#ParsedReport #CompletenessMedium
02-12-2024

Unveiling RevC2 and Venom Loader

https://www.zscaler.com/blogs/security-research/unveiling-revc2-and-venom-loader

Report completeness: Medium

Actors/Campaigns:
Venom_spider
Magecart

Threats:
Revc2
Venomlnk
Terraloader
Terrastealer
More_eggs
Dll_sideloading_technique

TTPs:

IOCs:
Url: 4
File: 9
Path: 5
Command: 1
Registry: 1
Hash: 6

Soft:
Chromium

Algorithms:
zip, sha256, base64, xor

Languages:
cscript, visual_basic, javascript, python, powershell

Links:
https://github.com/zaphoyd/websocketpp
https://github.com/ThreatLabz/tools/tree/main/revc2
have more...

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, code: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что хакер, известный как Venom Spider, также известный как GOLDEN CHICKENS, предлагает инструменты "Вредоносное ПО как услуга" и участвует в недавних значительных кампаниях с участием новых семейств вредоносных программ под названием RevC2 и Venom Loader. В анализе подробно описываются методы работы, функциональные возможности и тактика распространения, используемые в этих кампаниях, подчеркивается текущая разработка и внедрение хакерами этих семейств вредоносных программ, а также важность мониторинга и отслеживания появляющихся хакеров для защиты клиентов.
-----

Venom Spider, также известный как GOLDEN CHICKENS, - хакер, известный тем, что предлагает инструменты "Вредоносное ПО как услуга" (MaaS), включая VenomLNK, TerraLoader, TerraStealer и TerraCryptor. Эти инструменты ранее ассоциировались с хакерскими группами, такими как FIN6 и Cobalt. Недавно Zscaler ThreatLabZ обнаружил две важные кампании, проводившиеся в период с августа по октябрь 2024 года, в которых использовались инструменты MaaS от Venom Spider. Анализ выявил два новых семейства вредоносных программ под названием RevC2 и Venom Loader, развернутых с помощью этих инструментов, с различными функциональными возможностями и методами работы.

Первая кампания, проводившаяся с августа по сентябрь, включала распространение RevC2 с использованием файла VenomLNK, который содержал запутанный пакетный скрипт. При запуске этот скрипт загружал документацию по API в виде изображения в формате PNG, запуская выполнение RevC2. Эта вредоносная программа-бэкдор способна красть конфиденциальные данные, такие как файлы cookie и пароли, проксировать сетевой трафик и обеспечивать удаленное выполнение кода. RevC2 использует WebSockets для связи со своим сервером управления (C2), обеспечивая высокий уровень скрытности и гибкости в своей работе.

Во время второй кампании, проходившей с сентября по октябрь, для доставки Venom Loader использовалась приманка для криптовалютных транзакций, которая затем загружала More_eggs lite - JavaScript-бэкдор, предоставляющий злоумышленнику возможность удаленного выполнения кода. Вариант More_eggs, представленный в рамках этой кампании, был назван "More_eggs lite" из-за его ограниченной функциональности, ограниченной возможностями RCE. Загрузчик Venom настраивается для каждой жертвы, кодируя полезную нагрузку с использованием имени компьютера жертвы, что улучшает его методы уклонения.

Работа Venom Loader заключается в преобразовании содержимого More_eggs lite в X-код с использованием имени компьютера жертвы и кодировании его в формате base64. Полученная полезная нагрузка разбивается на три части, записывается на диск, затем декодируется и выполняется с помощью сценариев PowerShell. Устойчивость бэкдора More_eggs lite устанавливается путем добавления скрипта в раздел реестра для автозапуска. More_eggs lite поддерживает связь со своим сервером C2 посредством HTTP POST-запросов, форматирования данных, содержащих имя компьютера жертвы, и выполнения команд, передаваемых сервером.

Кампании с использованием RevC2 и Venom Loader указывают на продолжающуюся разработку и внедрение хакерами этих семейств вредоносных программ. Ожидается, что в будущих версиях будут добавлены расширенные функции и методы антианализа. Облачная "песочница" Zscaler эффективно выявляет подобные кампании и другие вредоносные атаки, подчеркивая важность постоянного мониторинга и отслеживания этих развивающихся угроз для защиты клиентов. Скрипт на Python, эмулирующий сервер WebSocket RevC2, доступен в репозитории Zscaler на GitHub и является ценным ресурсом для исследователей и аналитиков в области безопасности.

#ParsedReport #CompletenessMedium
02-12-2024

Analysis of Threat Actor Kim Soo-ki's Email Phishing Campaign

https://www.genians.co.kr/blog/threat_intelligence/kimsuky-cases

Report completeness: Medium

Actors/Campaigns:
Kimsuky

Industry:
Education, Healthcare

Geo:
Usa, Japan, Japanese, Korea, Korean, Gyeonggi-do, American, Russia, Russian, North korea

ChatGPT TTPs:
do not use without manual check
T1566, T1078, T1585

IOCs:
Domain: 24
File: 8
IP: 5
Url: 1
Hash: 13

Soft:
Slack, Instagram

Algorithms:
md5

Functions:
autoopen

#ParsedReport #ExtractedSchema

Classified images:
windows: 10, schema: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в серии изощренных фишинговых атак, нацеленных на исследователей из Северной Кореи и связанные с ними организации в течение нескольких лет. Злоумышленники переносили свою базу из Японии в Россию, чтобы избежать обнаружения, используя методы фишинга URL-адресов без вредоносного ПО, что затрудняло обнаружение. Группа Ким Су Ки, связанная с Северной Кореей, активно участвует в этих атаках, целью которых является кража учетных записей и личной информации жертв. Для снижения этих рисков рекомендуются такие контрмеры, как проверка адресов электронной почты отправителей, использование IOCS и активное управление фишинговыми IP-адресами.
-----

В тексте описывается серия фишинговых атак на исследователей из Северной Кореи и отдельных сотрудников связанных с ней организаций, проводившихся в течение нескольких лет. Злоумышленники пытались избежать обнаружения, переместив свою базу для атак на электронную почту из Японии в Россию. Эти атаки связаны с URL-фишингом, который не содержит вредоносных программ в электронных письмах, что затрудняет их обнаружение. Группа Ким Су Ки принимает активное участие во многих выявленных URL-фишинговых атаках в Корее.

В октябре 2023 года в Корее были обнаружены фишинговые атаки, в том числе с использованием нового уведомления государственной службы электронного документооборота. Злоумышленники использовали для фишинга домены японского интернет-провайдера и корейской службы регистрации доменов. Последующие атаки были связаны с выдачей себя за пользователей Naver MYBOX themes, использующих домены из Японии, Кореи и России в качестве адресов отправителей.

Злоумышленники использовали стратегию провоцирования беспокойства у получателей, заявляя в фишинговых письмах о вредоносной активности в облачном сервисе MYBOX. Эти электронные письма были отправлены с использованием поддельных российских доменов и почтовой программы Университета Евангелия, что позволило создать стратегию маскировки. Группа Kimsuky, поддерживаемая Северной Кореей и связанная с хакерами TA406, TA408 и TA427, была связана с этими фишинговыми действиями.

Фишинговые кампании, проводимые группой Kim Soo-ki, продолжаются, но вредоносные файлы не доставляются, что увеличивает риск проникновения и нарушения конфиденциальности. Несмотря на отсутствие вредоносных программ, эти кампании могут привести к краже учетных записей жертв для дальнейших атак. Некоторые атаки проводились под видом официальных документов финансовых учреждений, что повышало доверие к ним. Для проведения своих кампаний злоумышленники использовали различные почтовые сервисы из Японии, Кореи и России.

Рекомендуемые меры противодействия включают тщательную проверку адресов электронной почты отправителей, использование IOCs для обнаружения вредоносной активности и эффективное управление политиками обнаружения. Сотрудникам службы безопасности рекомендуется регистрировать фишинговые индикаторы компрометации, чтобы предотвратить проникновение угроз в системы. Активное управление известными фишинговыми IP-адресами с помощью продуктов обнаружения конечных точек и реагирования на них (EDR) имеет решающее значение для снижения рисков, связанных с фишинговыми атаками.

#ParsedReport #CompletenessHigh
02-12-2024

Horns&Hooves campaign delivers NetSupport RAT and BurnsRAT

https://securelist.com/horns-n-hooves-campaign-delivering-netsupport-rat/114740

Report completeness: High

Actors/Campaigns:
Horns-hooves (motivation: information_theft, cyber_criminal)
Mustard_tempest
Ta569 (motivation: cyber_criminal)
Smartapesg

Threats:
Netsupportmanager_rat
Burnsrat
Bitsadmin_tool
Rms_tool
Dll_sideloading_technique
Rhadamanthys
Meduza

Victims:
Private users, Retailers, Service businesses

Industry:
Retail

Geo:
Germany, Russia, Russian

ChatGPT TTPs:
do not use without manual check
T1566.001, T1059.007, T1203, T1071.001, T1105, T1574.002, T1021, T1027, T1573, T1090.002, have more...

IOCs:
File: 29
Hash: 24
Url: 16
Command: 1
Registry: 1
Domain: 10
Path: 1
IP: 1

Soft:
curl, NSIS installer, Silverlight, OpenSSL, Microsoft Silverlight

Algorithms:
md5, rc4, zip

Languages:
powershell, javascript, jscript

Platforms:
x64

#ParsedReport #ExtractedSchema

Classified images:
windows: 1, code: 11, table: 2, schema: 5, dump: 1, chats: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте описывается хакерская кампания под названием "Horns&Hooves", которая включает вредоносные вложения в электронную почту, замаскированные под бизнес-запросы и предложения, в ZIP-архивах, предназначенных для частных пользователей и предприятий в России. Эта кампания использует различные версии вредоносных скриптов для установки NetSupport RAT, подключая его к группе TA569, известной продажей доступа к зараженным компьютерам. Со временем злоумышленники совершенствовали свою тактику, подчеркивая важность бдительности в области кибербезопасности и анализа угроз для противодействия таким сложным угрозам.
-----

Хакерская кампания, получившая название "Horns&Hooves", включает в себя вредоносные вложения в электронную почту, замаскированные под запросы и предложения от потенциальных клиентов или партнеров, которые содержатся в ZIP-архивах. Целью злоумышленников стали более тысячи частных пользователей, розничных продавцов и предприятий сферы услуг, в основном в России. Кампания началась в марте 2023 года с рассылки электронных писем, содержащих скрипты на JScript, которые устанавливают NetSupport RAT - инструмент, часто используемый киберпреступниками для удаленного управления ПК. Злоумышленники также добавили в архивы различные документы для повышения правдоподобности, такие как PDF-файлы с копиями паспортов и выписки из Единого государственного реестра юридических лиц России.

Существуют различные версии вредоносных скриптов, используемых в кампании "Horns&Hooves":.

В первой версии используются документы-приманки в формате PNG и загружается полезная нагрузка NetSupport RAT, замаскированная под законный инструмент. В процессе установки используются встроенные утилиты Windows.

Версия JS встраивает вредоносный код в общедоступные библиотеки JavaScript, чтобы выглядеть легитимно. Она загружает промежуточные скрипты для получения ложных документов и установщик NetSupport RAT.

Полностью обфусцированная версия скрывает вредоносный код в Silverlight.Configuration.exe запуск для запуска системы удаленного управления (RMS), облегчающей удаленное управление системами.

Со временем кампания претерпела ряд изменений, таких как различные методы загрузки NetSupport RAT, различные файлы-приманки и использование PDF-документов для большей достоверности.

Анализ выявил связи между кампанией "Horns&Hooves" и группой TA569, известной тем, что продавала доступ к зараженным компьютерам другим киберпреступникам. Они обмениваются похожими файлами конфигурации и ключами безопасности, что предполагает возможное сотрудничество. Хотя установка NetSupport RAT является промежуточным этапом, злоумышленники могут использовать ее для развертывания программ-похитителей, таких как Rhadamanthys и Meduza, или продавать доступ для развертывания программ-вымогателей. Тактика кампании со временем эволюционировала, объединив процесс установки в единый сценарий для повышения эффективности и снижения уровня обнаружения.

Понимание связи кампании с TA569 подчеркивает потенциальные риски, с которыми сталкиваются организации-жертвы, от кражи данных до системного шифрования. Злоумышленники используют законное программное обеспечение в вредоносных целях, демонстрируя важность бдительности в области кибербезопасности и анализа угроз для борьбы с такими сложными угрозами.

#ParsedReport #CompletenessMedium
02-12-2024

Get in touch

https://global.ptsecurity.com/analytics/pt-esc-threat-intelligence/taxoff-um-you-ve-got-a-backdoor

Report completeness: Medium

Actors/Campaigns:
Taxoff
Scarcruft

Threats:
Trinper
Spear-phishing_technique
Process_injection_technique
Process_hollowing_technique
Domain_fronting_technique

Victims:
Russian government agencies

Industry:
Government, Financial

Geo:
Russia, Russian

TTPs:
Tactics: 8
Technics: 14

IOCs:
File: 11
IP: 2
Hash: 8

Algorithms:
base64, xor, aes-128-cbc, aes-256

Functions:
GetRunningTasks, SetCommConfValue

Win API:
InternetOpenW, WriteFile, ReadFile

Platforms:
x64, x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении и анализе новой хакерской группы под названием TaxOff, которая атакует российские правительственные структуры с помощью фишинговой тактики, используя сложный многопоточный бэкдор Trinper. Основной целью TaxOff является шпионаж, и они используют различные вредоносные тактики, такие как распространение вредоносного ПО с помощью манипулируемого программного обеспечения и проведение атак с использованием сложных методов, таких как шаблонный метод проектирования и параллельное программирование. Угроза, исходящая от TaxOff, подчеркивает важность постоянных усилий по киберзащите и многоуровневой защиты от продвинутых хакеров.
-----

Новая хакерская группа под названием TaxOff нацелена на российские правительственные структуры, используя тактику фишинга, в частности, с помощью электронных писем юридической и финансовой тематики.

TaxOff использует сложный многопоточный бэкдор Trinper, написанный на C++ и обладающий различными вредоносными возможностями.

Основной целью группы является шпионаж и создание плацдарма для дальнейшей гнусной деятельности.

Фишинговые электронные письма TaxOff содержат вредоносные ссылки на Яндекс Диск с вредоносным контентом, связанным с программным обеспечением 1С, и поддельные установщики, выдающие себя за обновления для государственного программного обеспечения.

TaxOff манипулирует программным обеспечением Spravki BK для распространения вредоносных программ, заменяя законные файлы вредоносными исполняемыми файлами.

Архитектура Trinper включает в себя группы, управляющие задачами, связанными с взаимодействием с серверами C2, внедрением кода, выполнением команд и обработкой операций, с использованием стандартной библиотеки шаблонов (STL) и шаблонного метода проектирования.

Trinper использует пользовательскую сериализацию для хранения конфигурации и повышения гибкости, а также механизм буферного кэширования для оптимизации производительности.

Бэкдор инициирует обмен данными с серверами C2 с помощью методов шифрования, таких как RSA, кодирование Base64 и генерация сеансового ключа AES-128-CBC.

Комбинация убедительных фишинговых приманок TaxOff с бэкдором Trinper представляет серьезную угрозу, требующую постоянного обучения пользователей и многоуровневой защиты для эффективной защиты.

#ParsedReport #CompletenessMedium
02-12-2024

Analysis of Threat Actor Kim Soo-ki's Email Phishing Campaign

https://www.genians.co.kr/blog/threat_intelligence/kimsuky-cases

Report completeness: Medium

Actors/Campaigns:
Kimsuky

Victims:
North korea researchers, Related organizations, Mybox cloud service, Evangelia university, Financial institutions

Industry:
Education, Healthcare

Geo:
Japanese, Japan, Usa, Russia, North korea, Korean, Russian, Korea, American, Gyeonggi-do

ChatGPT TTPs:
do not use without manual check
T1566, T1585

IOCs:
Domain: 21
File: 8
IP: 6
Url: 1
Hash: 12

Soft:
Slack, Instagram

Algorithms:
md5

Functions:
autoopen

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в распространенной угрозе фишинга электронной почты, особенно со стороны хакеров, таких как группа Kimsuky, нацеленных на частных лиц и организации по всему миру. В нем подчеркивается использование тактики фишинга URL-адресов, важность мер по управлению безопасностью, таких как средства обнаружения конечных точек и реагирования на них, а также необходимость сбора данных о компрометации для усиления защиты от фишинговых атак. В тексте также рассматриваются конкретные примеры фишинговых атак группы Kimsuky, подчеркивается их обманная тактика и постоянный риск, связанный с этими атаками, даже если они не содержат вредоносного ПО.
-----

Фишинг электронной почты представляет собой серьезную угрозу во всем мире, поскольку хакеры используют различные тактические приемы.

Распространенная тактика фишинга URL-адресов затрудняет их обнаружение, поскольку в электронных письмах не содержится вредоносного ПО.

Фишинговые электронные письма, несмотря на то, что они считаются менее опасными, могут привести к утечке данных и захвату учетной записи.

Группа Кимсуки нацелена на исследователей и деятелей из Северной Кореи, используя новую базу для атак по электронной почте, перемещаясь с Японии на Россию.

Управление безопасностью имеет решающее значение в борьбе с фишинговыми атаками, при этом особое внимание уделяется использованию активных мер безопасности, таких как продукты EDR.

Для усиления защиты от атак рекомендуется собирать данные IoC, связанные со сценариями фишинга.

Группа Ким Су Ки использует различных поставщиков услуг электронной почты для маскировки своих мошеннических действий.

Фишинговые атаки включают в себя выдачу себя за законные темы (например, Naver MYBOX) и рассылку ложных предупреждений, чтобы обманом заставить пользователей разгласить конфиденциальную информацию.

Злоумышленники используют поддельные адреса отправителей и вредоносные программы для отправки электронной почты, чтобы скрыть свое происхождение и повысить доверие к своим фишинговым письмам.

Тщательный анализ адресов электронной почты отправителей, особенно в письмах, связанных с финансовыми или официальными документами, имеет жизненно важное значение для выявления попыток фишинга.

Администраторы Genian EDR играют важную роль в обнаружении вредоносных IP-адресов и управлении доступом к ним для предотвращения взломов и несанкционированного доступа к сети.

#ParsedReport #CompletenessMedium
02-12-2024

Be wary of phishing attacks organized by APT-C-01 (Poison Ivy). Attack activity analysis

https://mp.weixin.qq.com/s/6wVfE9SE3wVuazxVppe3tA

Report completeness: Medium

Actors/Campaigns:
Poison_ivy

Threats:
Watering_hole_technique
Spear-phishing_technique
Sliver_c2_tool
Process_injection_technique
Double_kill_vuln
Double_star_vuln

Industry:
Education, Government

ChatGPT TTPs:
do not use without manual check
T1071, T1027, T1059, T1027.004

IOCs:
Hash: 5
File: 1
IP: 3
Domain: 2

Soft:
Linux, MACOS

Algorithms:
aes, md5

Win API:
decompress

Languages:
golang

Platforms:
cross-platform

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 2, dump: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4