#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в эволюции CryptBot на протяжении двух лет, при этом разработчики постоянно обновляли его, чтобы дистанцироваться от первоначальной версии. Несмотря на достижения в области методов шифрования и обфускации, основные функциональные возможности CryptBot как простого взломщика остаются прежними, наряду с развертыванием клиента NetSupport для доступа через черный ход и использованием строк открытого текста для передачи команд и контроля.
-----

CryptBot претерпел значительную эволюцию и трансформацию в течение двух лет, при этом разработчики постоянно выпускали новые версии в попытке дистанцироваться от первоначальной версии. Первоначальным вариантом был базовый stealer, скомпилированный с использованием msvc и имеющий конфигурацию шифрования XOR. Однако последняя версия бота мало похожа на своего предшественника. Современная версия скомпилирована с помощью MinGW, в значительной степени использует методы обфускации и использует шифрование RC4 для защиты своей конфигурации. Несмотря на все эти уровни сложности, при ближайшем рассмотрении оказывается, что по своей сути базовая функциональность остается такой же, как у простого stealer.

Одной из примечательных возможностей CryptBot является его способность отключать клиент NetSupport, который служит лазейкой для взломанной системы. Развертывание клиента NetSupport упрощается с помощью команды PowerShell и выполнения скрипта. Кроме того, строки открытого текста, присутствующие в двоичном файле, используются для передачи данных командования и контроля (C2).

Конфигурации, используемые в CryptBot, зашифрованы с использованием шифрования RC4, при этом ключ шифрования генерируется динамически. Бот скомпилирован с использованием компилятора GCC, в частности, GNU linker ld (GNU Binutils версии 2.40). Дальнейший анализ показывает, что компонент GUI32 бота содержит сжатый двоичный файл и DLL-библиотеку со встроенным ключом RC4. Другой компонент, LkgwUi, содержит шифровальщик буфера обмена.

Конкретные варианты криптокрадателя включают в себя:.

Полный криптокрад с хэшем MD5 ff10143803f39c6c08b2fbe846d990b92c6d1b71e27f89bca69ab9331945b14a.

Похититель криптовалют с хэшем MD5 059d39e5ea384d50c448696da393e9396b883627e5ad02bdd77b66371ba34f7d.

Поврежденный криптокрад с хэшем MD5 7a5a330e626f73b5c4bfa9aeb29a19429cbdd66dd7968b190586c14cbee8a7c9.

Кроме того, для обмена данными C2 используются строки открытого текста в двоичном коде, что указывает на потенциальную уязвимость в коммуникационных процессах похитителя.

#ParsedReport #CompletenessLow
07-12-2024

Phish Supper: An Incident Responder s Bread and Butter

https://www.nccgroup.com/us/research-blog/phish-supper-an-incident-responder-s-bread-and-butter

Report completeness: Low

Threats:
Spear-phishing_technique

TTPs:
Tactics: 6
Technics: 10

IOCs:
IP: 7
Domain: 2

Soft:
node.js, Microsoft OneDrive

Functions:
Set-InboxRule

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что хакер получает несанкционированный доступ к учетной записи Microsoft 365 с помощью успешных фишинговых электронных писем, исходящих от взломанной учетной записи пользователя поставщика. Хакер использовал различные тактики, чтобы сохранить постоянство, воспользоваться скомпрометированной учетной записью и нацелиться на других пользователей с помощью фишинговых электронных писем и вредоносных вложений в документы, одновременно заметая следы своего присутствия.
-----

Первоначальный доступ к учетной записи Microsoft 365 был получен с помощью успешного фишингового электронного письма, отправленного из взломанной учетной записи пользователя поставщика. Фишинговое электронное письмо было отправлено внешним получателям, один из которых, известный как нулевой пациент, стал жертвой атаки. Нулевой пациент перешел по ссылке в электронном письме, отправленном для шпионской атаки, и, сам того не желая, предоставил хакеру свои учетные данные, что позволило получить несанкционированный доступ к его учетной записи. Оказавшись в взломанной учетной записи, хакер предпринял несколько действий, чтобы сохранить настойчивость и в дальнейшем использовать ситуацию.

Получив доступ, хакер зарегистрировал новое приложение для проверки подлинности с уведомлением и кодом в учетной записи нулевого пациента, чтобы облегчить несанкционированный вход в систему. Они также создали новые правила для почтовых ящиков, чтобы отвлечь внимание пользователя от потенциально подозрительных писем. Кроме того, хакер загрузил документы на личный сайт пользователя SharePoint, один из которых позже был использован в качестве вложения в последующих фишинговых электронных письмах.

Фишинговое электронное письмо, отправленное со взломанного аккаунта поставщика, содержало ссылку на документ, размещенный на сайте SharePoint внешнего пользователя. Нулевой пациент перешел по этой ссылке, что привело к успешному входу хакера в систему. Кроме того, нулевой пациент нажал на вредоносное PDF-вложение в первоначальном фишинговом электронном письме, что еще больше способствовало проникновению хакера.

Было замечено, что в рамках своей деятельности хакер удалял определенные электронные письма, в частности те, которые предупреждали пользователей о фишинговом письме, предполагая попытку замести следы и сохранить скрытное присутствие. Пользователи, которые переходили по ссылкам в фишинговых письмах, были перенаправлены на поддельную страницу входа в Microsoft, где им было предложено ввести свои учетные данные Microsoft 365, что позволило хакеру получить дополнительные учетные данные.

Примерно через 25 дней после получения первоначального доступа хакер использовал учетную запись нулевого пациента для отправки еще одного фишингового электронного письма, на этот раз как внутренним, так и внешним получателям. Тематика электронного письма соответствовала предыдущим попыткам фишинга, что указывает на модель поведения хакера. Вредоносные документы, прикрепленные к этим электронным письмам, были размещены на личных сайтах SharePoint со специальными настройками общего доступа для ограничения доступа. Внутренние пользователи были добавлены непосредственно к документу для получения разрешений на просмотр, в то время как внешним получателям был предоставлен доступ по ссылке.

#ParsedReport #CompletenessMedium
07-12-2024

MOONSHINE Exploit Kit and DarkNimbus Backdoor Enabling Earth Minotaur s Multi-Platform Attacks

https://www.trendmicro.com/en_us/research/24/l/earth-minotaur.html

Report completeness: Medium

Actors/Campaigns:
Earth_minotaur
Earth_empusa
Unc5221
Winnti

Threats:
Moonshine
Darknimbus
Crosswalk
Screen_shotting_technique
Mitm_technique
Shadowpad
Plugx_rat
Dll_sideloading_technique
Siggen

Industry:
Education, Government, E-commerce, Religion

Geo:
China, Chinese, Thailand, Tibetan, Hong kong, Vietnam, Korea, Vietnamese, Tibet, Indonesia, Asia, Taiwan

CVEs:
CVE-2018-17480 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- google chrome (<71.0.3578.80)

CVE-2017-5030 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- google chrome (<57.0.2987.98)

CVE-2016-1646 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- debian debian linux (8.0, 9.0)

CVE-2018-17463 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- google chrome (<70.0.3538.67)

CVE-2016-5198 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- google chrome (<54.0.2840.90)

CVE-2018-6065 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- google chrome (<65.0.3325.146)

CVE-2020-6418 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- google chrome (<80.0.3987.122)

CVE-2023-3420 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- google chrome (<114.0.5735.198)

CVE-2017-5070 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- google chrome (<59.0.3071.86)


ChatGPT TTPs:
do not use without manual check
T1566, T1203, T1059, T1218

IOCs:
File: 8
IP: 9
Hash: 48
Domain: 47

Soft:
Android, WeChat, Chromium, Chrome, WhatsApp, DingTalk, Telegram, Ivanti

Algorithms:
md5, base64

Platforms:
cross-platform

Links:
https://github.com/crosswalk-project
https://github.com/Bwar/CJsonObject

#ParsedReport #ExtractedSchema

Classified images:
windows: 11, schema: 2, code: 2, dump: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в анализе набора эксплойтов MOONSHINE, используемого хакером Earth Minotaur для устранения уязвимостей в приложениях для обмена сообщениями Android, которые в первую очередь затрагивают тибетское и уйгурское сообщества. Набор эксплойтов, обновляемый с 2019 года, представляет значительную угрозу из-за дополнительных эксплойтов и функций, приводящих к установке бэкдоров на устройства жертв. Атака использует тактику социальной инженерии, чтобы обманом заставить жертв переходить по вредоносным ссылкам, а также использует уязвимости в браузерах на базе Chromium и приложениях для Android. Бэкдор DarkNimbus, который можно внедрить с помощью набора эксплойтов, позволяет осуществлять слежку за зараженными устройствами, подчеркивая необходимость регулярного обновления программного обеспечения пользователями и осторожного обращения с сообщениями. Сотрудничество между исследователями в области кибербезопасности имеет важное значение для выявления и анализа продвинутых хакерских атак, организованных такими хакерами, как Earth Minotaur.
-----

Набор эксплойтов MOONSHINE используется хакером Earth Minotaur для поиска уязвимостей в приложениях для обмена сообщениями Android, которые в первую очередь затрагивают тибетское и уйгурское сообщества.

Набор эксплойтов MOONSHINE расширялся с 2019 года, и к 2024 году было идентифицировано более 55 серверов, дополненных дополнительными эксплойтами и функциями.

Земной Минотавр использует тактику социальной инженерии, чтобы обманом заставить жертв переходить по вредоносным ссылкам, которые приводят к установке бэкдора на устройства.

Бэкдор DarkNimbus, передаваемый по протоколу XMPP, может вести наблюдение за зараженными устройствами, используя службу специальных возможностей Android для извлечения данных.

Цепочка атак включает в себя закодированные ссылки для атаки, успешное использование уязвимостей и внедрение бэкдора DarkNimbus, нацеленного на WeChat на Android.

Совместные усилия исследователей в области кибербезопасности из таких организаций, как Trend Micro и Cisco Talos, необходимы для выявления и анализа таких сложных угроз.

Связи между семействами вредоносных программ, такими как Shadowpad и DarkNimbus, подразумевают потенциальное сотрудничество или совместное использование ресурсов хакерами, что подчеркивает взаимосвязанный характер хакеров.

#technique

BootExecuteEDR: The code contained within the project is an example demonstration of exploiting this "feature" to disable Endpoint Security Products before they have a chance to stop us

https://github.com/rad9800/BootExecuteEDR

#technique

Introducing GimmeShelter.py
a situational awareness Python script to help you find where to put your beacons

https://rwxstoned.github.io/2024-12-06-GimmeShelter/

#technique

Process Inject Kit
This is a port of Cobalt Strike's Process Inject Kit from C to the C++ BOF template.

https://github.com/rasta-mouse/process-inject-kit

#ParsedReport #CompletenessHigh
08-12-2024

Black Basta Ransomware Campaign Drops Zbot, DarkGate, and Custom Malware

https://www.rapid7.com/blog/post/2024/12/04/black-basta-ransomware-campaign-drops-zbot-darkgate-and-custom-malware

Report completeness: High

Threats:
Blackbasta
Zeus
Darkgate
Credential_harvesting_technique
Process_hollowing_technique
Microsoft_quick_assist_tool
Anydesk_tool
Teamviewer_tool
Screenconnect_tool
Z_loader
Cobalt_strike
Process_hacker_tool
Shadow_copies_delete_technique
Spear-phishing_technique
Process_injection_technique
Pe_injection_technique
Kerberoasting_technique

TTPs:
Tactics: 7
Technics: 12

IOCs:
Command: 1
File: 37
Registry: 4
Path: 9
Email: 2
Url: 2
Domain: 1
Hash: 3
IP: 1

Soft:
Firefox, Chrome, Opera, AutoHotkey, Microsoft Teams, OpenSSH, Windows Defender, Windows Registry

Algorithms:
base64, sha256, zip, rc4, xor

Functions:
NTAPI

Win API:
NtCreateUserProcess, ResumeThread, MessageBoxA, SetCursorPos, mouse_event, CreateRemoteThread, RtlAdjustPrivilege, NtRaiseHardError, CreateProcessA, EnumDisplayDevicesA, have more...

Languages:
autoit, powershell, java

Platforms:
x86

Links:
https://github.com/rapid7/Rapid7-Labs/blob/main/IOCs/BlackBasta\_SocialEngineering\_IOCs.txt
https://github.com/rapid7/Rapid7-Labs/blob/main/Yara/blacklava.yar

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - анализ вредоносных программ и кампании социальной инженерии, проводимой операторами-вымогателями Black Basta, с подробным описанием их тактики, методов доставки, методов обхода защиты и полезной нагрузки. Кроме того, в нем представлены стратегии смягчения последствий, рекомендованные Rapid7 для противодействия угрозе.
-----

Анализ вредоносных программ выявляет сложные функциональные возможности, включая саморепликацию в %APPDATA%, сохранение с помощью ключа запуска или запланированных задач и шифрование данных в разделах реестра.

Вредоносная программа использует "опустошение процесса" для внедрения в приостановленные экземпляры msedge.exe и перезагрузки ntdll.dll для уклонения.

Кампания социальной инженерии, проводимая операторами программ-вымогателей Black Basta, демонстрирует эволюционирующую тактику с усовершенствованными методами доставки и методами уклонения от защиты.

хакеры обманом заставляют пользователей устанавливать средства удаленного управления, используя OpenSSH в качестве обратной оболочки и нацеливаясь на файлы конфигурации VPN и учетные данные пользователя.

Злоумышленники переходят от .exe к инструментам сбора учетных данных библиотеки DLL, выполняемым через rundll32.exe, сохраняя выходные данные в каталоге %TEMP%.

Полезная нагрузка вредоносного ПО включает в себя загрузчики маяков, полезные нагрузки Java с обработчиками учетных данных и многопоточные маяки.

Программа сбора учетных данных, EventCloud.библиотека dll, крадет нажатия клавиш и данные из буфера обмена для удаленного выполнения команд.

Вредоносная программа DarkGate, запущенная в версии 7.0.6, использует настроенный упаковщик для изменения поведения при обнаружении продукта безопасности.

Стратегии смягчения последствий включают ограничение контактов с внешними пользователями, стандартизацию средств удаленного управления, блокирование несанкционированных инструментов, обучение пользователей и стандартизацию доступа к VPN.