#technique

Special topic on Android malware obfuscation and countermeasures technology

https://mp-weixin-qq-com.translate.goog/s/LIAkPLZ_vVOUGjFymdEH-w?_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=ru&_x_tr_pto=wapp

#technique #llm

Prompt Jailbreak Manual

https://github.com/Acmesec/PromptJailbreakManual/

#ParsedReport #CompletenessLow
27-11-2024

PSLoramyra: Technical Analysis of Fileless Malware Loader

https://any.run/cybersecurity-blog/psloramyra-malware-technical-analysis

Report completeness: Low

Threats:
Psloramyra
Quasar_rat
Newpe2

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1059.001, T1055.001, T1027

IOCs:
File: 6
Hash: 4
Path: 3
Domain: 1
IP: 1

Soft:
Task Scheduler, Windows Task Scheduler, Windows PowerShell, Linux

Functions:
CreateWshShellObj, GetFilePath, GetVisibilitySetting

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
windows: 1, schema: 1, table: 1, code: 9

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в анализе сложного вредоносного загрузчика под названием PSLoramyra, который работает как безфайловый загрузчик, чтобы избежать традиционных методов обнаружения. Эта вредоносная программа использует скрипты PowerShell, VBS и BAT для внедрения и выполнения вредоносных программ непосредственно в системную память, обеспечивая постоянный доступ и демонстрируя улучшенное поведение за счет динамической загрузки в память своей основной вредоносной программы. Цепочка заражения вредоносного ПО, механизмы сохранения, атрибуты скрытности, методы обфускации и использование внедрения в память способствуют его способности избегать обнаружения и незаметно выполнять вредоносные действия, что подчеркивает его продвинутый характер как загрузчика без файлов.
-----

Вредоносный загрузчик PSLoramyra работает как безфайловый загрузчик, используя сценарии PowerShell, VBS и BAT для внедрения и выполнения вредоносных программ непосредственно в системную память, что позволяет ему осуществлять постоянный доступ, не оставляя значительных следов в системе.

PSLoramyra динамически загружает свой основной вредоносный код в память, что затрудняет его обнаружение и устранение последствий. В нем используются такие методы, как отражение.Собрание.Загружать и RegSvcs.exe выполнять полезную нагрузку, при этом идентифицированной полезной нагрузкой в конкретном случае является Quasar RAT, популярный инструмент удаленного доступа.

Вредоносная программа обеспечивает постоянство в зараженных системах, создавая в планировщике задач Windows задания для запуска сценариев каждые две минуты, что позволяет вредоносным действиям продолжаться даже после перезагрузки системы. Вредоносная программа также использует методы обфускации, такие как использование символа #, для усложнения обнаружения.

Выполнение вредоносного ПО включает загрузку типа NewPE2.PE из сборки .NET и внедрение вредоносного кода в легитимные процессы, такие как RegSvcs.exe, что позволяет ему скрывать свои действия в рамках, казалось бы, безопасных процессов.

Продвинутый характер PSLoramyra как файлового загрузчика подчеркивает его надежные возможности, опору на автоматизацию и использование механизмов сохранения данных, таких как Windows Task Scheduler, для закрепления на зараженных системах.

Подробный анализ PSLoramyra в среде ANY.RUN sandbox позволяет получить ценную информацию о ее поведении и функциональных возможностях, способствуя эффективному обнаружению угроз и реагированию на инциденты для специалистов по кибербезопасности по всему миру.

#ParsedReport #CompletenessMedium
26-11-2024

Analysis of Elpaco: a Mimic variant

https://securelist.com/elpaco-ransomware-a-mimic-variant/114635

Report completeness: Medium

Threats:
Elpaco
Mimic_ransomware
Zerologon_vuln
Hidcon
Process_injection_technique
Lolbin_technique
Ransom.win32.generic
Ransom.win32.mimic.gen

Geo:
Romania, United kingdom, Netherlands, Russia, Germany, Korea, Canada, France

CVEs:
CVE-2020-1472 [Vulners]
CVSS V3.1: 5.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows server 1903 (*)
- microsoft windows server 1909 (*)
- microsoft windows server 2004 (-)
- microsoft windows server 2008 (r2)
- microsoft windows server 2012 (-, r2)
have more...

TTPs:
Tactics: 5
Technics: 13

IOCs:
File: 13
Hash: 2

Soft:
Windows Defender

Algorithms:
exhibit, chacha20, zip, rsa-4096

Functions:
SetSearchW

Win API:
FindFirstFileW, WriteFile, FindNextFileW, ShellExecuteW, LoadLibraryA, BCryptGenRandom

Languages:
powershell

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в реагировании на инцидент, связанный с версией программы-вымогателя Elpaco, когда опытный хакер получил доступ к серверу жертвы с помощью успешной RDP-атаки методом перебора. Злоумышленник использовал уязвимость Zerologon для повышения привилегий и настройки работы вредоносного ПО с помощью графического интерфейса пользователя. Программа-вымогатель Elpaco, упакованная с использованием установщика 7-Zip, шифровала пользовательские данные, требовала выплаты выкупа и использовала расширенные функции, такие как многопоточное шифрование. Вредоносная программа содержала графический интерфейс, позволяющий операторам настраивать свойства программы-вымогателя, параметры шифрования и поведение, что создавало трудности для расшифровки из-за ее алгоритма шифрования и самоудаления после шифрования. Кроме того, правила YARA помогли обнаружить Elpaco dropper и графический интерфейс консоли, что указывает на широкое использование хакерами по всему миру.
-----

Вариант программы-вымогателя Elpaco был использован в недавней атаке, когда хакер получил доступ с помощью успешной RDP-атаки методом перебора.

Злоумышленник воспользовался уязвимостью CVE-2020-1472 (Zerologon) для повышения привилегий.

Версия программы-вымогателя Elpaco использовала библиотеку Everything для настройки операций с помощью графического интерфейса.

Программа-вымогатель была упакована с использованием механизма установки в формате 7-Zip, чтобы избежать обнаружения.

Программы-вымогатели Mimic и Elpaco variant использовали библиотеку Everything для таких вредоносных действий, как шифрование файлов и требование выкупа.

Вредоносная программа Elpaco распаковала необходимые файлы в каталоге %AppData%\Local со случайно сгенерированным UUID.

Основной консолью, используемой вредоносной программой Elpaco, была svhostss.exe, напоминающая законный процесс Windows svchost.exe.

Elpaco включила графический интерфейс под названием gui40.exe для настройки свойств программ-вымогателей, параметров шифрования, уведомлений о требовании выкупа и многого другого.

Elpaco регистрировала свои действия в C:\temp\MIMIC_LOG.txt и надежно удалил себя и связанные с ним файлы, используя команду Del и fsutil LOLBin.

Правила YARA были разработаны для определения Elpaco dropper и графического интерфейса консоли.

Elpaco и другие имитационные образцы использовались в атаках на различные страны, включая Соединенные Штаты, Россию, Нидерланды, Германию, Канаду, Румынию, Южную Корею и Великобританию.

Программа-вымогатель Elpaco создавала трудности для расшифровки из-за своего алгоритма шифрования и самоудаляющегося последующего шифрования, позволяющего избежать обнаружения.

#ParsedReport #CompletenessMedium
27-11-2024

Investigation into Helldown Ransomware

https://www.cyfirma.com/research/investigation-into-helldown-ransomware

Report completeness: Medium

Threats:
Helldown
Shadow_copies_delete_technique
Dll_sideloading_technique
Process_injection_technique
Credential_dumping_technique

Industry:
Transport, Healthcare, Energy

Geo:
France, Germany, Usa, Switzerland

CVEs:
CVE-2024-42057 [Vulners]
CVSS V3.1: 8.1,
Vulners: Exploitation: False
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- zyxel zld firmware (<5.39)


TTPs:
Tactics: 10
Technics: 34

IOCs:
File: 6
Hash: 4

Soft:
Linux, Zyxel, Windows Service

Algorithms:
sha256, md5

Win API:
UnhandledExceptionFilter

Platforms:
cross-platform

SIGMA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что программа-вымогатель Helldown представляет собой быстро развивающуюся киберугрозу, нацеленную на критически важные отрасли по всему миру, и обладает расширенными возможностями как на платформах Windows, так и Linux. Программа-вымогатель использует шифрование, методы защиты от обнаружения и использует уязвимости, воздействуя на различные отрасли и основные службы по всему миру. Хакеры, стоящие за программой-вымогателем Helldown, активно используют уязвимости в брандмауэрах Zyxel, что приводит к значительным нарушениям и затрагивает жертв во многих странах. Меры по устранению уязвимостей, такие как исправление уязвимостей и внедрение надежных стратегий резервного копирования, имеют решающее значение для борьбы с этой широко распространенной угрозой.
-----

Программа-вымогатель Helldown - это быстро развивающаяся киберугроза, нацеленная на критически важные отрасли по всему миру, с расширенными возможностями как на платформах Windows, так и Linux. Эта программа-вымогатель нарушает работу систем, шифруя файлы и используя уязвимости, используя методы защиты от обнаружения и модульную конструкцию, что свидетельствует о постоянном развитии.

Первоначально идентифицированный CYFIRMA в августе 2024 года, вирус-вымогатель Helldown шифрует файлы, добавляет случайные расширения к именам файлов и оставляет записку с требованием выкупа ("Readme.random_string.txt"). Вредоносная программа проверяет наличие аналитических сред, манипулирует реестрами Windows для изменения настроек VSS, удаляет себя и другие артефакты и перезапускает скомпрометированную систему. Этот вариант программы-вымогателя Helldown представляет собой 64-разрядный исполняемый файл ELF, который загружает данные конфигурации и выполняет команды с помощью интерпретаторов оболочки, избегая обнаружения с помощью таких функций, как touch и sleep.

хакеры активно используют уязвимости в брандмауэрах Zyxel для получения доступа к системам, нацеливаясь на такие уязвимости, как CVE-2024-42057 с оценкой CVSS 8,1. Эти злоумышленники создают несанкционированные учетные записи и загружают вредоносные файлы для взлома систем, при этом поступают сообщения об аналогичных действиях на устройствах с устаревшей прошивкой. Сообщалось о значительных нарушениях, связанных с этими брандмауэрами, при этом некоторые жертвы заменяли устройства после инцидента.

Программа-вымогатель Helldown, несмотря на свою относительную новизну, затронула различные отрасли, в первую очередь недвижимость и строительство, за которыми следуют информационные технологии и производство. Также были затронуты такие важные отрасли, как здравоохранение, энергетика и транспорт, что отражает широкое влияние программы-вымогателя на основные услуги и бизнес по всему миру. Программа-вымогатель затронула жертв в 11 странах, причем наибольшее число случаев заражения зарегистрировано в США, за которыми следуют Германия, Франция и Швейцария, что указывает на глобальный охват и потенциал дальнейшего распространения.

Передовые технологии шифрования, кросс-платформенный таргетинг и использование уязвимостей делают программу-вымогатель Helldown серьезной угрозой для бизнеса по всему миру, особенно в критически важных отраслях. Ее нацеленность на нарушение работы основных служб и операций подчеркивает потенциальную возможность широкого распространения. Упреждающие меры, такие как исправление уязвимостей и внедрение надежных стратегий резервного копирования, имеют решающее значение для смягчения воздействия программ-вымогателей и предотвращения дальнейшего распространения.

#ParsedReport #CompletenessMedium
27-11-2024

RomCom Backdoor Attacks Use Zero-Day Exploits in Mozilla and Windows (CVE-2024-9680 & CVE-2024-49039)

https://socradar.io/romcom-backdoor-attacks-mozilla-and-windows

Report completeness: Medium

Actors/Campaigns:
Void_rabisu
Unc2596

Threats:
Romcom_rat
Redir
Dll_injection_technique

Industry:
Military, Government

Geo:
Ukraine, Russia, America

CVEs:
CVE-2024-49039 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows 10 1507 (<10.0.10240.20826)
- microsoft windows 10 1607 (<10.0.14393.7515)
- microsoft windows 10 1809 (<10.0.17763.6532)
- microsoft windows 10 21h2 (<10.0.19044.5131)
- microsoft windows 10 22h2 (<10.0.19045.5131)
have more...
CVE-2024-9680 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- mozilla firefox (<115.16.1, <131.0.2, <128.3.1)
- mozilla thunderbird (<115.16.0, <128.3.1, 131.0)


ChatGPT TTPs:
do not use without manual check
T1210, T1189

IOCs:
Domain: 9
File: 1
IP: 1
Hash: 6

Soft:
Firefox, Windows Task Scheduler

Languages:
javascript

Links:
https://github.com/eset/malware-ioc/tree/master/romcom

#ParsedReport #ExtractedSchema

Classified images:
chart: 1, schema: 1, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Хакерская группа RomCom использовала две уязвимости нулевого дня в продуктах Mozilla и Microsoft для развертывания своего бэкдора, продемонстрировав расширенные возможности в глобальной кампании с использованием поддельных веб-сайтов и сложной цепочки атак. Уязвимости позволяли использовать их одним щелчком мыши, что позволяло доставлять вредоносные программы без участия пользователя. Эта кампания была нацелена на жертв по всему миру, в первую очередь в Европе и Северной Америке, демонстрируя сочетание шпионажа и финансово мотивированных атак RomCom с подозрениями в связях с Россией. Бэкдор RomCom, названный Tropical Scorpius, является универсальной и постоянной угрозой, предоставляя злоумышленникам полный контроль над скомпрометированными системами. Группы мониторинга, подобные RomCom, имеют решающее значение для защиты от развивающихся киберугроз.
-----

Хакерская группа RomCom использовала две уязвимости нулевого дня в продуктах Mozilla и Microsoft, CVE-2024-9680 и CVE-2024-49039, чтобы внедрить свой бэкдор с помощью сложной цепочки атак с использованием поддельных веб-сайтов.

Первая уязвимость, CVE-2024-9680, критическая ошибка в функции временной шкалы анимации Firefox, позволяющая злоумышленникам выполнять произвольный код в таких браузерах, как Firefox, Thunderbird и Tor.

Вторая уязвимость, CVE-2024-49039, связанная с повышением привилегий в службе Windows Task Scheduler, позволила злоумышленникам обойти защиту Firefox Sandbox и повысить привилегии в системах жертв.

В период с 10 октября по 4 ноября 2024 года RomCom атаковал жертв по всему миру, уделяя особое внимание Европе и Северной Америке, используя фишинговые домены, такие как redircorrectiv.com и devolredir.com, для обмана жертв.

Бэкдор RomCom предоставлял злоумышленникам полный контроль над скомпрометированными системами, позволяя выполнять такие действия, как выполнение команд, кража данных и дальнейшее развертывание вредоносного ПО.

RomCom - это изощренная хакерская группа, подозреваемая в связях с Россией, также известная как Tropical Scorpius, Storm-0978 или UNC2596, сочетающая шпионаж с финансово мотивированными атаками на военные, правительственные и политические организации в Украине и странах, входящих в НАТО.

#ParsedReport #CompletenessMedium
27-11-2024

Rockstar 2FA: A Driving Force in Phishing-as-a-Service (PaaS)

https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/rockstar-2fa-a-driving-force-in-phishing-as-a-service-paas

Report completeness: Medium

Actors/Campaigns:
Storm-1575

Threats:
Rockstar_2fa_tool
Aitm_technique
Dadsec_tool
Phoenix_keylogger
Antibot
Bec_technique

Victims:
Microsoft user accounts

ChatGPT TTPs:
do not use without manual check
T1566.002, T1556.004, T1071.001, T1203

IOCs:
Domain: 11
Url: 34

Soft:
Telegram, Cloudflare Turnstile, Microsoft OneDrive

Algorithms:
aes, pbkdf2, aes-cbc

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте обсуждается фишинговая кампания под названием Rockstar 2FA, нацеленная на пользователей Microsoft с помощью поддельных страниц входа в систему, использующая продвинутые методы "злоумышленник посередине" для обхода 2FA и кражи сеансовых файлов cookie. В рамках кампании используются различные тактики, позволяющие избежать обнаружения, воздействовать на пользователей в разных секторах и регионах и способствовать вторичным атакам, таким как захват учетных записей и компрометация деловой электронной почты. Trustwave предлагает решения в области кибербезопасности для борьбы с подобными угрозами, а блог намекает на продолжение, посвященное более подробным фишинговым кампаниям, связанным с Rockstar 2FA.
-----

В блоге обсуждается фишинговая кампания, основанная на атаке "противник посередине" (AiTM), известной как Rockstar 2FA, которая нацелена на пользователей Microsoft с помощью поддельных страниц входа в систему Microsoft 365 (O365). Фишинговый набор Rockstar 2FA - это обновленная версия набора DadSec/Phoenix, которая теперь работает по модели PaaS и доступна на таких платформах, как ICQ, Telegram и Mail.ru. Набор может похвастаться такими функциями, как обход 2FA, сбор файлов cookie, защита от ботов и FUD-ссылки, которые предлагаются по доступным ценам, начиная с 200 долларов США за двухнедельную подписку.

Фишинговые электронные письма в рамках этой кампании рассылаются через скомпрометированные аккаунты и легальные сервисы, что затрудняет их обнаружение. Атаки затронули пользователей из разных секторов и регионов, используя различные шаблоны для привлечения жертв. Фишинговые страницы полностью имитируют страницы входа в систему Microsoft, используя обфускации в HTML-коде для сокрытия злонамеренных намерений. Как только пользователи попадают на фишинговую страницу после прохождения проверки через турникет Cloudflare, их учетные данные немедленно отправляются на сервер AiTM, что позволяет украсть сессионные файлы cookie.

Успех кампании обусловлен ее методами AiTM, которые обходят MFA и открывают возможности для вторичных атак, таких как захват учетных записей и компрометация деловой электронной почты (BEC). Количество фишинговых атак, связанных с Rockstar 2FA, увеличилось, что свидетельствует о необходимости постоянного мониторинга и принятия мер по смягчению последствий. Используются сложные тактические приемы, такие как FUD-ссылки, QR-коды и вызовы, такие как Cloudflare Turnstile, что указывает на эволюционирующий характер этих киберугроз.

Широкий охват и воздействие кампании указывают на распространенность атак товарного фишинга, что еще раз подчеркивает важность мер кибербезопасности для борьбы с такими угрозами. Trustwave, лидер в области кибербезопасности, упомянутый в тексте, предлагает комплексные решения в области кибербезопасности для эффективного обнаружения и реагирования на возникающие киберриски. В блоге содержится намек на вторую часть, посвященную более подробным фишинговым кампаниям, связанным с Rockstar 2FA, в которой подчеркивается постоянная угроза, исходящая от таких вредоносных действий.

#ParsedReport #CompletenessMedium
27-11-2024

New "CleverSoar" Installer Targets Chinese and Vietnamese Users

https://www.rapid7.com/blog/post/2024/11/27/new-cleversoar-installer-targets-chinese-and-vietnamese-users

Report completeness: Medium

Threats:
Cleversoar
Nidhogg
Winos
Valleyrat
Raspberry_robin
Uacme
Dll_injection_technique
Pchunter_tool

Industry:
Entertainment

Geo:
Vietnamese, Chinese

TTPs:

IOCs:
File: 17
Registry: 2
IP: 1

Soft:
QEMU, windows defender, Windows Security, Windows firewall

Functions:
Termination

Win API:
GetTokenInformation, ShellExecuteA, GetSystemFirmwareTable, GetVersionExW, GetTickCount64, IsDebuggerPresent, IsProcessorFeaturePresent, DeviceIoControl

Win Services:
msmpeng, mcshield, mfemms, ekrn

Platforms:
x86

Links:
https://github.com/Idov31/Nidhogg
https://github.com/hfiref0x/UACME/blob/master/Source/Shared/windefend.c

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, table: 1, windows: 1