#ParsedReport #CompletenessHigh
30-11-2024

The RAT race: What happens when RATs go undetected

https://fieldeffect.com/blog/what-happens-when-rats-go-undetected

Report completeness: High

Threats:
Motw_bypass_technique
Batchshield_tool
Donut
Lazzzy
Dcrat
Asyncrat
Xworm_rat
Purelogs

Industry:
Financial

CVEs:
CVE-2024-38213 [Vulners]
CVSS V3.1: 6.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows 10 1507 (<10.0.10240.20680)
- microsoft windows 10 1607 (<10.0.14393.7070)
- microsoft windows 10 1809 (<10.0.17763.5936)
- microsoft windows 10 21h2 (<10.0.19044.4529)
- microsoft windows 10 22h2 (<10.0.19045.4529)
have more...

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1553.005, T1204.005, T1566.001, T1027, T1059.005, T1027.002, T1140, T1505.001, T1071.001

IOCs:
File: 33
Hash: 49
IP: 11
Domain: 8
Email: 1
Url: 1

Soft:
Windows Defender SmartScreen, Windows Explorer, Selenium, Chrome, Microsoft Edge, TryCloudflare

Algorithms:
zip, sha256, rc4

Languages:
python, javascript, visual_basic

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте описывается инцидент с киберугрозой, в ходе которого было проанализировано вредоносное вложение электронной почты, что привело к обнаружению сложной цепочки атак, включающей использование уязвимости Windows для выполнения множества вредоносных сценариев и полезной нагрузки. Анализ выявил наличие средств удаленного доступа (RATs) и полезной нагрузки для кражи данных, продемонстрировав сложные методы уклонения и использование доменов управления, размещенных на поддоменах Duck DNS. Этот инцидент подчеркивает важность быстрого обнаружения угроз и их сдерживания в условиях растущих киберугроз с акцентом на упреждающие меры кибербезопасности и эффективную аналитику угроз для снижения рисков.
-----

Клиент Field Effect MDR (Managed Detection and Response) получил электронное письмо, содержащее вредоносное вложение, сохраненное во временном каталоге Windows. Несмотря на то, что оно было обнаружено как вредоносное, был рассмотрен гипотетический сценарий, при котором эксплойт обходил функции безопасности. Эксплойт HTML-файла был нацелен на CVE-2024-38213, чтобы обойти защиту Windows MoTW и запустить серию вредоносных скриптов. Файл LNK, замаскированный под PDF, привел к созданию сценария Visual Basic, который запускал цепочку событий для выполнения различных полезных задач.

В ходе анализа были обнаружены запутанные файлы на Python, в которых использовались инструменты удаленного доступа (RATs), такие как DcRAT, AsyncRAT и XWorm, а также a.NET полезная нагрузка, использующая программу PureLog Stealer для кражи данных. В полезной нагрузке использовались различные методы обхода, шифрования и выполнения в памяти, чтобы избежать обнаружения. Запуск RATs был основан на обнаружении антивирусного программного обеспечения в целевой системе, что обеспечивало избыточность при выполнении полезной нагрузки.

Кроме того, домены command и control для RATs и PureLog Stealer указывали на поддомены DNS Duck, направляющие трафик на IP-адреса, размещенные AT&T в США. Поддомены часто включали имена RAT для целей отслеживания. Интересно, что вредоносные файлы были размещены в каталогах WebDAV, а URL-адреса были быстро настроены и удалены с помощью сервиса TryCloudflare от Cloudflare для обеспечения анонимности.

Гипотетический сценарий продемонстрировал потенциальное воздействие, если хакер получит удаленный доступ, подчеркнув необходимость быстрого обнаружения и сдерживания угроз. Несмотря на сложную цепочку атак, Field Effect MDR успешно перехватила и нейтрализовала угрозу на ранней стадии, предотвратив потенциальное внедрение программ-вымогателей или утечку данных.

В ходе анализа были идентифицированы конкретные файлы, связанные с каждым RAT и полезной нагрузкой, что демонстрирует разнообразные возможности развернутого вредоносного ПО. Использование злоумышленниками различных методов уклонения и сохранения информации подчеркивает сложность и адаптивность современных киберугроз. На протяжении всего анализа подчеркивается важность упреждающих мер кибербезопасности и эффективного анализа угроз для их устранения.

#ParsedReport #CompletenessLow
30-11-2024

Uncovering Threat Actor Tactics: How Open Directories Provide Insight into XWorm Delivery Strategies

https://hunt.io/blog/uncovering-threat-actor-tactics-xworm-delivery-strategies

Report completeness: Low

Threats:
Xworm_rat
Supply_chain_technique

Industry:
Healthcare

Geo:
Thailand, Korean, Korea

ChatGPT TTPs:
do not use without manual check
T1036, T1562.001

IOCs:
IP: 6
File: 8
Hash: 1

Soft:
chrome, Google Chrome, Windows Defender, Telegram

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: В тексте рассказывается о том, как хакеры используют открытые каталоги с плохими методами обеспечения безопасности для распространения троянца удаленного доступа XWorm (RAT), замаскированного под обычное программное обеспечение, освещается тактика, применяемая злоумышленниками, и дается представление об их методах нацеливания. В анализе также представлены такие инструменты, как AttackCapture, для выявления вредоносных серверов, на которых размещен XWorm, и подчеркивается важность мониторинга открытых каталогов для обнаружения таких угроз и эффективного реагирования на них.
-----

Открытые каталоги используются хакерами для распространения троянца удаленного доступа XWorm, замаскированного под обычное программное обеспечение.

Вирус XWorm RAT распространяется через открытые каталоги с использованием обманчивых методов, позволяющих обмануть потенциальных жертв.

Платформа AttackCapture предлагает подробный список открытых каталогов с системой тегов для идентификации вредоносных серверов.

Образцы XWorm были обнаружены в каталогах по всему миру, где злоумышленники использовали различные маскировки и тактики.

В качестве конкретных примеров можно привести серверы в Таиланде и Южной Корее с подозрительными файлами и скриптами, предназначенными для отключения мер безопасности.

Более 300 образцов XWorm доступны для анализа, позволяющего выявить поведение злоумышленников и стратегии распространения.

Сервер в Соединенных Штатах был вовлечен в аферу, рекламирующую поддельные подарочные карты, доставляя XWorm с помощью скрытого пакетного скрипта.

Мониторинг открытых каталогов имеет решающее значение для понимания тактики злоумышленников и внедрения эффективных мер защиты, таких как внесение в список разрешенных приложений и EDR-решения.

#ParsedReport #CompletenessLow
30-11-2024

Earth Estries Hackers Backdoor Telecoms with New GhostSpider Malware

https://www.secureblink.com/cyber-security-news/earth-estries-hackers-backdoor-telecoms-with-new-ghost-spider-malware

Report completeness: Low

Actors/Campaigns:
Ghostemperor (motivation: cyber_espionage)

Threats:
Ghostspider
Deed_rat
Masol
Lolbin_technique
Demodex_tool
Proxylogon_exploit
Dll_hijacking_technique
Shadowpad

Victims:
Verizon, At&t, Lumen technologies, T-mobile

Industry:
Telco, Critical_infrastructure, Government, Ngo, Chemical, Transport

Geo:
Taiwan, Asia-pacific, Asia, Africa, Malaysia, Vietnam, Brazil, Afghanistan, Indonesia, Thailand, Middle east, South africa, Asian, Pakistan, Taiwanese, Americas, Chinese, Philippines, India

CVEs:
CVE-2023-48788 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet forticlient enterprise management server (le7.0.10, le7.2.2)

CVE-2023-46805 [Vulners]
CVSS V3.1: 8.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect secure (9.0, 9.1, 22.1, 22.2, 22.3)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3)

CVE-2024-21887 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect secure (9.0, 9.1, 22.1, 22.2, 22.3)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3)

CVE-2022-3236 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- sophos firewall (le19.0.1)


ChatGPT TTPs:
do not use without manual check
T1574.001, T1105, T1027, T1078, T1505.003

IOCs:
File: 2

Soft:
Linux, Ivanti, Microsoft Exchange, PSEXEC

Platforms:
cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Хакерская группа Earth Estries, китайская группировка APT, проводит сложные кампании кибершпионажа, нацеленные на критически важные сектора по всему миру, уделяя особое внимание телекоммуникациям и государственным структурам. Их операции включают в себя использование продвинутых бэкдоров, таких как GHOSTSPIDER и MASOL RAT, использование уязвимостей сервера и развертывание LOLBINs для бокового перемещения. Заметные нарушения включают в себя компрометацию крупных телекоммуникационных провайдеров, таких как Verizon и AT&T, что демонстрирует их намерения по постоянному шпионажу и слежке. Их организационная структура включает в себя различные кампании, несколько команд, управляющих сложной инфраструктурой C&C, и общую тактику с другими группами APT, что подчеркивает взаимосвязанный характер китайских хакеров. Усовершенствованные меры кибербезопасности и возможности анализа угроз имеют решающее значение для эффективной борьбы с постоянными и скрытными операциями Earth Estries.
-----

Earth Estries, китайская группировка APT, нацелена на критически важные сектора, такие как телекоммуникации и государственные учреждения по всему миру, и нарушения затронули более 20 организаций.

Они используют сложные бэкдоры, такие как GHOSTSPIDER, SNAPPYBEE и MASOL RAT, для кампаний кибершпионажа.

Последние разработки включают в себя развертывание MASOL RAT на устройствах Linux, использование автономных двоичных файлов для горизонтального перемещения и управление сложной инфраструктурой командования и контроля.

Заметные нарушения связаны с компрометацией поставщиков телекоммуникационных услуг, таких как Verizon, AT&T и T-Mobile в США.

Их операции включают использование уязвимостей сервера, использование LOLBINs и развертывание вредоносных программ, таких как SNAPPYBEE, DEMODEX и GHOSTSPIDER.

Earth Estries организует кампании, подобные кампаниям "Альфа" и "Бета", с конкретными целями, подчеркивая их организационную структуру и разделение труда.

Группа демонстрирует потенциал сотрудничества или обмена ресурсами с другими китайскими группами APT, такими как FamousSparrow и GhostEmperor.

Earth Estries представляет собой серьезную глобальную киберугрозу, требующую усиления мер кибербезопасности и возможностей анализа угроз для эффективного смягчения последствий.

#ParsedReport #CompletenessLow
30-11-2024

Ransomware Roundup - Interlock

https://www.fortinet.com/blog/threat-research/ransomware-roundup-interlock

Report completeness: Low

Threats:
Interlock

Industry:
Education, Healthcare, Financial, Government

Geo:
Peru, Japan, Korea, Turkey, India, Italy, Germany

ChatGPT TTPs:
do not use without manual check
T1486, T1105

IOCs:
File: 2
Command: 1
Hash: 7

Algorithms:
aes-cbc

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Программа-вымогатель Interlock - это новая заметная угроза, обнаруженная FortiGuard Labs в начале октября 2024 года. Она шифрует файлы на компьютерах жертв и требует выкуп за расшифровку, причем как в версиях для Windows, так и во FreeBSD используются сложные методы шифрования. Программа-вымогатель уже затронула жертв во многих странах в различных секторах, не проявляя дискриминации в отношении своих целей. Кроме того, операторы поддерживают сайт утечки данных в TOR для вымогательства у жертв и потенциальной утечки конфиденциальной информации, если требования не будут выполнены.
-----

Программа-вымогатель Interlock, недавно обнаруженная FortiGuard Labs, представляет собой новый вариант, впервые появившийся в начале октября 2024 года. Она отличается наличием версий как для Windows, так и для FreeBSD, что указывает на изощренный подход ее создателей. Программа-вымогатель шифрует файлы на компьютерах жертв и требует выкуп в обмен на расшифровку, о чем свидетельствуют сброшенные сообщения о требовании выкупа. Хотя первоначальный источник заражения остается неустановленным, есть признаки того, что программа-вымогатель могла распространяться через ранее неизвестный бэкдор, обнаруженный на компьютере жертвы.

Windows-версия Interlock предназначена для шифрования файлов в различных версиях операционной системы Windows и добавляет к зашифрованным файлам расширение ".interlock". Записка с требованием выкупа, оставленная этой версией программы-вымогателя, помечена как "!__README__!.txt". Интересно, что программа-вымогатель исключает из шифрования определенные файлы и их типы, чтобы потенциально избежать повреждения критически важных системных файлов. С другой стороны, версия Interlock для FreeBSD использует алгоритм шифрования AES-CBC для шифрования файлов и добавляет то же расширение ".interlock". Кроме того, в нем остается текстовый файл с тем же уведомлением о требовании выкупа, что и в версии для Windows. Примечательно, что в версии FreeBSD файлы с расширением ".interlock" не подлежат шифрованию, что потенциально указывает на стремление избежать повторного шифрования уже зашифрованных файлов.

Несмотря на то, что Interlock является относительно новой угрозой, она уже затронула жертв во многих странах, включая Соединенные Штаты, Италию, Индию, Японию, Германию, Перу, Южную Корею и Турцию, о чем свидетельствуют материалы, представленные в службы сканирования. Жертвы охватывают различные секторы, включая образование, финансы, государственное управление, здравоохранение и производство, что позволяет предположить, что Interlock не проводит дискриминации по отраслевым целям. Этот подход отличается от подхода некоторых других групп программ-вымогателей, которые избегают нацеливаться на критически важные предприятия или организации.

Операторы программ-вымогателей Interlock поддерживают сайт по утечке данных в TOR, что указывает на стремление к вымогательству у жертв и потенциальной утечке конфиденциальной информации, если требования о выкупе не будут выполнены. Сайт разделен на четыре раздела, что предполагает структурированный и организованный подход к обработке данных жертв и управлению ими.

#ParsedReport #CompletenessMedium
01-12-2024

Remember the evil: Angry Likho's new targeted campaign

https://securelist.ru/angry-likho-another-campaign-with-darktrack-rat/111139

Report completeness: Medium

Actors/Campaigns:
Sticky_werewolf
Uac-0050

Threats:
Darktrack
Ande_loader
Agent_tesla
Nanocore_rat
Redline_stealer
Asyncrat
Remcos_rat
Steganography_technique

Victims:
Russian organizations, Belarusian organizations

Geo:
Belarus, Russian, Ukrainian, Russia, Belarusian

ChatGPT TTPs:
do not use without manual check
T1566, T1036, T1027, T1071.001, T1105

IOCs:
File: 7
Url: 13
IP: 2

Soft:
QEMU, Windows Defender

Algorithms:
base64, zip

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 3, windows: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в серии кибератак на российские и белорусские организации, совершенных группой Angry Likho с использованием вредоносного ПО DarkTrack backdoor. В ходе атак использовались сложные фишинговые электронные письма с вложениями с двойным расширением, которые приводили к установке Ande Loader и, в конечном счете, троянской программы удаленного доступа DarkTrack. Злоумышленники использовали многоступенчатую загрузку полезных данных и распространяли вредоносное ПО через веб-сайт nanoshield.pro. Анализ также связывает инфраструктуру группы с другими вредоносными действиями, что указывает на продолжающиеся угрозы организациям в регионе.
-----

В тексте говорится о серии кибератак, направленных против российских и белорусских организаций с середины 2024 года, с использованием вредоносного ПО DarkTrack backdoor, которое впервые появилось девять лет назад. Считается, что атаки были организованы группой, известной как Angry Likho, или Sticky Werewolf, которая действует с 2023 года. Атака начинается с фишинговых электронных писем, содержащих вредоносные вложения, замаскированные под двойные расширения, такие как *.docx.exe или *.pdf.exe. Эти вложения выполняют сценарии, которые проверяют наличие виртуальных сред перед загрузкой загрузчика Ande Loader, компонента, широко используемого при хакерских атаках по всему миру.

Загрузчик Ande загружается в память с использованием кодировки Base64 и сборки отражения, а затем вызывает метод для загрузки URL-адреса полезной нагрузки, в конечном итоге внедряя вредоносный исполняемый файл из семейства троянских программ удаленного доступа DarkTrack. Злоумышленники использовали многоэтапный метод загрузки полезных данных, который применяется с 2020 года, демонстрируя эволюцию и постоянство своей тактики.

Дальнейшее расследование показало, что файл изображения, содержащий модуль, аналогичный загрузчику Ande, был распространен через nanoshield.профессиональный веб-сайт. На этом веб-сайте были представлены зашифрованные файлы различных семейств вредоносных программ, таких как NanoCore, Agent Tesla, RedLine и AsyncRAT. Более того, сообщение на GitHub, инициированное владельцем Nano Shield, запросило разблокировку сайта блокировщиком рекламы и нежелательного контента, что указывает на потенциальный компромисс.

Анализ также связывает инфраструктуру, используемую Angry Likho в этих атаках, с другими вредоносными действиями, включая атаку группы UAC-0050, направленную на различные системы с похожими хранилищами скриптов на bitbucket.org. Несмотря на это сходство, злоумышленники изменили свои каналы распространения, возможно, из-за блокировки веб-сайта Nano Shield для размещения вредоносного ПО.

Метод атаки Angry Likho включает в себя серию скриптов, которые предоставляют бэкдор DarkTrack через установщиков NSIS, демонстрируя способность группы проводить целевые кампании с помощью сложных фишинговых электронных писем и многоэтапных механизмов доставки вредоносного ПО. Пиковое число жертв за последние шесть месяцев свидетельствует об эффективности их стратегий и сохраняющейся угрозе организациям в регионе.

#ParsedReport #CompletenessLow
01-12-2024

Beluga phishing campaign targets OneDrive credentials

https://www.threatdown.com/blog/beluga-phishing-campaign-targets-onedrive-credentials

Report completeness: Low

Actors/Campaigns:
Beluga (motivation: cyber_criminal)

ChatGPT TTPs:
do not use without manual check
T1566.001, T1204.001, T1078.003, T1485

IOCs:
File: 2

Soft:
Telegram

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Фишинговая кампания Beluga использует настраиваемые htm-файлы для получения учетных данных компании OneDrive с помощью персонализированных вложений в электронную почту, напоминающих настоящие страницы входа в систему, с целью обмана получателей, чтобы заставить их раскрыть свои учетные данные для входа. Кроме того, киберпреступники все чаще используют Telegram-ботов для сбора украденных данных и осуществления крупномасштабных мошеннических действий, которые могут привести к компрометации конфиденциальной информации и внедрению программ-вымогателей на подключенных устройствах. Организациям следует проявлять бдительность в отношении изощренной тактики фишинга и применять надежные меры безопасности для защиты своих активов и данных.
-----

Фишинговая кампания Beluga использует htm-файлы для получения учетных данных компании OneDrive. Эта конкретная кампания была недавно обнаружена в Интернете и известна своей высокой степенью настройки под учетные записи OneDrive конкретных компаний. Фишинговые электронные письма содержат вложения в формате .htm, имитирующие страницы входа в OneDrive, на которых для большей достоверности отображается адрес электронной почты адресата и логотип компании. Во вложении получателю предлагается авторизоваться для просмотра PDF-файла с именем "Защищенный документ 043.pdf", нажав на кнопку "ПРОСМОТРЕТЬ ДОКУМЕНТ". Одним из признаков мошенничества является то, что кнопки "Войти" и "Создать учетную запись" на поддельной странице не работают должным образом.

Когда цель нажимает кнопку "ПРОСМОТРЕТЬ ДОКУМЕНТ", она перенаправляется на персонализированную форму входа в систему с уже заполненным адресом электронной почты и логотипом связанной с ней компании. Эта форма входа не позволяет изменять адрес электронной почты, что еще больше разоблачает мошенничество. Кампания Beluga направлена на то, чтобы обманом заставить получателей ввести свои учетные данные, что потенциально позволит хакерам получить доступ к конфиденциальной информации, хранящейся в целевых учетных записях OneDrive.

Более того, киберпреступники, в частности фишеры, все чаще используют Telegram-ботов для сбора украденных учетных данных и проведения крупномасштабных мошеннических операций. Эти боты позволяют хакерам эффективно собирать украденные данные и управлять ими, а также автоматизировать различные аспекты своих фишинговых операций. Используя Telegram, злоумышленники могут просматривать скомпрометированные учетные записи OneDrive в поисках ценных данных, таких как конфиденциальные документы, финансовые отчеты и интеллектуальная собственность. Они также могут использовать функцию синхронизации OneDrive для проникновения на подключенные устройства и потенциального развертывания программ-вымогателей для шифрования критически важных файлов или удаления резервных копий, хранящихся в скомпрометированной учетной записи.

Таким образом, фишинговая кампания Beluga использует обманчивые htm-файлы для получения учетных данных компании OneDrive с помощью специальных вложений в электронную почту, напоминающих страницы для входа в систему. Заманивая получателей персонализированным контентом и приглашениями получить доступ к якобы защищенным документам, киберпреступники пытаются обманом заставить людей раскрыть свои учетные данные для входа. Кроме того, использование Telegram-ботов расширяет возможности хакеров по эффективному управлению украденными данными и проведению крупномасштабных фишинговых атак, что потенциально может привести к компрометации конфиденциальной информации и внедрению программ-вымогателей на подключенные устройства. Организациям следует сохранять бдительность в отношении такой изощренной тактики фишинга и применять надежные меры безопасности для защиты своих активов и данных.

FYI

https://isc.sans.edu/diary/rss/31476

The strange case of disappearing Russian servers

#technique

Loads a drivers through NtLoadDriver by setting up the service registry key directly. To be used in engagement for BYOVD, where service creation creates an alert.

https://github.com/ioncodes/SilentLoad