FYI

https://isc.sans.edu/diary/rss/31476

The strange case of disappearing Russian servers

#technique

Loads a drivers through NtLoadDriver by setting up the service registry key directly. To be used in engagement for BYOVD, where service creation creates an alert.

https://github.com/ioncodes/SilentLoad

Dissecting JA4H for improved Sliver C2 detections

https://blog.webscout.io/dissecting-ja4h-for-improved-sliver-c2-detections/

#technique #llm

InputSnatch: Stealing Input in LLM Services via Timing Side-Channel Attacks

https://arxiv.org/pdf/2411.18191

#technique

Unexplored LOLBAS Technique: Wevtutil.exe

https://denwp.com/unexplored-lolbas-technique-wevtutil-exe/

#technique

EDR Silencers and Beyond: Exploring Methods to Block EDR Communication - Part 1

https://cloudbrothers.info/en/edr-silencers-exploring-methods-block-edr-communication-part-1/

#ParsedReport #CompletenessMedium
02-12-2024

Stealth in the Cloud: How APT36's ElizaRAT is Redefining Cyber Espionage

https://www.reco.ai/blog/how-apt36-elizarat-redefines-cyber-espionage

Report completeness: Medium

Actors/Campaigns:
Transparenttribe (motivation: information_theft, cyber_espionage)
Steppy_kavach

Threats:
Elizarat
Credential_harvesting_technique
Mythic_c2
Costura_tool
Apolostealer
Apollostealer

Victims:
Indian government agencies, Diplomatic personnel, Military installations

Industry:
Government, Military

Geo:
India, Pakistan, Indian, Afghanistan, Pakistani, Israeli

ChatGPT TTPs:
do not use without manual check
T1021, T1055, T1105, T1071, T1568, T1027

IOCs:
File: 15
IP: 9
Path: 1

Soft:
Linux, Android, Windows Remote Access, Telegram, Slack

Algorithms:
md5

Functions:
ReceiveMsgsInList, SendMsg, SendFile, DownloadFile

Languages:
python

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, code: 1, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что APT36, также известная как Transparent Tribe, является хакерской группой из Пакистана, которая атакует правительственные учреждения Индии, дипломатический персонал и военные объекты. Недавно группа пополнила свой арсенал сложным троянцем для удаленного доступа к Windows (RAT) под названием ElizaRAT, который демонстрирует передовые методы уклонения, расширенные возможности командования и контроля и использует различные тактики для проведения целенаправленного кибершпионажа. Вредоносная программа взаимодействует через такие платформы, как Slack и Google Cloud, что затрудняет ее обнаружение из-за смешения вредоносного трафика с законной сетевой активностью.
-----

APT36, также известная как Transparent Tribe, является крупной хакерской группой из Пакистана, нацеленной на правительственные учреждения Индии, дипломатический персонал и военные объекты. Известная своей постоянной и развивающейся тактикой, APT36 расширила зону своих атак, нацелившись на системы Windows, Linux и Android. Недавно группа обновила свой арсенал более совершенным трояном удаленного доступа к Windows (RAT) под названием ElizaRAT.

Элизарат был впервые обнаружен в 2023 году и с тех пор претерпел несколько преобразований, продемонстрировав новые методы уклонения и расширенные возможности командования и контроля (C2). Вредоносная программа предназначена для целенаправленного кибершпионажа, используя различные тактики, такие как сбор учетных данных, атаки на распространение вредоносного ПО, специально разработанные инструменты для удаленного администрирования в Windows и облегченные инструменты для Windows и Linux. Для выполнения своих операций он также использует оружейные платформы с открытым исходным кодом и троянские программы установки приложений правительства Индии.

Ключевая особенность ElizaRAT заключается в использовании коммуникационной платформы Slack для операций C2, использующей частные каналы Slack в качестве командных центров для отправки инструкций на зараженные компьютеры. Вредоносное ПО распространяется через CPL-файлы, замаскированные под файлы панели управления, что позволяет хакерам обманом заставить жертв выполнить вредоносную загрузку. ElizaRAT постоянно проверяет определенные каналы Slack на наличие команд и использует токены ботов и идентификаторы жертв для аутентификации и связи.

Кроме того, ElizaRAT эволюционировал в различные версии, такие как ApoloStealer и Circle ElizaRAT, с каждой итерацией добавляя новые функциональные возможности для повышения скрытности и стойкости. В этих новых версиях используются другие методы, в том числе использование папки %appdata%\SlackAPI в качестве рабочего каталога и использование виртуальных частных серверов (VPS) для повышения контроля и гибкости.

Вредоносная программа ElizaRAT взаимодействует с хакером по каналам Google Cloud C2, получая команды для загрузки полезной информации с различных VPS-серверов. Кроме того, анализ связанных IP-адресов выявляет многочисленные случаи вредоносной активности, и поставщики систем безопасности отмечают эти IP-адреса как наиболее опасные для вредоносных кампаний. Использование вредоносной программой облачных платформ, таких как Google Drive, Telegram и Slack, в своей структуре C2 затрудняет обнаружение из-за сочетания вредоносного трафика с законной сетевой активностью.

#ParsedReport #CompletenessLow
02-12-2024

UDRL, SleepMask, and BeaconGate

https://rastamouse.me/udrl-sleepmask-and-beacongate

Report completeness: Low

Threats:
Sleepmask
Beacongate
Cobalt_strike
Dll_injection_technique
Reflectiveloader
Malleable_c2_tool
Hellsgate_technique
Syswhispers_tool
Vulcanraven_technique
Silentmoonwalk_technique
Sleepgate

ChatGPT TTPs:
do not use without manual check
T1055.001, T1027, T1574.002, T1218

IOCs:
File: 7

Functions:
GetLocation, FindBufferBaseAddress, GetPEBAddress, DLL_BEACON_USER_DATA

Win API:
VirtualAlloc, NtFlushInstructionCache, ntAllocateVirtualMemory, ntGetContextThread, ntSetContextThread, ntClose, ntMapViewOfSection, ntQueryVirtualMemory, ntWriteVirtualMemory, ntCreateFile, have more...

Links:
https://github.com/stephenfewer/ReflectiveDLLInjection

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте рассматривается взаимодействие между функциями Cobalt Strike UDRL, SleepMask и BeaconGate в Beacon, библиотеке DLL для Windows, использующей внедрение Reflective DLL. В нем объясняется, как разработчики могут настраивать Beacon с помощью гибких настроек C2 и расширять возможности обхода с помощью UDRL, пользовательских средств распознавания системных вызовов и функции BeaconGate для проксирования вызовов API через маску ожидания. Подчеркивается гибкость и потенциал будущего развития этих функций.
-----

В тексте обсуждается взаимодействие функций Cobalt Strike UDRL, SleepMask и BeaconGate в Beacon, библиотеке DLL для Windows, основанной на технологии внедрения Reflective DLL. Beacon позволяет настраивать параметры с помощью гибких настроек C2, но разработчики могут еще больше расширить возможности уклонения, используя UDRL для независимого изменения поведения отражающего загрузчика. Кроме того, разработчики могут заменить стандартные функции Beacon своими собственными, например, пользовательскими распознавателями системных вызовов, такими как Hell's Gate или Halo's Gate.

BeaconGate - это ключевая функция, которая позволяет Beacon проксировать вызовы API через Sleep Mask, облегчая маскировку памяти, настройку функций уклонения и подмену стека вызовов. Разработчики могут перехватывать и обрабатывать вызовы API в рамках функции BeaconGateWrapper, выбирая, использовать системные вызовы или нет, исходя из своих требований. Используя пользовательское разрешение системных вызовов из UDRL, BeaconGate может воспользоваться расширенными возможностями уклонения и гибкостью выполнения в зависимости от конфигурации Beacon.

В тексте подчеркивается гибкость и потенциальные сложности использования UDRL, SleepMask и BeaconGate, подчеркивается, что при правильном понимании разработчики могут эффективно использовать эти функции. Автор ожидает, что в будущем будут предприняты усилия по упрощению этих функций, возможно, путем объединения текущих реализаций системных вызовов в Sleep Mask и BeaconGate или расширения BeaconGate для поддержки более широкого спектра вызовов API для улучшения возможностей уклонения.

#ParsedReport #CompletenessHigh
02-12-2024

Broken Ghost: Remcos, DarkGate and BrockenDoor

https://securelist.ru/remcos-darkgate-brockendoor/111207

Report completeness: High

Threats:
Remcos_rat
Darkgate
Brockendoor
Right-to-left_override_technique
Hvnc_tool
Gh0st_rat

Victims:
Russian companies

Geo:
Russian

ChatGPT TTPs:
do not use without manual check
T1105, T1064, T1071.001, T1027

IOCs:
Hash: 31
Url: 9
File: 5
Domain: 15
Command: 3
IP: 4

Soft:
Windows Explorer, Windows Task Scheduler

Algorithms:
xor, md5

Functions:
system

Win API:
ShellExecuteA, CreateProcessA, WinExec

Win Services:
WebClient

Languages:
powershell, autoit

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении вредоносных файлов с использованием метода переопределения справа налево (RLO), который позволяет злоумышленникам скрывать вредоносный контент, изменяя имена и расширения файлов. Анализ выявил группу вредоносных действий, связанных с такими бэкдорами, как Remcos, DarkGate, и новую угрозу под названием BrockenDoor, распространяемую через фишинговые электронные письма с исполняемыми файлами на основе RLO. Эти вредоносные программы позволяют осуществлять полный контроль над системой, кражу данных и наблюдение, а также выявлять связь с C&C серверами. Злоумышленники развернули различные цепочки атак, используя различные методы для доставки вредоносного ПО и поддержания контроля, подчеркивая важность постоянного мониторинга для отслеживания их действий и эволюции.
-----

В октябре было обнаружено, что вредоносные файлы используют метод переопределения справа налево (RLO), в котором используется управляющий символ Unicode (U+202E), изменяющий порядок текста. Злоумышленники используют это для сокрытия вредоносного содержимого, изменяя видимые имена и расширения файлов. Анализ выявил группу вредоносных действий, связанных с такими бэкдорами, как Remcos, DarkGate и новое обнаружение под названием BrockenDoor. Первоначальным направлением атаки были фишинговые электронные письма с вложениями, содержащими исполняемые файлы на основе RLO или файлы различных типов. В одной из кампаний использовался HTA-скрипт, замаскированный под копии законного файла Windows, что привело к установке Remco и дополнительной полезной нагрузки. В другой цепочке атак были использованы сценарии AutoIt для доставки DarkGate, загрузчика с различными вредоносными функциями.

Вредоносная программа Remcos, троян для удаленного доступа (RAT), обеспечивает полный контроль над системой, включая кражу данных, регистрацию нажатий клавиш и удаленное наблюдение. Связь с серверами управления, такими как wmpssvc. в сети: в конфигурации был указан номер 8080, а также идентификатор кампании Sun004 и мьютекс Sun003-SHQIGL. DarkGate, еще одна обнаруженная вредоносная программа, поддерживает загрузку памяти, кейлоггинг и кражу информации с использованием серверов, подобных tnecharise. я и tnecharise . бизнес для контроля. Недавно выявленная угроза BrockenDoor распространялась через файлы с именами RLO, такие как Scan_Kartochka_A-Automation_ann\u202Efdp.exe, и была нацелена на российские компании, предоставляющие услуги по автоматизации программного обеспечения.

Использование злоумышленниками RLO в архивированных вредоносных файлах было примечательным, учитывая типичную неспособность архиваторов обрабатывать символы RLO. В ходе кампании были продемонстрированы как обычные бэкдоры, так и уникальные инструменты, такие как BrockenDoor и Tuoni, не имеющий аналогов инструмент для тестирования систем жертв. Постоянный мониторинг этой кампании необходим для отслеживания ее развития и связанных с ней хакеров.

#ParsedReport #CompletenessLow
02-12-2024

S2W Threat Intelligence Center releases an analysis report on the North Korea-backed threat group Scarcruft.

https://www.s2w.inc/en/resource/detail/678

Report completeness: Low

Actors/Campaigns:
Scarcruft

Threats:
Rokrat
Reaper
Spear-phishing_technique
Rambleon
Watering_hole_technique
Cloudmensis_rat

Victims:
Defectors, Ngos, Media outlets, Government institutions, Human rights groups, Journalists

Industry:
Ngo, Government

Geo:
Russia, Vietnam, Japan, Nepal, China, Middle east, North korea, Korea

ChatGPT TTPs:
do not use without manual check
T1090, T1071.001, T1566.001, T1203, T1189, T1027

Soft:
macOS, Android

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - анализ и обзор поддерживаемой Северной Кореей хакерской группы Scarcruft, также известной как APT37, с подробным описанием их деятельности, вариантов вредоносного ПО, таких как ROKRAT и CloudMensis, методов атаки, целей и важности мониторинга и анализа их действий для эффективного противодействия настойчивым хакерам.
-----

Центр анализа угроз S2W недавно опубликовал аналитический отчет о поддерживаемой Северной Кореей хакерской группе, известной как Scarcruft, которая считается APT-группой. Scarcruft, также известная как APT37, Red Eyes, Reaper и Group123, действует с 2016 года, первоначально ориентируясь на Южную Корею, сосредоточившись на перебежчиках, НПО, средствах массовой информации и правительственных учреждениях. Однако с тех пор их деятельность расширилась на такие страны, как Япония, Вьетнам, Россия, Непал и Ближний Восток.

Одним из наиболее заметных вредоносных программ, относящихся к группе Scarcruft, является семейство ROKRAT - троянцев удаленного доступа (RAT), впервые выявленных Cisco Talos в 2017 году. Вредоносная программа ROKRAT способна работать в различных операционных системах, включая Windows, macOS и Android. Для взаимодействия с зараженными устройствами и управления ими ROKRAT использует легальные облачные сервисы, такие как pCloud и Yandex, в качестве серверов командно-диспетчерского управления (C&C). Эта вредоносная программа включает в свой код токены OAuth для установления связи с этими облачными сервисами. После аутентификации ROKRAT получает зашифрованные коды команд из облачного сервиса, расшифровывает и выполняет их, а также загружает украденную информацию со взломанного устройства на облачный сервер.

В отчете рассматриваются четыре конкретных случая атак, связанных с вредоносным ПО ROKRAT, и дается представление о цепочках заражения и функциональных возможностях, связанных с этими атаками. Основной метод первоначального проникновения для ROKRAT заключается в отправке фишинговых электронных писем, содержащих вредоносные вложения. Начиная с июля 2022 года, цепочка заражения ROKRAT была подразделена на два основных типа вредоносных программ начальной стадии: DROKLINK и DROKDOC. Полный отчет содержит подробную информацию о потоке заражения и возможностях ROKRAT, распространяемых с помощью этих вариантов вредоносного ПО.

Вредоносная программа DROKLINK облегчает выполнение вредоносных действий, в то время как DROKDOC осуществляет свою вредоносную деятельность с помощью макросов, встроенных в файлы документов. Ранее Scarcruft использовала атаки с использованием уязвимостей для распространения вредоносных приложений и нацеливалась на правозащитные группы и журналистов, использующих такие платформы, как мессенджер KakaoTalk. Кроме того, группа также распространяла вредоносное ПО через контакты в Facebook и загружала вредоносные версии в Google Play Store, которые были идентифицированы как мобильные версии вредоносного ПО ROKRAT.

В июле 2022 года ESET обнаружила вредоносное ПО CloudMensis, которое было специально разработано для систем macOS. Этот вариант вредоносного ПО, который считается версией ROKRAT для macOS от Scarcruft, выполняет такие действия, как утечка данных, создание скриншотов и выполнение команд. Непрерывная эволюция вредоносной программы ROKRAT и различные методы ее распространения свидетельствуют о том, что будущие действия группы Scarcruft должны тщательно отслеживаться и анализироваться. Рекомендуется тщательно изучить цепочки заражения, функциональные возможности вредоносных программ и подробные методы атак, связанные с деятельностью Scarcruft, чтобы эффективно противодействовать этим настойчивым хакерам.

#ParsedReport #CompletenessLow
02-12-2024

Threat Brief: Operation Lunar Peek, Activity Related to CVE-2024-0012 and CVE-2024-9474 (Updated Nov. 22)

https://unit42.paloaltonetworks.com/cve-2024-0012-cve-2024-9474/#post-137539-_50343o6a6han

Report completeness: Low

Actors/Campaigns:
Lunar_peek

Victims:
Palo alto networks

Geo:
Apac, Emea, America, Japan

CVEs:
CVE-2024-0012 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- paloaltonetworks pan-os (<10.2.12, <11.0.6, <11.1.5, <11.2.4)

CVE-2024-9474 [Vulners]
CVSS V3.1: 7.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- paloaltonetworks pan-os (<10.1.14, <10.2.12, <11.0.6, <11.1.5, <11.2.4)


ChatGPT TTPs:
do not use without manual check
T1190, T1505.003, T1587.004

IOCs:
Hash: 1
IP: 44

Soft:
PAN-OS

Algorithms:
sha256

Languages:
php

Links:
have more...
https://github.com/PaloAltoNetworks/Unit42-Threat-Intelligence-Article-Information/blob/main/2024-November-IOC-updates-OperationLunarPeek.txt

#ParsedReport #GeneratedSchema
Generated with GPT-4