#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в серии кибератак на российские и белорусские организации, совершенных группой Angry Likho с использованием вредоносного ПО DarkTrack backdoor. В ходе атак использовались сложные фишинговые электронные письма с вложениями с двойным расширением, которые приводили к установке Ande Loader и, в конечном счете, троянской программы удаленного доступа DarkTrack. Злоумышленники использовали многоступенчатую загрузку полезных данных и распространяли вредоносное ПО через веб-сайт nanoshield.pro. Анализ также связывает инфраструктуру группы с другими вредоносными действиями, что указывает на продолжающиеся угрозы организациям в регионе.
-----

В тексте говорится о серии кибератак, направленных против российских и белорусских организаций с середины 2024 года, с использованием вредоносного ПО DarkTrack backdoor, которое впервые появилось девять лет назад. Считается, что атаки были организованы группой, известной как Angry Likho, или Sticky Werewolf, которая действует с 2023 года. Атака начинается с фишинговых электронных писем, содержащих вредоносные вложения, замаскированные под двойные расширения, такие как *.docx.exe или *.pdf.exe. Эти вложения выполняют сценарии, которые проверяют наличие виртуальных сред перед загрузкой загрузчика Ande Loader, компонента, широко используемого при хакерских атаках по всему миру.

Загрузчик Ande загружается в память с использованием кодировки Base64 и сборки отражения, а затем вызывает метод для загрузки URL-адреса полезной нагрузки, в конечном итоге внедряя вредоносный исполняемый файл из семейства троянских программ удаленного доступа DarkTrack. Злоумышленники использовали многоэтапный метод загрузки полезных данных, который применяется с 2020 года, демонстрируя эволюцию и постоянство своей тактики.

Дальнейшее расследование показало, что файл изображения, содержащий модуль, аналогичный загрузчику Ande, был распространен через nanoshield.профессиональный веб-сайт. На этом веб-сайте были представлены зашифрованные файлы различных семейств вредоносных программ, таких как NanoCore, Agent Tesla, RedLine и AsyncRAT. Более того, сообщение на GitHub, инициированное владельцем Nano Shield, запросило разблокировку сайта блокировщиком рекламы и нежелательного контента, что указывает на потенциальный компромисс.

Анализ также связывает инфраструктуру, используемую Angry Likho в этих атаках, с другими вредоносными действиями, включая атаку группы UAC-0050, направленную на различные системы с похожими хранилищами скриптов на bitbucket.org. Несмотря на это сходство, злоумышленники изменили свои каналы распространения, возможно, из-за блокировки веб-сайта Nano Shield для размещения вредоносного ПО.

Метод атаки Angry Likho включает в себя серию скриптов, которые предоставляют бэкдор DarkTrack через установщиков NSIS, демонстрируя способность группы проводить целевые кампании с помощью сложных фишинговых электронных писем и многоэтапных механизмов доставки вредоносного ПО. Пиковое число жертв за последние шесть месяцев свидетельствует об эффективности их стратегий и сохраняющейся угрозе организациям в регионе.

#ParsedReport #CompletenessLow
01-12-2024

Beluga phishing campaign targets OneDrive credentials

https://www.threatdown.com/blog/beluga-phishing-campaign-targets-onedrive-credentials

Report completeness: Low

Actors/Campaigns:
Beluga (motivation: cyber_criminal)

ChatGPT TTPs:
do not use without manual check
T1566.001, T1204.001, T1078.003, T1485

IOCs:
File: 2

Soft:
Telegram

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Фишинговая кампания Beluga использует настраиваемые htm-файлы для получения учетных данных компании OneDrive с помощью персонализированных вложений в электронную почту, напоминающих настоящие страницы входа в систему, с целью обмана получателей, чтобы заставить их раскрыть свои учетные данные для входа. Кроме того, киберпреступники все чаще используют Telegram-ботов для сбора украденных данных и осуществления крупномасштабных мошеннических действий, которые могут привести к компрометации конфиденциальной информации и внедрению программ-вымогателей на подключенных устройствах. Организациям следует проявлять бдительность в отношении изощренной тактики фишинга и применять надежные меры безопасности для защиты своих активов и данных.
-----

Фишинговая кампания Beluga использует htm-файлы для получения учетных данных компании OneDrive. Эта конкретная кампания была недавно обнаружена в Интернете и известна своей высокой степенью настройки под учетные записи OneDrive конкретных компаний. Фишинговые электронные письма содержат вложения в формате .htm, имитирующие страницы входа в OneDrive, на которых для большей достоверности отображается адрес электронной почты адресата и логотип компании. Во вложении получателю предлагается авторизоваться для просмотра PDF-файла с именем "Защищенный документ 043.pdf", нажав на кнопку "ПРОСМОТРЕТЬ ДОКУМЕНТ". Одним из признаков мошенничества является то, что кнопки "Войти" и "Создать учетную запись" на поддельной странице не работают должным образом.

Когда цель нажимает кнопку "ПРОСМОТРЕТЬ ДОКУМЕНТ", она перенаправляется на персонализированную форму входа в систему с уже заполненным адресом электронной почты и логотипом связанной с ней компании. Эта форма входа не позволяет изменять адрес электронной почты, что еще больше разоблачает мошенничество. Кампания Beluga направлена на то, чтобы обманом заставить получателей ввести свои учетные данные, что потенциально позволит хакерам получить доступ к конфиденциальной информации, хранящейся в целевых учетных записях OneDrive.

Более того, киберпреступники, в частности фишеры, все чаще используют Telegram-ботов для сбора украденных учетных данных и проведения крупномасштабных мошеннических операций. Эти боты позволяют хакерам эффективно собирать украденные данные и управлять ими, а также автоматизировать различные аспекты своих фишинговых операций. Используя Telegram, злоумышленники могут просматривать скомпрометированные учетные записи OneDrive в поисках ценных данных, таких как конфиденциальные документы, финансовые отчеты и интеллектуальная собственность. Они также могут использовать функцию синхронизации OneDrive для проникновения на подключенные устройства и потенциального развертывания программ-вымогателей для шифрования критически важных файлов или удаления резервных копий, хранящихся в скомпрометированной учетной записи.

Таким образом, фишинговая кампания Beluga использует обманчивые htm-файлы для получения учетных данных компании OneDrive с помощью специальных вложений в электронную почту, напоминающих страницы для входа в систему. Заманивая получателей персонализированным контентом и приглашениями получить доступ к якобы защищенным документам, киберпреступники пытаются обманом заставить людей раскрыть свои учетные данные для входа. Кроме того, использование Telegram-ботов расширяет возможности хакеров по эффективному управлению украденными данными и проведению крупномасштабных фишинговых атак, что потенциально может привести к компрометации конфиденциальной информации и внедрению программ-вымогателей на подключенные устройства. Организациям следует сохранять бдительность в отношении такой изощренной тактики фишинга и применять надежные меры безопасности для защиты своих активов и данных.

FYI

https://isc.sans.edu/diary/rss/31476

The strange case of disappearing Russian servers

#technique

Loads a drivers through NtLoadDriver by setting up the service registry key directly. To be used in engagement for BYOVD, where service creation creates an alert.

https://github.com/ioncodes/SilentLoad

Dissecting JA4H for improved Sliver C2 detections

https://blog.webscout.io/dissecting-ja4h-for-improved-sliver-c2-detections/

#technique #llm

InputSnatch: Stealing Input in LLM Services via Timing Side-Channel Attacks

https://arxiv.org/pdf/2411.18191

#technique

Unexplored LOLBAS Technique: Wevtutil.exe

https://denwp.com/unexplored-lolbas-technique-wevtutil-exe/

#technique

EDR Silencers and Beyond: Exploring Methods to Block EDR Communication - Part 1

https://cloudbrothers.info/en/edr-silencers-exploring-methods-block-edr-communication-part-1/

#ParsedReport #CompletenessMedium
02-12-2024

Stealth in the Cloud: How APT36's ElizaRAT is Redefining Cyber Espionage

https://www.reco.ai/blog/how-apt36-elizarat-redefines-cyber-espionage

Report completeness: Medium

Actors/Campaigns:
Transparenttribe (motivation: information_theft, cyber_espionage)
Steppy_kavach

Threats:
Elizarat
Credential_harvesting_technique
Mythic_c2
Costura_tool
Apolostealer
Apollostealer

Victims:
Indian government agencies, Diplomatic personnel, Military installations

Industry:
Government, Military

Geo:
India, Pakistan, Indian, Afghanistan, Pakistani, Israeli

ChatGPT TTPs:
do not use without manual check
T1021, T1055, T1105, T1071, T1568, T1027

IOCs:
File: 15
IP: 9
Path: 1

Soft:
Linux, Android, Windows Remote Access, Telegram, Slack

Algorithms:
md5

Functions:
ReceiveMsgsInList, SendMsg, SendFile, DownloadFile

Languages:
python

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, code: 1, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что APT36, также известная как Transparent Tribe, является хакерской группой из Пакистана, которая атакует правительственные учреждения Индии, дипломатический персонал и военные объекты. Недавно группа пополнила свой арсенал сложным троянцем для удаленного доступа к Windows (RAT) под названием ElizaRAT, который демонстрирует передовые методы уклонения, расширенные возможности командования и контроля и использует различные тактики для проведения целенаправленного кибершпионажа. Вредоносная программа взаимодействует через такие платформы, как Slack и Google Cloud, что затрудняет ее обнаружение из-за смешения вредоносного трафика с законной сетевой активностью.
-----

APT36, также известная как Transparent Tribe, является крупной хакерской группой из Пакистана, нацеленной на правительственные учреждения Индии, дипломатический персонал и военные объекты. Известная своей постоянной и развивающейся тактикой, APT36 расширила зону своих атак, нацелившись на системы Windows, Linux и Android. Недавно группа обновила свой арсенал более совершенным трояном удаленного доступа к Windows (RAT) под названием ElizaRAT.

Элизарат был впервые обнаружен в 2023 году и с тех пор претерпел несколько преобразований, продемонстрировав новые методы уклонения и расширенные возможности командования и контроля (C2). Вредоносная программа предназначена для целенаправленного кибершпионажа, используя различные тактики, такие как сбор учетных данных, атаки на распространение вредоносного ПО, специально разработанные инструменты для удаленного администрирования в Windows и облегченные инструменты для Windows и Linux. Для выполнения своих операций он также использует оружейные платформы с открытым исходным кодом и троянские программы установки приложений правительства Индии.

Ключевая особенность ElizaRAT заключается в использовании коммуникационной платформы Slack для операций C2, использующей частные каналы Slack в качестве командных центров для отправки инструкций на зараженные компьютеры. Вредоносное ПО распространяется через CPL-файлы, замаскированные под файлы панели управления, что позволяет хакерам обманом заставить жертв выполнить вредоносную загрузку. ElizaRAT постоянно проверяет определенные каналы Slack на наличие команд и использует токены ботов и идентификаторы жертв для аутентификации и связи.

Кроме того, ElizaRAT эволюционировал в различные версии, такие как ApoloStealer и Circle ElizaRAT, с каждой итерацией добавляя новые функциональные возможности для повышения скрытности и стойкости. В этих новых версиях используются другие методы, в том числе использование папки %appdata%\SlackAPI в качестве рабочего каталога и использование виртуальных частных серверов (VPS) для повышения контроля и гибкости.

Вредоносная программа ElizaRAT взаимодействует с хакером по каналам Google Cloud C2, получая команды для загрузки полезной информации с различных VPS-серверов. Кроме того, анализ связанных IP-адресов выявляет многочисленные случаи вредоносной активности, и поставщики систем безопасности отмечают эти IP-адреса как наиболее опасные для вредоносных кампаний. Использование вредоносной программой облачных платформ, таких как Google Drive, Telegram и Slack, в своей структуре C2 затрудняет обнаружение из-за сочетания вредоносного трафика с законной сетевой активностью.

#ParsedReport #CompletenessLow
02-12-2024

UDRL, SleepMask, and BeaconGate

https://rastamouse.me/udrl-sleepmask-and-beacongate

Report completeness: Low

Threats:
Sleepmask
Beacongate
Cobalt_strike
Dll_injection_technique
Reflectiveloader
Malleable_c2_tool
Hellsgate_technique
Syswhispers_tool
Vulcanraven_technique
Silentmoonwalk_technique
Sleepgate

ChatGPT TTPs:
do not use without manual check
T1055.001, T1027, T1574.002, T1218

IOCs:
File: 7

Functions:
GetLocation, FindBufferBaseAddress, GetPEBAddress, DLL_BEACON_USER_DATA

Win API:
VirtualAlloc, NtFlushInstructionCache, ntAllocateVirtualMemory, ntGetContextThread, ntSetContextThread, ntClose, ntMapViewOfSection, ntQueryVirtualMemory, ntWriteVirtualMemory, ntCreateFile, have more...

Links:
https://github.com/stephenfewer/ReflectiveDLLInjection

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте рассматривается взаимодействие между функциями Cobalt Strike UDRL, SleepMask и BeaconGate в Beacon, библиотеке DLL для Windows, использующей внедрение Reflective DLL. В нем объясняется, как разработчики могут настраивать Beacon с помощью гибких настроек C2 и расширять возможности обхода с помощью UDRL, пользовательских средств распознавания системных вызовов и функции BeaconGate для проксирования вызовов API через маску ожидания. Подчеркивается гибкость и потенциал будущего развития этих функций.
-----

В тексте обсуждается взаимодействие функций Cobalt Strike UDRL, SleepMask и BeaconGate в Beacon, библиотеке DLL для Windows, основанной на технологии внедрения Reflective DLL. Beacon позволяет настраивать параметры с помощью гибких настроек C2, но разработчики могут еще больше расширить возможности уклонения, используя UDRL для независимого изменения поведения отражающего загрузчика. Кроме того, разработчики могут заменить стандартные функции Beacon своими собственными, например, пользовательскими распознавателями системных вызовов, такими как Hell's Gate или Halo's Gate.

BeaconGate - это ключевая функция, которая позволяет Beacon проксировать вызовы API через Sleep Mask, облегчая маскировку памяти, настройку функций уклонения и подмену стека вызовов. Разработчики могут перехватывать и обрабатывать вызовы API в рамках функции BeaconGateWrapper, выбирая, использовать системные вызовы или нет, исходя из своих требований. Используя пользовательское разрешение системных вызовов из UDRL, BeaconGate может воспользоваться расширенными возможностями уклонения и гибкостью выполнения в зависимости от конфигурации Beacon.

В тексте подчеркивается гибкость и потенциальные сложности использования UDRL, SleepMask и BeaconGate, подчеркивается, что при правильном понимании разработчики могут эффективно использовать эти функции. Автор ожидает, что в будущем будут предприняты усилия по упрощению этих функций, возможно, путем объединения текущих реализаций системных вызовов в Sleep Mask и BeaconGate или расширения BeaconGate для поддержки более широкого спектра вызовов API для улучшения возможностей уклонения.

#ParsedReport #CompletenessHigh
02-12-2024

Broken Ghost: Remcos, DarkGate and BrockenDoor

https://securelist.ru/remcos-darkgate-brockendoor/111207

Report completeness: High

Threats:
Remcos_rat
Darkgate
Brockendoor
Right-to-left_override_technique
Hvnc_tool
Gh0st_rat

Victims:
Russian companies

Geo:
Russian

ChatGPT TTPs:
do not use without manual check
T1105, T1064, T1071.001, T1027

IOCs:
Hash: 31
Url: 9
File: 5
Domain: 15
Command: 3
IP: 4

Soft:
Windows Explorer, Windows Task Scheduler

Algorithms:
xor, md5

Functions:
system

Win API:
ShellExecuteA, CreateProcessA, WinExec

Win Services:
WebClient

Languages:
powershell, autoit

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении вредоносных файлов с использованием метода переопределения справа налево (RLO), который позволяет злоумышленникам скрывать вредоносный контент, изменяя имена и расширения файлов. Анализ выявил группу вредоносных действий, связанных с такими бэкдорами, как Remcos, DarkGate, и новую угрозу под названием BrockenDoor, распространяемую через фишинговые электронные письма с исполняемыми файлами на основе RLO. Эти вредоносные программы позволяют осуществлять полный контроль над системой, кражу данных и наблюдение, а также выявлять связь с C&C серверами. Злоумышленники развернули различные цепочки атак, используя различные методы для доставки вредоносного ПО и поддержания контроля, подчеркивая важность постоянного мониторинга для отслеживания их действий и эволюции.
-----

В октябре было обнаружено, что вредоносные файлы используют метод переопределения справа налево (RLO), в котором используется управляющий символ Unicode (U+202E), изменяющий порядок текста. Злоумышленники используют это для сокрытия вредоносного содержимого, изменяя видимые имена и расширения файлов. Анализ выявил группу вредоносных действий, связанных с такими бэкдорами, как Remcos, DarkGate и новое обнаружение под названием BrockenDoor. Первоначальным направлением атаки были фишинговые электронные письма с вложениями, содержащими исполняемые файлы на основе RLO или файлы различных типов. В одной из кампаний использовался HTA-скрипт, замаскированный под копии законного файла Windows, что привело к установке Remco и дополнительной полезной нагрузки. В другой цепочке атак были использованы сценарии AutoIt для доставки DarkGate, загрузчика с различными вредоносными функциями.

Вредоносная программа Remcos, троян для удаленного доступа (RAT), обеспечивает полный контроль над системой, включая кражу данных, регистрацию нажатий клавиш и удаленное наблюдение. Связь с серверами управления, такими как wmpssvc. в сети: в конфигурации был указан номер 8080, а также идентификатор кампании Sun004 и мьютекс Sun003-SHQIGL. DarkGate, еще одна обнаруженная вредоносная программа, поддерживает загрузку памяти, кейлоггинг и кражу информации с использованием серверов, подобных tnecharise. я и tnecharise . бизнес для контроля. Недавно выявленная угроза BrockenDoor распространялась через файлы с именами RLO, такие как Scan_Kartochka_A-Automation_ann\u202Efdp.exe, и была нацелена на российские компании, предоставляющие услуги по автоматизации программного обеспечения.

Использование злоумышленниками RLO в архивированных вредоносных файлах было примечательным, учитывая типичную неспособность архиваторов обрабатывать символы RLO. В ходе кампании были продемонстрированы как обычные бэкдоры, так и уникальные инструменты, такие как BrockenDoor и Tuoni, не имеющий аналогов инструмент для тестирования систем жертв. Постоянный мониторинг этой кампании необходим для отслеживания ее развития и связанных с ней хакеров.

#ParsedReport #CompletenessLow
02-12-2024

S2W Threat Intelligence Center releases an analysis report on the North Korea-backed threat group Scarcruft.

https://www.s2w.inc/en/resource/detail/678

Report completeness: Low

Actors/Campaigns:
Scarcruft

Threats:
Rokrat
Reaper
Spear-phishing_technique
Rambleon
Watering_hole_technique
Cloudmensis_rat

Victims:
Defectors, Ngos, Media outlets, Government institutions, Human rights groups, Journalists

Industry:
Ngo, Government

Geo:
Russia, Vietnam, Japan, Nepal, China, Middle east, North korea, Korea

ChatGPT TTPs:
do not use without manual check
T1090, T1071.001, T1566.001, T1203, T1189, T1027

Soft:
macOS, Android