0.19042.2130)
- microsoft windows 10 21h1 (<10.0.19043.2130)
have more...

ChatGPT TTPs:
do not use without manual check
T1078, T1110.003, T1112, T1027, T1003.003, T1059.001, T1203

IOCs:
Path: 8
File: 9
Registry: 3
Command: 6

Soft:
active directory, Windows Print Spooler

Algorithms:
zip, exhibit

Win API:
NetBIOS

Languages:
powershell

Links:
https://github.com/volexity/threat-intel/blob/main/2024/2024-11-22%20GruesomeLarch/wifi\_ps1\_redacted.cs

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - подробное описание сложной кибератаки, проведенной российской APT-группой GruesomeLarch, с особым упором на использование ими технологии атаки "Ближайший сосед" для атаки на работу и проекты, связанные с Украиной, перед российским вторжением в Украину в начале февраля 2022 года. Атака включала в себя использование скомпрометированных сетей Wi-Fi и соседних организаций для проникновения в сеть цели, демонстрируя творческий подход, находчивость и решимость хакера достичь своих целей в области кибершпионажа с помощью инновационных методов и инструментов.
-----

В тексте описывается изощренная кибератака, проведенная российской APT-группой GruesomeLarch, целью которой были работы и проекты, связанные с Украиной, непосредственно перед российским вторжением в Украину в начале февраля 2022 года. Компания Volexity, занимающаяся кибербезопасностью, провела тщательное расследование после обнаружения подозрительной активности на сайте клиента, известном как "Организация А". В ходе атаки была использована новая технология, получившая название "Атака ближайшего соседа", при которой хакер использовал сети Wi-Fi в непосредственной близости от цели, скомпрометировав несколько организаций поблизости, чтобы в конечном итоге проникнуть в систему. сеть объекта.

Злоумышленник использовал атаки с использованием паролей против общедоступной службы в сети организации А, чтобы получить действительные учетные данные, которые затем были использованы для получения доступа к корпоративной сети Wi-Fi Организации А. Несмотря на внедрение многофакторной аутентификации (MFA) для государственных служб, злоумышленник успешно проник в несколько организаций, расположенных поблизости, чтобы достичь своей цели. Злоумышленник использовал систему с двумя домами в соседней организации для подключения к сети Wi-Fi организации А.

Расследование показало, что злоумышленник взломал учетные данные, позволяющие получить доступ к VPN-системам без защиты MFA, и подключался к Wi-Fi организации A через сети других близлежащих организаций. Методы злоумышленника включали стандартные протоколы Microsoft и горизонтальное перемещение по сетям, что позволяло избежать развертывания вредоносного ПО, чтобы избежать обнаружения продуктами endpoint detection and response (EDR).

Кроме того, злоумышленник попытался украсть базу данных active Directory, создав теневую копию тома, что является распространенным методом, наблюдавшимся в ходе инцидента. Поначалу Volexity изо всех сил пыталась приписать вторжение конкретному хакеру из-за использования методов "жизни за пределами земли" и запутывания инструментария и IP-адресов. Однако дальнейший анализ привел к идентификации GruesomeLarch, также известного как APT28, Forest Blizzard, Sofacy и Fancy Bear, в качестве ответственного хакера.

Кроме того, атака была связана с использованием уязвимости CVE-2022-38028, позволяющей повысить привилегии с нулевого дня, в службе диспетчера очереди печати Microsoft Windows, с использованием средства для устранения неполадок под названием GooseEgg. Исследование Microsoft, посвященное Forest Blizzard, проведенное в апреле 2024 года, подтвердило связь с GruesomeLarch, подчеркнув настойчивость хакеров и использование уникальных инструментов для достижения своих целей в области кибершпионажа.

В тексте подчеркивается сложный характер атаки "Ближайший сосед", подчеркивается творческий подход хакера, его находчивость и решимость достичь своих целей, не приближаясь к ним физически, что снижает риск идентификации или захвата. Методология злоумышленника включала в себя передачу доступа от организации к организации без развертывания вредоносного ПО, полагаясь исключительно на действительные учетные данные пользователя и методы "жизни вне дома", позволяющие оставаться незамеченными мерами безопасности.

#ParsedReport #CompletenessMedium
20-11-2024

Threat Actors Hijack Misconfigured Servers for Live Sports Streaming

https://www.aquasec.com/blog/threat-actors-hijack-misconfigured-servers-for-live-sports-streaming

Report completeness: Medium

Industry:
Entertainment, Government, Software_development

Geo:
Donetsk

TTPs:
Tactics: 4
Technics: 0

IOCs:
Hash: 1
IP: 2

Soft:
Jupyter Notebooks, Jupyter Notebook, Jupyter, Linux, Docker, Unix

Algorithms:
md5

Platforms:
cross-platform

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, dump: 2, windows: 3, chart: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #CompletenessMedium
22-11-2024

Dark Web Profile: Moonstone Sleet

https://socradar.io/dark-web-profile-moonstone-sleet

Report completeness: Medium

Actors/Campaigns:
Moonstone_sleet (motivation: cyber_espionage, information_theft, financially_motivated)
Kimsuky (motivation: cyber_espionage)
Lazarus
Detankwar
Jade_sleet

Threats:
Spear-phishing_technique
Fakepenny
Cobalt_strike
Supply_chain_technique
Putty_tool
Splitloader
Credential_dumping_technique
Mimikatz_tool

Victims:
Technology companies, Financial institutions, Cryptocurrency platforms, Software supply chains, It infrastructures

Industry:
Software_development, Critical_infrastructure

Geo:
North korean, North korea

TTPs:
Tactics: 9
Technics: 15

IOCs:
File: 3

Soft:
Telegram, Linux

Crypto:
bitcoin

Algorithms:
zip, xor

#ParsedReport #ExtractedSchema

Classified images:
windows: 2, schema: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в описании недавно выявленной северокорейской APT-группы, известной как Moonstone Sleet, их изощренной тактики кибератак, сочетающей шпионаж и финансовые мотивы, их использования социальной инженерии, пользовательских вредоносных программ и программ-вымогателей, а также их действий против технологических компаний, финансовых учреждений, и криптовалютные платформы по всему миру. Деятельность группы демонстрирует двойную цель - получение финансовой выгоды и шпионаж, использование тактики обмана, специальных инструментов и методов для проникновения в сети и осуществления вредоносной деятельности в соответствии с целями Северной Кореи. Защита от мокрого снега Moonstone требует комплексного подхода к обеспечению безопасности, позволяющего снизить риски, связанные с инновационными направлениями атак и традиционными методами шпионажа.
-----

Moonstone Sleet, или Storm-1789, - это недавно выявленная северокорейская группировка APT, осуществляющая целенаправленные кибератаки с целью шпионажа и получения финансовой выгоды.

Для поддержки своей деятельности группа использует социальную инженерию, пользовательское внедрение вредоносных программ и операции с программами-вымогателями.

С начала 2024 года Moonstone Sleet стал мишенью технологических компаний, финансовых учреждений и криптовалютных платформ по всему миру.

Они используют изощренные кампании фишинга, поддельные предложения о работе и тактику обмана, чтобы проникнуть в системы жертв.

В апреле 2024 года Moonstone Sleet внедрила программу-вымогательницу FakePenny, потребовав выкуп в биткоинах на сумму 6,6 миллиона долларов.

Группа также использует троянские приложения, такие как PuTTY, для компрометации важных сетей с помощью фишинговых кампаний.

Moonstone Sleet провела кампанию "DeTankWar", используя вредоносную танковую игру для проникновения в системы.

Они нацелились на цепочки поставок программного обеспечения с открытым исходным кодом, выпустив вредоносные пакеты npm для немедленного выполнения полезной нагрузки.

Их деятельность согласуется с целями Северной Кореи по получению финансовой выгоды и сбору геополитической информации с помощью программ-вымогателей и шпионских операций.

Защита от мокрого снега Moonstone требует многоуровневого подхода к обеспечению безопасности, упреждающего мониторинга, надежной защиты и готовности к реагированию на инциденты.

#ParsedReport #CompletenessLow
21-11-2024

Alert: XorBot Comes Back with Enhanced Tactics

https://nsfocusglobal.com/alert-xorbot-comes-back-with-enhanced-tactics

Report completeness: Low

Threats:
Xorbot
Masjesu
Mirai
Udpflood_technique
Icmpflood_technique
Tcpsynflood_technique
Tcpackflood_technique
Httpflood_technique

Victims:
Intelbras cameras, Tp-link routers, D-link routers

Industry:
Iot

CVEs:
CVE-2014-8361 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- dlink dir-905l firmware (le2.05b01)

CVE-2023-1389 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- tp-link archer ax21 firmware (<1.1.4)

CVE-2017-17215 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- huawei hg532 firmware (-)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1053.003, T1574.006, T1105

IOCs:
File: 2
IP: 1
Hash: 2

Soft:
Telegram, crontab

Algorithms:
xor

Platforms:
mips, arm

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что XorBot, семейство ботнетов, обнаруженных в ноябре 2023 года, развивается благодаря усовершенствованной тактике и повышенной осведомленности о защите от отслеживания, создавая значительную угрозу безопасности в сфере Интернета вещей (IoT). Этот ботнет нацелен на такие устройства, как камеры Intelbras и маршрутизаторы от TP-Link и D-Link, использует уязвимости в устройствах Интернета вещей для установки вредоносной троянской программы и предлагает услуги по аренде DDoS-атак. Операторы, стоящие за XorBot, расширили свою деятельность, чтобы привлечь больше устройств под свой контроль, используя методы шифрования, маскировку и функции защиты от отслеживания, чтобы усложнить усилия по обнаружению.
-----

XorBot, новое семейство ботнетов, обнаруженное компанией NSFOCUS в ноябре 2023 года, с начала 2024 года развивается благодаря усовершенствованной тактике и повышению осведомленности о защите от отслеживания. Этот ботнет представляет серьезную угрозу безопасности в сфере Интернета вещей (IoT), нацеливаясь на такие устройства, как камеры Intelbras и маршрутизаторы от TP-Link и D-Link. Операторы, стоящие за XorBot, расширили свою деятельность, предлагая услуги по организации DDoS-атак, привлекая все больше устройств под свой контроль. Это семейство, известное как "Masjesu" из-за нового названия канала, выпустило версии с четкой идентификацией, последняя из которых - 1.04.

XorBot использует уязвимости в устройствах Интернета вещей для установки вредоносной троянской программы, которая включает в себя до 12 различных методов эксплойта. В последней версии XorBot отмечены заметные изменения по сравнению с предыдущими версиями, в частности, показана совместимость с различными архитектурами процессоров, такими как MIPS, PowerPC, ARM и x86_64. В нем используется технология многоэтапного XOR-шифрования, аналогичная семейству Mirai, и уникальный алгоритм дешифрования. Троян маскируется путем замены критически важных системных файлов и обеспечения сохраняемости путем изменения системных конфигураций. Кроме того, он ограничивает доступ к каталогу /tmp, чтобы предотвратить вмешательство других вредоносных программ.

Ботнет обладает мощными функциями защиты от отслеживания, осуществляя пассивное онлайн-взаимодействие с управляющими серверами, что усложняет методы отслеживания на основе сигнатур. XorBot поддерживает несколько типов DDoS-атак, включая UDP, TCP и HTTP, и динамически выбирает методы атаки на основе инструкций сервера. Разработчики XorBot используют платформы социальных сетей, такие как Telegram, для привлечения персонала и продвижения по службе, способствуя росту ботнета. Они инвестируют в технологии защиты от обнаружения и отслеживания, что усложняет отслеживание благодаря уникальной логике коммуникации и защитным мерам на уровне файлов.

#ParsedReport #CompletenessMedium
21-11-2024

We get the CrossC2 configs

https://rt-solar.ru/solar-4rays/blog/4900

Report completeness: Medium

Threats:
Crossc2_tool
Cobalt_strike
Upx_tool

Geo:
Chinese

ChatGPT TTPs:
do not use without manual check
T1573, T1027, T1132, T1071

IOCs:
File: 9
IP: 3
Hash: 10

Soft:
Unix, Linux, MacOS, nginx

Algorithms:
sha1, sha256, md5, gzip, aes-128, base64, deflate, xor, cbc

Functions:
ReadME, cc2_init

Languages:
python, golang, java

Platforms:
arm, cross-platform, x86, x64, mips

Links:
https://github.com/gloxec/CrossC2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте обсуждается фреймворк CrossC2, генератор полезной нагрузки для Unix, используемый для создания полезных нагрузок Cobalt Strike. В нем упоминаются его уникальные возможности, ограниченное количество онлайн-документации, использование в вредоносных кампаниях, упаковка UPX в образцах, процессы расшифровки, зашифрованные строки и обфускация CFG. В нем также подробно описываются функциональные возможности genCrossC2, включая строку в кодировке base64 для десериализации открытых и закрытых ключей, а также процесс анализа с использованием API Monitor. На протяжении всего текста подчеркивается важность тщательного анализа вредоносных программ, особенно с запутанными образцами.
-----

В тексте подчеркивается наличие конфигурации полезной нагрузки, известной как beaconConfiguration, которая настраивается с помощью ini-файла. Особое внимание уделяется платформе CrossC2, генератору полезной нагрузки Unix, который может создавать полезные нагрузки Cobalt Strike для платформ Unix. CrossC2 упоминается как относительно необычный инструмент с ограниченной технической документацией, доступной в Интернете, в основном от китайской компании по информационной безопасности Qi An Xin.

Генератор, genCrossC2, написан на Golang и поддерживает создание полезных приложений Cobalt Strike для различных платформ. Несмотря на свою кроссплатформенность, он в основном используется для Unix. Отчеты Moonlock Lab и Recorded Future указывают на то, что злоумышленники использовали этот фреймворк в своих вредоносных кампаниях, причем в последний раз образцы были обнаружены в августе 2024 года.

В тексте приводится конкретный пример, созданный с использованием фреймворка CrossC2, который продемонстрировал упаковку UPX. Процесс расшифровки UPX изначально завершился неудачей из-за структурных элементов в файле. Удаление этих элементов позволило успешно распаковать файл, что привело к обнаружению скрипта на Python в расшифрованных строках.

Дальнейшее расследование показало, что двоичный файл genCrossC2, доступный для Windows, Linux и macOS, содержит зашифрованные строки и CFG-обфускацию. В частности, он содержит строку в кодировке base64, которая при расшифровке оказывается файлом .jar, отвечающим за десериализацию открытых и закрытых ключей, сгенерированных TeamServer Cobalt Strike. Затем открытый ключ кодируется в base64 и сохраняется в файле для дальнейшего использования.

Анализ genCrossC2 включает в себя изучение его работы с использованием API Monitor. В тексте описывается пошаговый процесс создания маяка для Cobalt Strike 4.8 в Linux, оснащенного UPX. Конфигурация для такой полезной нагрузки разделена на две части: основную информацию о системе командования и контроля (C2) и дополнительный сегмент для переопределения гибкого профиля, который определяет, как можно замаскировать связь C2.

Концепция гибкого профиля в Cobalt Strike, используемая для мониторинга HTTP-индикаторов, рассматривается в контексте CrossC2. Приведен пример профиля, демонстрирующий адрес C2 и указывающий на возможные нарушения безопасности, которые могут раскрыть дополнительную информацию об инфраструктуре злоумышленников. Несмотря на сложную структуру и запутанность CrossC2, текст демонстрирует, что тщательный анализ, включая динамические методы, может выявить важные детали функциональности и инфраструктуры вредоносного ПО.

В конечном счете, в тексте подчеркивается важность тщательного и многогранного подхода к анализу вредоносных программ, демонстрирующего, что даже самые запутанные образцы могут быть проанализированы для извлечения ценной информации.

#ParsedReport #CompletenessLow
22-11-2024

2024 MSC Malware Trends Report

https://asec.ahnlab.com/ko/84693

Report completeness: Low

Actors/Campaigns:
Kimsuky

Threats:
Spear-phishing_technique

Geo:
Japan, North korea

CVEs:
CVE-2024-43572 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows 10 1507 (<10.0.10240.20796)
- microsoft windows 10 1607 (<10.0.14393.7428)
- microsoft windows 10 1809 (<10.0.17763.6414)
- microsoft windows 10 21h2 (<10.0.19044.5011)
- microsoft windows 10 22h2 (<10.0.19045.5011)
have more...

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1204, T1036, T1059

IOCs:
File: 10
Hash: 5

Algorithms:
md5

#ParsedReport #GeneratedSchema
Generated with GPT-4