#ParsedReport #CompletenessMedium
02-12-2024

SmokeLoader Attack Targets Companies in Taiwan

https://www.fortinet.com/blog/threat-research/sophisticated-attack-targets-taiwan-with-smokeloader

Report completeness: Medium

Threats:
Smokeloader
Ande_loader

Industry:
Healthcare

Geo:
Taiwan

CVEs:
CVE-2017-0199 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft office (2007, 2010, 2013, 2016)
- microsoft windows 7 (-)
- microsoft windows server 2008 (-, r2)
- microsoft windows server 2012 (-)
- microsoft windows vista (-)
have more...

ChatGPT TTPs:
do not use without manual check
T1059.005, T1059.001, T1140, T1203, T1102, T1036.004, T1055.012, T1185

IOCs:
File: 25
Registry: 1
Path: 2
IP: 4
Hash: 25

Soft:
Firefox, Chrome, Opera, Chromium, Amigo, QQBrowser, Outlook, WinSCP, Microsoft Office, Chrome, Opera, have more...

Algorithms:
base64

Functions:
InternetExplorer

Win API:
ResumeThread, CreateRemoteThread, VirtualQuery, HttpSendRequestA HttpSendRequestW InternetWriteFile, GetProcAddress, WSASend, TranslateMessage, GetClipboardData

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в кибератаке, обнаруженной на Тайване в сентябре 2024 года и нацеленной на различные сектора с использованием вредоносного ПО SmokeLoader, известного своими методами уклонения и модульной конструкцией. Злоумышленники использовали уязвимости в Microsoft Office для доставки вредоносных программ, проведения фишинговых кампаний и сбора конфиденциальных данных с помощью различных плагинов. Этот инцидент подчеркивает важность бдительности аналитиков и необходимость того, чтобы организации внедряли средства защиты от появляющихся хакеров.
-----

В сентябре 2024 года FortiGuard Labs обнаружила на Тайване атаку, направленную на различные сектора, такие как производство, здравоохранение и информационные технологии, с использованием вредоносного ПО SmokeLoader, известного своими методами уклонения и модульной конструкцией. Эта вредоносная программа обычно действует как загрузчик другого вредоносного программного обеспечения, но в данном случае она непосредственно провела атаку, загрузив плагины со своего сервера управления (C2).

В ходе атаки была использована уязвимость CVE-2017-0199 в Microsoft Office, которая использует объект link, встроенный в OLE2. Когда жертва взаимодействует с созданным файлом, вредоносный документ загружается и выполняется. Фишинговое вложение электронной почты, использованное в этом инциденте, скрывает объект, содержащий вредоносную ссылку, внутри листа.

Кроме того, злоумышленники воспользовались уязвимостью CVE-2017-11882, позволяющей удаленно выполнять код (RCE) в редакторе уравнений Microsoft Office. Вредоносный шелл-код расшифровывает зашифрованные данные и вызовы API, извлекая файл VBS для следующего этапа, используя функцию URLDownloadToFile.

В ходе атаки используются файлы VBS, перегруженные ненужным кодом, чтобы скрыть вредоносные намерения. При деобфускации обнаруживается, что код PowerShell загружает стеганографическое изображение, содержащее данные, закодированные в base64, для инжектора. Инжектор с аргументами, относящимися к загрузке SmokeLoader, сохранению и вводу, декодируется и вводится в RegAsm.exe.

Работа SmokeLoader включает в себя загрузку плагинов со своего сервера C2 с такими функциями, как анализ данных для адресов электронной почты и внедрение кода в браузеры для сбора конфиденциальных данных и отправки их на сервер C2. Различные плагины нацелены на определенные процессы, такие как очистка файлов cookie и внедрение клавиатурных шпионов в браузеры и explorer.exe.

Модульный характер SmokeLoader облегчает проведение разнообразных атак с помощью его плагинов, подчеркивая необходимость того, чтобы аналитики сохраняли бдительность, несмотря на установленные возможности вредоносного ПО. FortiGuard Labs обязуется тщательно отслеживать эти кампании и внедрять необходимые средства защиты для защиты организаций от подобных угроз.

#ParsedReport #CompletenessHigh
02-12-2024

Unmasking Phishing: Strategies for identifying 0ktapus domains and beyond. TL;DR

https://www.wiz.io/blog/unmasking-phishing-strategies-for-identifying-0ktapus-domains

Report completeness: High

Actors/Campaigns:
0ktapus (motivation: financially_motivated)

Threats:
Mfa_bombing_technique
Sim_swapping_technique
Eightbait_tool
Typosquatting_technique

Industry:
Financial

Geo:
New york, Newyork

ChatGPT TTPs:
do not use without manual check
T1566, T1583

IOCs:
Email: 2
Domain: 185
Url: 4
File: 7
Hash: 37
IP: 16

Soft:
Twitter, servicenow, Android, Roblox, SendGrid

Wallets:
coinbase

Crypto:
ripple

Algorithms:
sha256, base64

Languages:
javascript, php

Platforms:
apple

Links:
have more...
https://github.com/wiz-sec-public/wiz-research-iocs/blob/main/reports/0ktapus\_dom\_templates.md
https://github.com/wiz-sec-public/wiz-research-iocs/blob/main/reports/0ktapus\_phishing.csv

#ParsedReport #ExtractedSchema

Classified images:
schema: 4

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что фишинг, особенно нацеленный на облачные идентификаторы, является распространенной тактикой, используемой хакерами, такими как финансово мотивированный 0ktapus. В сообщении в блоге подробно описываются различные методы расследования фишинговых кампаний, включая анализ фишинговых целевых страниц, методы социальной инженерии и характеристики фишинговых доменов. Подчеркивается важность постоянной бдительности в области кибербезопасности, такой как мониторинг новых зарегистрированных доменов и применение многофакторной аутентификации, для эффективного обнаружения и устранения фишинговых угроз.
-----

Фишинг - распространенная тактика, используемая хакерами для незаконного получения идентификационных данных, при этом облачные идентификаторы являются основной целью. В блоге подробно описаны различные методы расследования фишинговых кампаний путем переключения между фишинговыми целевыми страницами с использованием хакера 0ktapus в качестве примера. 0ktapus, финансово мотивированный хакер, действующий с 2022 года, нацелился на облачные среды, используя методы социальной инженерии, такие как SMS-фишинг, голосовой фишинг и фишинговые целевые страницы.

Тактика, используемая 0ktapus, заключается в создании фишинговых целевых страниц, имитирующих законные страницы входа в целевые организации, для сбора учетных данных и получения первоначального доступа к сетям. Эти страницы часто размещаются на доменах с недолговечным сроком службы, и исторические данные указывают на то, что некоторые домены были устаревшими до того, как их стали использовать для фишинга с целью повышения репутации. 0ktapus также демонстрирует схему реактивации старой инфраструктуры и нацеливания на ранее скомпрометированных жертв в своих кампаниях.

Анализируя различные аспекты фишинговых кампаний, такие как шаблоны объектной модели документов (DOM), используемые 0ktapus, специфические характеристики фишинговых доменов, профилирование сети и анализ регистрации доменов, аналитики могут эффективно выявлять фишинговые домены и выявлять ранее неизвестную инфраструктуру. Снятие отпечатков пальцев с приложений, анализ тегов HTML-кода и изучение уникальных характеристик различных фишинговых наборов - вот некоторые из методов, рассмотренных в этой статье.

Отмечается, что 0ktapus адаптирует каждую фишинговую страницу к конкретной целевой организации, используя изображения или CSS-скрипты, полученные непосредственно с законных веб-сайтов жертв, что может помочь в выявлении новых неизвестных фишинговых доменов. В статье подчеркивается важность постоянной бдительности в области кибербезопасности, особенно для организаций, которые ранее подвергались взломам, для эффективного обнаружения фишинговых угроз и устранения их последствий.

Другие методы, упомянутые в сообщении в блоге, включают мониторинг новых зарегистрированных доменов у регистраторов, которые обычно используются хакерами, применение многофакторной аутентификации (MFA) и единого входа (SSO) для всех служб, а также использование таких инструментов, как UrlScan, для анализа комбинаций файлов и каталогов для выявления дополнительных фишинговых доменов. хакеры, подобные 0ktapus, часто используют определенные домены верхнего уровня, используют методы перенаправления и могут повторно активировать старую инфраструктуру для новых кампаний.

#ParsedReport #CompletenessHigh
02-12-2024

The Curious Case of an Egg-Cellent Resume

https://thedfirreport.com/2024/12/02/the-curious-case-of-an-egg-cellent-resume

Report completeness: High

Actors/Campaigns:
Magecart (motivation: financially_motivated)
Cobalt
Evilnum

Threats:
Cobalt_strike
More_eggs
Lolbin_technique
Pyramid_c2
Cloudflared_tool
Metasploit_tool
Sliver_c2_tool
Nltest_tool
Shadow_copies_delete_technique
Vssadmin_tool
Sharpshares_tool
Seatbelt_tool
Fog_ransomware
Adfind_tool
Veeamhax
Netscan_tool

CVEs:
CVE-2023-27532 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- veeam veeam backup & replication (11.0.1.1261, 12.0.0.1420)


TTPs:
Tactics: 9
Technics: 26

IOCs:
File: 38
Domain: 14
Command: 12
Path: 34
Url: 1
IP: 4
Hash: 31

Soft:
SoftPerfect Network Scanner, Linux, Internet Explorer, MSSQL, Windows Error Reporting, Windows Defender, Twitter, WhatsApp

Algorithms:
md5, sha1, sha256, 7zip, base64, zip

Win API:
DllInstall

Languages:
python, dotnet, jscript, powershell

Platforms:
apple, intel

YARA: Found
SIGMA: Found

Links:
https://github.com/djhohnstein/SharpShares
https://github.com/GhostPack/Seatbelt
have more...
https://github.com/naksyn/Pyramid

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - подробный отчет о сложной кампании кибератак, проведенной хакером TA4557, связанной с деятельностью FIN6. В отчете описываются различные этапы атаки, инструменты и приемы, используемые хакерами, их тактика уклонения, стратегии нацеливания и признаки компрометации. В нем подчеркивается, что злоумышленник использует такие вредоносные инструменты, как more_eggs, Cobalt Strike и Pyramid C2, а также их способность использовать уязвимости, осуществлять боковые перемещения и предоставлять постоянный доступ к скомпрометированным серверам. Проведенный анализ подчеркивает важность постоянного мониторинга, обмена информацией об угрозах и создания правил обнаружения для усиления защиты от APT.
-----

хакер TA4557, связанный с активностью FIN6, провел сложную кампанию по вторжению, включающую многоэтапные атаки с использованием вредоносного ПО more_eggs.

Первоначальный доступ был получен с помощью приманки для возобновления работы, а для запуска вредоносного ПО использовались такие символы, как ie4uinit.exe и msxsl.exe.

Cobalt Strike и инструмент C2 на базе Python под названием Pyramid использовались для последующей эксплуатации.

CVE-2023-27532 был использован для компрометации сервера Veeam с целью горизонтального перемещения и повышения привилегий.

Cloudflared был установлен для туннелирования RDP-трафика.

Proofpoint отслеживает TA4557 с 2018 года, отмечая использование ими бэкдора more_eggs и приманок, связанных с кандидатами на работу.

Были использованы различные методы, такие как дополнительная загрузка вредоносного inf-файла, удаление вредоносной библиотеки DLL и настройка сохранения запланированных задач.

Хакер занимался разведкой сети, выполнял сценарии PowerShell, пытался туннелировать трафик через сервисы Cloudflare и извлекал учетные данные из базы данных Veeam.

Были выявлены методы MITRE ATT и CK, включая создание учетной записи, повышение привилегий, манипулирование файлами, разведку сети и туннелирование протоколов.

Для защиты от изощренных хакеров, подобных TA4557, были рекомендованы постоянный мониторинг, обмен информацией об угрозах и разработка правил обнаружения.

#ParsedReport #CompletenessMedium
02-12-2024

Analysis of the recent incident of APT-C-36 (Blind Eagle) forging judicial department documents and submitting DcRat backdoor

https://mp.weixin.qq.com/s/DDCCjhBjUTa7Ia4Hggsa1A

Report completeness: Medium

Actors/Campaigns:
Blindeagle

Threats:
Dcrat
Ande_loader
Amsi_bypass_technique
Double_kill_vuln
Double_star_vuln

Victims:
Government departments, Large companies

Industry:
Financial, Government

Geo:
Mexico, Spanish, Turkey, Panama, Ecuador, America, Colombia

ChatGPT TTPs:
do not use without manual check
T1566.001, T1027.002, T1059.005, T1055.001, T1027

IOCs:
File: 4
Domain: 1
Hash: 9
Url: 8

Algorithms:
base64, zip

Win Services:
bits

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 9

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в деятельности APT-группы APT-C-36 (Blind Eagle), нацеленной на испаноязычные регионы, такие как Колумбия, их тактике, включающей фишинговые электронные письма с поддельными судебными документами и использование вредоносных инструментов, таких как DcRat, для удаленного управления и кражи данных. Кроме того, в тексте освещаются усилия 360 Threat Intelligence Center и 360 Advanced Threat Research Institute по защите от современных угроз и их исследованию, особенно в контексте национальной сетевой безопасности.
-----

Аналитический центр 360 Threat Intelligence Center - это выдающаяся платформа для обмена информацией об угрозах, ее анализа и раннего предупреждения, использующая обширные хранилища данных о безопасности 360 Security Brain для получения высококачественной аналитической информации. APT-C-36, известная как Blind Eagle, является группировкой APT, которая, как предполагается, происходит из Южной Америки и нацелена на цели в Колумбии и других регионах, таких как Эквадор и Панама. Эта организация с 2018 года проводит целенаправленные атаки против государственных органов, финансового сектора, страховых компаний и крупных компаний Колумбии. Недавно APT-C-36 начал использовать сжатые пакеты UUE для создания поддельных судебных документов, отправляемых юридическим лицам в Колумбии, что привело к внедрению бэкдора DcRat на компьютерах жертв.

Злоумышленники используют фишинговые электронные письма, чтобы обманом заставить пользователей загружать вредоносные файлы, замаскированные под пакеты со сжатием UUE/ZIP, со сторонних облачных платформ. Эти пакеты содержат самораспаковывающиеся EXE-файлы с испанскими названиями, которые выдаются за законные судебные документы. После выполнения эти файлы запускают вредоносные программы для выполнения скриптов и запутанные файлы скриптов (суффикс WSF) в каталоге %TEMP%. Запутанные скрипты содержат специальные символы, которые заменяются для выполнения вредоносных команд, создавая постоянную запланированную задачу с именем "google Update2024 Tas". На следующем этапе используется скрипт sostener.vbs, который продолжает стиль APT-C-36 с запутанным кодом и загружает полезные файлы, такие как AndeLoader и DcRat.

DcRat, также известный как Dark Crystal RAT, представляет собой модульный троян для удаленного управления с открытым исходным кодом, который наблюдается с 2018 года. Он обладает гибкостью в развертывании различных вредоносных функций, таких как регистрация с клавиатуры, скриншоты, кража данных из буфера обмена и выполнение команд. Троянец стратегически выбирает тактику противодействия отладке, основанную на архитектуре системы. Методология атаки APT-C-36 заключается в использовании файлов-ложных сообщений с испанскими названиями, имитирующих документы Министерства юстиции, в соответствии с прошлыми действиями. Методы обфускации и последующая полезная нагрузка совпадают с предыдущей тактикой группы, нацеленной на испаноязычных людей и группы в таких регионах, как Колумбия, Мексика, Эквадор и Турция.

Организация APT-C-36 (Blind Eagle) продолжает совершенствовать свои инструменты и цепочки атак, расширяя свои целевые группы и совершенствуя стратегии атак. 360 Advanced Threat Research Institute, в состав которого входят старшие эксперты по безопасности в рамках 360 Government and Enterprise Security Group, играет жизненно важную роль в обнаружении, защите от, смягчении и исследовании продвинутых угроз. Институт внес значительный вклад в выявление атак нулевого дня по всему миру и раскрытие информации о передовых действиях многочисленных национальных организаций APT, поддерживая усилия 360 по обеспечению национальной сетевой безопасности. Опыт и достижения команды получили признание как в индустрии кибербезопасности, так и за ее пределами.

#ParsedReport #CompletenessLow
02-12-2024

Financially Motivated Threat Actor Leveraged Google Docs and Weebly Services to Target Telecom and Financial Sectors

https://blog.eclecticiq.com/financially-motivated-threat-actor-leveraged-google-docs-and-weebly-services-to-target-telecom-and-financial-sectors

Report completeness: Low

Threats:
Sim_swapping_technique
Credential_harvesting_technique

Victims:
Telecommunications, Financial, Security professionals

Industry:
Financial, Telco

Geo:
Canadian, Emea, Amer, Australian

ChatGPT TTPs:
do not use without manual check
T1566, T1566.002, T1078, T1110.003, T1027

IOCs:
Domain: 3
Url: 20
IP: 1

Soft:
Burp Suite

Functions:
AJAX

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 2, table: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея:.
Аналитики EclecticIQ обнаружили сложную фишинговую кампанию, нацеленную на телекоммуникационный и финансовый секторы, которая использовала Google Docs и Weebly для эффективного обхода мер безопасности. Хакеры адаптировали фишинговые приманки под конкретные бренды, использовали динамический DNS для ротации поддоменов, использовали тактику обхода многофакторной аутентификации и использовали законные инструменты отслеживания в своих фишинговых наборах для контроля эффективности. Злоумышленники также нацелились на специалистов по безопасности, использовали замену SIM-карты для несанкционированного доступа и централизовали свою инфраструктуру на Weebly, чтобы скрыть фишинговый контент на законной платформе. Для противодействия таким угрозам организациям рекомендуется применять расширенные меры безопасности и обучать пользователей распознавать попытки фишинга.
-----

В конце октября 2024 года аналитики EclecticIQ раскрыли сложную фишинговую кампанию, нацеленную на телекоммуникационный и финансовый секторы.

Злоумышленники использовали документы Google для рассылки фишинговых ссылок, что приводило жертв к поддельным страницам входа в Weebly, чтобы эффективно избежать обнаружения.

Злоумышленники сочли Weebly привлекательным благодаря удобному интерфейсу для размещения фишинговых страниц, а также использованию динамического DNS для смены поддоменов, что затрудняло обнаружение.

Фишинговые приманки были разработаны специально для телекоммуникационного и финансового секторов, имитируя такие сервисы, как AT&T и финансовые учреждения США/Канады.

Злоумышленники использовали тактику обхода MFA и законные инструменты отслеживания, такие как Sentry.io и Datadog, для отслеживания взаимодействия с жертвами для уточнения результатов кампании.

Фишинговая кампания включала страницы на тему PICUS, предназначенные для специалистов по безопасности в Google Docs.

Злоумышленники использовали замену SIM-карты для перехвата SMS-кодов MFA, что подчеркивает необходимость усиления мер безопасности.

Фишинговые наборы полностью имитировали законные порталы входа в систему, использовали функции развертывания Weebly и общие IP-адреса / домены для маскировки фишинговых действий.

Рекомендации включают внедрение передовых решений для фильтрации электронной почты, упреждающий мониторинг DNS, обязательную многофакторную аутентификацию, обучение пользователей распознаванию фишинга и раннее обнаружение артефактов, обнаруженных с помощью фишинговых наборов.

#ParsedReport #CompletenessLow
03-12-2024

Inside Akira Ransomware s Rust Experiment

https://research.checkpoint.com/2024/inside-akira-ransomwares-rust-experiment

Report completeness: Low

Threats:
Akira_ransomware
Pridelocker
Babuk
Ransomware.wins

ChatGPT TTPs:
do not use without manual check
T1059, T1083, T1486

IOCs:
File: 1
Hash: 1

Soft:
Linux, ESXi, unix

Wallets:
harmony_wallet

Algorithms:
sha256, sosemanuk, curve25519

Functions:
available_parallelism, args, next, args_os, quota, count_ones, FnOnce

Languages:
fortran, rust

Platforms:
cross-platform

Links:
https://github.com/rust-lang/rust/blob/b11fbfbf351b94c7eecf9e6749a4544a6d4717fa/library/std/src/sys/pal/unix/thread.rs#L309
https://github.com/rust-lang/rust/blob/db034cee00570a9b82ea8b9e9e95221dbd745698/library/std/src/env.rs#L756
have more...
https://github.com/rust-lang/rust/blob/db034cee00570a9b82ea8b9e9e95221dbd745698/library/std/src/sys/random/linux.rs#L134

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - анализ Rust-версии программы-вымогателя Akira, нацеленной на серверы ESXi, с акцентом на идиомы Rust, стратегии компиляции, сложности ассемблерного кода, логику шифрования, стратегии проектирования, используемые авторами, проблемы при анализе двоичных файлов Rust и последствия применения методов антианализа.
-----

В тексте обсуждается анализ Rust-версии программы-вымогателя Akira, специально предназначенной для серверов ESXi. Анализ посвящен идиомам Rust, стратегиям компиляции и сложностям ассемблерного кода. В отчете излагаются принципы анализа двоичных файлов Rust и освещаются стратегии разработки, используемые авторами вредоносных программ.

Процесс управления программой-вымогателем включает в себя получение аргументов из командной строки, использование определенных функциональных возможностей Rust и использование библиотеки индикаторов для визуального представления статуса выполнения. Анализ кода вредоносного ПО выявляет сложные детали выбора дизайна и стратегий реализации, использованных авторами.

В тексте подчеркиваются сложности, с которыми приходится сталкиваться при анализе двоичных файлов Rust из-за агрессивного встраивания, а также проблемы, связанные с процессами оптимизации языка. В нем обсуждается интеграция сторонних библиотек, использование стандартного кода и применение методов антианализа, оставленных авторами вредоносных программ, экспериментирующими с Rust.

Логика шифрования вредоносной программы предполагает использование асимметричных и симметричных шифров, таких как curve25519 и SOSEMANUK, соответственно. Подробно описаны процесс шифрования, функции поиска файлов и генерация уведомлений о требовании выкупа, демонстрирующие возможности вредоносного ПО в отношении серверов ESXi и сред Linux.

Несмотря на высокую степень освоения Rust, его кроссплатформенная поддержка, эргономичность и доступность библиотек сделали его привлекательным языком для авторов вредоносных программ. Проведенный анализ подчеркивает необходимость в передовых инструментах для решения сложных задач, связанных с двоичными файлами Rust, особенно при работе с сегментами кода с глубокой встраиваемостью и сращиванием.