#ParsedReport #CompletenessLow
27-11-2024

Bootkitty: Analyzing the first UEFI bootkit for Linux

https://www.welivesecurity.com/en/eset-research/bootkitty-analyzing-first-uefi-bootkit-linux

Report completeness: Low

Threats:
Bootkitty
Bcdropper
Bcobserver
Efiguard
Especter
Finfisher
Blacklotus
Blackcat
Dynamic_linker_hijacking_technique

Victims:
Ubuntu versions

Geo:
Ukraine

TTPs:
Tactics: 5
Technics: 9

IOCs:
File: 3
Hash: 3

Soft:
Linux, Ubuntu, systemd

Win API:
decompress

Languages:
rust

Links:
https://github.com/ajkhoury/UEFI-Bootkit
have more...
https://github.com/Cr4sh/s6\_pcie\_microblaze/tree/master/python/payloads/DmaBackdoorBoot
https://github.com/Mattiwatti/EfiGuard

#ParsedReport #ExtractedSchema

Classified images:
code: 8, windows: 1, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что исследователи ESET обнаружили загрузочный пакет UEFI для систем Linux под названием Bootkitty, который является доказательством концепции, еще не встречавшейся в природе. Этот загрузчик предназначен для обхода проверки подписи ядра и предварительной загрузки неизвестных двоичных файлов во время запуска системы, в частности, для версий Ubuntu. Кроме того, был также идентифицирован соответствующий неподписанный модуль ядра под названием BCDropper, демонстрирующий функции, связанные с руткитом. Несмотря на то, что Bootkitty является скорее доказательством концепции, он отражает меняющийся ландшафт угроз для UEFI в системах Linux и подчеркивает необходимость обеспечения готовности к потенциальным будущим угрозам.
-----

Исследователи ESET обнаружили первый загрузочный пакет UEFI, разработанный для систем Linux и получивший название Bootkitty. Этот загрузочный пакет считается первоначальным подтверждением концепции и не был внедрен в массовом порядке. Он предназначен для отключения функции проверки подписи ядра и предварительной загрузки неизвестных двоичных файлов ELF с помощью процесса инициализации Linux во время запуска системы. Загрузочный пакет был загружен на VirusTotal в ноябре 2024 года и предназначен для Linux, в частности для нескольких версий Ubuntu. Он подписан самозаверяющим сертификатом, что делает невозможным его запуск в системах с включенной безопасной загрузкой UEFI, если только не установлены сертификаты злоумышленников.

Bootkitty содержит артефакты, указывающие на то, что он может быть скорее доказательством концепции, чем активно используемым вредоносным ПО. В нем есть функции, которые во время выполнения выводят определенные строки, включая ASCII-код, представляющий название bootkit и список возможных авторов, участвовавших в его разработке. Примечательно, что буткит поддерживает лишь ограниченное число систем из-за использования жестко закодированных байтовых шаблонов, которые ограничивают его функциональность конкретными конфигурациями.

Загрузчик запускается путем исправления законного загрузчика GRUB, загрузчика-заглушки EFI ядра Linux и распакованного образа ядра Linux. Он подключает функции из протоколов аутентификации UEFI для обхода безопасной загрузки UEFI и изменяет память GRUB для обеспечения бесперебойной загрузки ядра Linux. Кроме того, Bootkitty изменяет функцию module_sig_check для загрузки модулей ядра без проверки подписи.

В дополнение к bootkit на VirusTotal был обнаружен связанный с ним неподписанный модуль ядра под названием BCDropper. Хотя, судя по подсказкам, он был разработан тем же автором, что и Bootkitty, связь между ними остается неопределенной. BCDropper удаляет встроенный ELF-файл с именем BCObserver, скрывает себя и реализует функции, связанные с руткитами, такие как скрытие файлов и манипулирование процессами.

Несмотря на то, что Bootkitty является скорее подтверждением концепции, она представляет собой значительное изменение в ландшафте угроз UEFI, поскольку нацелена на системы Linux. Хотя текущая версия представляет минимальную угрозу для систем Linux, она подчеркивает важность готовности к потенциальным будущим угрозам UEFI.

#ParsedReport #CompletenessMedium
27-11-2024

Gaming Engines: An Undetected Playground for Malware Loaders. Key Points. Key Points

https://research.checkpoint.com/2024/gaming-engines-an-undetected-playground-for-malware-loaders

Report completeness: Medium

Threats:
Godloader
Stargazers_ghost_network
Xmrig_miner
Redline_stealer
Dll_hijacking_technique
Dropper.win.godot

Industry:
Entertainment

Geo:
Russian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1059.006, T1027, T1090, T1562.001, T1102.002, T1210, T1071.001

IOCs:
File: 5
Hash: 20
IP: 2

Soft:
Godot, macOS, Linux, Android, Discord, Microsoft Defender

Wallets:
harmony_wallet

Crypto:
monero, ethereum

Algorithms:
md5, aes

Functions:
_ready, _start_execution, get_gpu_names, get_total_free_space_gb, add_folder_to_windows_defender_exclusions, _linux_do, _mac_do

Languages:
python, gdscript, powershell

Platforms:
apple, cross-platform

Links:
https://github.com/Bioruebe/godotdec
https://github.com/apps/github-actions

#ParsedReport #ExtractedSchema

Classified images:
schema: 5, windows: 4

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в исследовании Check Point, раскрывающем новую технологию под названием GodLoader, которая использует движок Godot для выполнения вредоносных команд с использованием кода GDScript. Этот метод не поддается обнаружению большинством антивирусов, нацелен на широкий спектр устройств и распространяется через сеть Stargazers Ghost Network на GitHub. Анализ показывает эволюцию киберугроз, обусловленную постоянными инновациями киберпреступников в области внедрения вредоносного кода, уделяя особое внимание возможностям движка Godot и потенциальному влиянию на разработчиков игр и геймеров.
-----

В ходе исследования Check Point была обнаружена технология, использующая движок Godot для выполнения вредоносных команд с использованием кода GDScript, что позволяет избежать обнаружения большинством антивирусов.

Загрузчик под названием GodLoader заразил более 17 000 компьютеров с 29 июня 2024 года, распространяясь через сеть Stargazers Ghost Network на GitHub.

GodLoader ориентирован на множество платформ, таких как Windows, macOS, Linux, Android и iOS, потенциально затрагивая более 1,2 миллионов пользователей игр, разработанных на движке Godot Engine.

хакеры используют подлинные исполняемые файлы Godot для внедрения вредоносных скриптов в качестве загружаемого контента или модов, которые остаются незамеченными, демонстрируя постоянную эволюцию киберугроз.

GodLoader использует GDScript для незаметного выполнения вредоносного кода, загрузки вредоносных программ, обхода безопасных сред и выполнения удаленных полезных нагрузок без возникновения аварийных ситуаций.

Распределение полезной нагрузки через Stargazers Ghost Network включает в себя методы обхода "песочницы", проверки виртуальной среды и использование таких платформ, как bitbucket.организация для выполнения полезной нагрузки.

XMRig miner, входящий в состав GodLoader, был загружен более 17 000 раз и извлекает конфигурацию из частного источника на pastebin.

Вредоносная программа GodLoader эволюционировала от встраивания полезной нагрузки в движок Godot до разделения зашифрованных файлов, что свидетельствует о постоянных усилиях хакеров по совершенствованию тактики уклонения.

Распространение вредоносного ПО с помощью исполняемых файлов Godot Engine вызывает опасения по поводу потенциального заражения подлинных игр в результате подделки файлов или манипуляций с движком, аналогичных перехвату библиотек DLL.

#ParsedReport #CompletenessLow
27-11-2024

Attacks by the attack group APT-C-60 using legitimate services

https://blogs.jpcert.or.jp/ja/2024/11/APT-C-60.html

Report completeness: Low

Actors/Campaigns:
Camouflaged_hunter
Darkhotel

Threats:
Com_hijacking_technique

Geo:
Japan, Asia, China, Asian, Korea

ChatGPT TTPs:
do not use without manual check
T1566.001, T1546.015

IOCs:
File: 6
Path: 1
IP: 2
Hash: 20

Algorithms:
aes, rc4

Functions:
DllMain

Win API:
GetProcAddress

Languages:
javascript

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, code: 2, table: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в кибератаке, проведенной APT-C-60 против местных организаций в августе 2024 года. Атака включала рассылку вредоносных электронных писем, выдаваемых за заявления о приеме на работу, с целью заражения организаций вредоносным ПО. В статье подробно описывается метод атаки, включая анализ загрузчиков и бэкдоров, а также кампании с использованием того же вредоносного ПО. Важность атаки заключается в использовании законных сервисов, таких как Bitbucket и StatCounter, ее нацеленности на страны Восточной Азии и необходимости усиления мер кибербезопасности для защиты от APT-C-60 и подобных хакеров.
-----

Группа атак APT-C-60 провела атаки на местные организации в августе 2024 года, что подтверждено JPCERT/CC. Атака включала отправку вредоносных электронных писем, выдаваемых за заявления о приеме на работу, в отдел по подбору персонала организаций с целью заражения их вредоносным ПО. В этой статье рассматривается метод атаки, описывается процесс, приводящий к заражению вредоносным ПО, анализ загрузчиков, бэкдоров и кампаний, использующих одно и то же вредоносное ПО.

Атака началась с рассылки целевого электронного письма, в котором получателям предлагалось загрузить файл по ссылке Google Drive, указанной в электронном письме. При переходе по ссылке Google Drive загружается файл VHDX, содержащий вредоносное ПО. Файлы VHDX - это форматы файлов на виртуальном диске, которые можно просмотреть, установив их. Файл VHDX в ходе этой атаки содержал файл LNK и документ-приманку, как показано на рисунке 2. Открыв IPML.txt , обнаруживается документ-приманка, в то время как загрузчик, известный как SecureBootUEFI.dat, создается и поддерживается для сохранения посредством перехвата COM, регистрируя путь к идентификатору COM-интерфейса F82B4EF1-93A9-4DDE-8015-F7950A1A6E31.

ESET назвала бэкдор, использованный в этой атаке, SpyGrace. Конфигурация, встроенная в бэкдор, включает информацию о версии, причем образец идентифицирован как v3.1.6. Фаза инициализации бэкдора включает выполнение определенных команд и URL-адресов C2, как подробно описано в приложении A. В отчетах от поставщиков средств безопасности за август-сентябрь 2024 года указывалось на вредоносное ПО, похожее на подтвержденный образец, с акцентом на использование законных средств защиты. такие сервисы, как Bitbucket и StatCounter, а также сохранение данных с помощью перехвата COM. Кроме того, наличие документа-приманки в файле VHDX указывает на потенциальные аналогичные атаки в странах Восточной Азии, таких как Япония, Южная Корея и Китай, что согласуется с сообщениями об атаках, направленных против этих стран.

Эта атака вызывает беспокойство из-за использования законных сервисов, таких как Bitbucket и StatCounter, и ее направленности на страны Восточной Азии, в частности Японию. Дополнительные сведения о образцах и CCE, использованных при атаке, можно найти в предоставленном приложении. Важность этих результатов подчеркивается совпадением элементов в разных кампаниях с точки зрения типов команд, ключей RC4, ключей AES и других характеристик, наблюдаемых в проанализированных выборках.

Учитывая изощренность и размах этих атак, бдительность и усовершенствованные меры кибербезопасности имеют решающее значение для защиты организаций и конфиденциальных данных от попадания в руки APT-C-60 и подобных хакеров. Выводы, изложенные в этой статье, проливают свет на тактику, методы и процедуры, используемые APT-C-60, подчеркивая необходимость упреждающего анализа угроз и возможностей реагирования на них перед лицом развивающихся киберугроз.

#ParsedReport #CompletenessLow
27-11-2024

Credit Card Skimmer Malware Targeting Magento Checkout Pages

https://blog.sucuri.net/2024/11/credit-card-skimmer-malware-targeting-magento-checkout-pages.html

Report completeness: Low

Victims:
Magento websites

Industry:
E-commerce

ChatGPT TTPs:
do not use without manual check
T1036, T1078.003

IOCs:
Domain: 3
File: 1

Algorithms:
base64, xor

Languages:
javascript

#ParsedReport #ExtractedSchema

Classified images:
code: 5, schema: 4

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что вредоносная программа нацелена на веб-сайты Magento с помощью вредоносного JavaScript-кода, предназначенного для кражи ценных данных клиентов во время оформления заказа. Вредоносная программа создает поддельные формы кредитных карт или извлекает поля для оплаты, отправляя зашифрованные данные на удаленный сервер. В тексте также рассказывается об обнаружении вредоносного ПО на зараженных веб-сайтах, о том, как оно работает, и даются рекомендации по защите платформ электронной коммерции. Кроме того, в нем рассказывается о Пудже Шриваставе (Puja Srivastava), аналитике по безопасности, специализирующемся на исследовании вредоносных программ и устранении их последствий, который занимается борьбой с новыми вредоносными угрозами.
-----

Веб-сайты Magento являются главной мишенью для киберпреступников из-за их распространенности в сфере электронной коммерции и ценной информации о клиентах, которую они обрабатывают.

Была обнаружена вредоносная программа JavaScript, нацеленная на сайты Magento с целью кражи зашифрованных данных клиентов во время оформления заказа.

Вредоносная программа работает путем создания поддельных бланков кредитных карт или извлечения полей для оплаты непосредственно на страницах оформления заказа.

Вредоносная программа была впервые обнаружена Уэстоном Генри (Weston Henry) и предназначена для объединения вредоносных программ для файловой системы и баз данных с передовыми методами обфускации.

На момент написания статьи 8 веб-сайтов были заражены этой вредоносной программой, исходящей из занесенного в черный список домена dynamicopenfonts.app.

Информация о кредитной карте и пользовательские данные, собранные с помощью API-интерфейсов Magento, шифруются и отправляются на удаленный сервер по адресу staticfonts.com stealthly.

Рекомендации по защите платформ электронной коммерции включают постоянное обновление программного обеспечения, безопасное управление учетными записями администраторов, внедрение мониторинга целостности файлов и развертывание брандмауэра веб-приложений (WAF).

Пуджа Шривастава, аналитик по безопасности, специализирующийся на исследовании, обнаружении и устранении вредоносных программ, активно борется с новыми вредоносными угрозами в этой области.

#ParsedReport #CompletenessLow
28-11-2024

Malicious PyPI crypto pay package aiocpa implants infostealer code

https://www.reversinglabs.com/blog/malicious-pypi-crypto-pay-package-aiocpa-implants-infostealer-code

Report completeness: Low

Threats:
Aiocpa_stealer
Typosquatting_technique
Supply_chain_technique

ChatGPT TTPs:
do not use without manual check
T1204, T1071

IOCs:
Hash: 4

Algorithms:
base64

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении и анализе вредоносного кода, скрытого в, казалось бы, легальном пакете Python под названием aiocpa, который был нацелен на криптовалютные кошельки. ReversingLabs, система поиска угроз, основанная на машинном обучении, обнаружила вредоносный пакет и отправила сообщение об этом в Python Package Index (PyPI) для удаления, подчеркнув уникальный подход злоумышленников. Используя для дифференциального анализа такие инструменты, как Spectra Assure, исследователи смогли выявить модели вредоносного поведения в различных версиях пакета и подчеркнуть важность передовых средств обеспечения безопасности цепочки поставок программного обеспечения для обнаружения и устранения таких угроз. Этот инцидент подчеркивает растущую сложность угроз безопасности программного обеспечения с открытым исходным кодом и необходимость для организаций внедрять специальные инструменты для глубокого изучения поведения программного обеспечения для эффективной борьбы с этими угрозами.
-----

ReversingLabs выявила вредоносный код в пакете aiocpa, направленный на компрометацию криптовалютных кошельков.

Атака была уникальной, поскольку участники не выдавали себя за легальные пакеты, а разработали свой собственный крипто-клиентский инструмент для привлечения пользователей.

Вредоносный код был внедрен в сам пакет PyPI, что позволило избежать традиционных проверок безопасности.

RL Spectra Assure был использован для дифференциального анализа двух версий пакета, чтобы выявить методы злоумышленников.

Вредоносный код был идентифицирован в версиях 0.1.13 и 0.1.14 путем обнаружения моделей поведения, связанных с вредоносным ПО.

Spectra Assure использует извлечение индикаторов поведения во время статического анализа для оценки и снижения рисков безопасности программного обеспечения сторонних производителей.

Политики поиска угроз (Threat Hunting, TH) в рамках Spectra помогают автоматизировать обнаружение угроз и смягчать угрозы в цепочке поставок программного обеспечения.

Этот инцидент подчеркивает необходимость в таких передовых инструментах, как Spectra Assure, для борьбы с появляющимися угрозами безопасности программного обеспечения с открытым исходным кодом.

#cyberthreattech
Что-то уже начало работать.
Но, скорее всего, в декабре в паблик выкатить не успеем, только закрытый бета-тест проведем.

#ParsedReport #CompletenessHigh
29-11-2024

Matrix Unleashes A New Widespread DDoS Campaign

https://www.aquasec.com/blog/matrix-unleashes-a-new-widespread-ddos-campaign

Report completeness: High

Actors/Campaigns:
Matrix (motivation: script_kiddie, financially_motivated)

Threats:
Mirai
Pybot
Discordgo
Gorillabot
911s5
Zephyrus
Supply_chain_technique
Kryptik
Sshscan_tool
Siggen
Casdet
Bashlite

Industry:
Iot, Telco, Software_development, Critical_infrastructure

Geo:
Ukraine, Ukrainian, Russian, Japan, China, Apac, Usa, Russia

CVEs:
CVE-2017-17106 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- zivif pr115-204-p-rs firmware (2.3.4.2103)

CVE-2017-18368 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- billion 5200w-t firmware (7.3.8.0)

CVE-2014-8361 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- dlink dir-905l firmware (le2.05b01)

CVE-2024-27348 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apache hugegraph (<1.3.0)

CVE-2017-17215 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- huawei hg532 firmware (-)

CVE-2022-30075 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- tp-link archer ax50 firmware (le210730)

CVE-2022-30525 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- zyxel usg flex 100w firmware (<5.30)

CVE-2021-20090 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- buffalo wsr-2533dhpl2-bk firmware (le1.02)

CVE-2018-10561 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- dasannetworks gpon router firmware (-)

CVE-2018-10562 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- dasannetworks gpon router firmware (-)

CVE-2018-9995 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- tbkvision tbk-dvr4216 firmware (-)


TTPs:
Tactics: 8
Technics: 0

IOCs:
Hash: 11
File: 2
IP: 6

Soft:
Telegram, Hadoop, Linux, OpenSSH, OpenWRT, Discord, Windows Defender, SQLlite, ubuntu, Zyxel, have more...

Algorithms:
md5

Win API:
pie

Languages:
perl, golang, python, javascript, java

Platforms:
x86

Links:
https://github.com/milesrack/pynet
https://github.com/bwmarrin/discordgo
have more...
https://github.com/wodxgod/PYbot