#technique

BootExecuteEDR: The code contained within the project is an example demonstration of exploiting this "feature" to disable Endpoint Security Products before they have a chance to stop us

https://github.com/rad9800/BootExecuteEDR

#technique

Introducing GimmeShelter.py
a situational awareness Python script to help you find where to put your beacons

https://rwxstoned.github.io/2024-12-06-GimmeShelter/

#technique

Process Inject Kit
This is a port of Cobalt Strike's Process Inject Kit from C to the C++ BOF template.

https://github.com/rasta-mouse/process-inject-kit

#ParsedReport #CompletenessHigh
08-12-2024

Black Basta Ransomware Campaign Drops Zbot, DarkGate, and Custom Malware

https://www.rapid7.com/blog/post/2024/12/04/black-basta-ransomware-campaign-drops-zbot-darkgate-and-custom-malware

Report completeness: High

Threats:
Blackbasta
Zeus
Darkgate
Credential_harvesting_technique
Process_hollowing_technique
Microsoft_quick_assist_tool
Anydesk_tool
Teamviewer_tool
Screenconnect_tool
Z_loader
Cobalt_strike
Process_hacker_tool
Shadow_copies_delete_technique
Spear-phishing_technique
Process_injection_technique
Pe_injection_technique
Kerberoasting_technique

TTPs:
Tactics: 7
Technics: 12

IOCs:
Command: 1
File: 37
Registry: 4
Path: 9
Email: 2
Url: 2
Domain: 1
Hash: 3
IP: 1

Soft:
Firefox, Chrome, Opera, AutoHotkey, Microsoft Teams, OpenSSH, Windows Defender, Windows Registry

Algorithms:
base64, sha256, zip, rc4, xor

Functions:
NTAPI

Win API:
NtCreateUserProcess, ResumeThread, MessageBoxA, SetCursorPos, mouse_event, CreateRemoteThread, RtlAdjustPrivilege, NtRaiseHardError, CreateProcessA, EnumDisplayDevicesA, have more...

Languages:
autoit, powershell, java

Platforms:
x86

Links:
https://github.com/rapid7/Rapid7-Labs/blob/main/IOCs/BlackBasta\_SocialEngineering\_IOCs.txt
https://github.com/rapid7/Rapid7-Labs/blob/main/Yara/blacklava.yar

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - анализ вредоносных программ и кампании социальной инженерии, проводимой операторами-вымогателями Black Basta, с подробным описанием их тактики, методов доставки, методов обхода защиты и полезной нагрузки. Кроме того, в нем представлены стратегии смягчения последствий, рекомендованные Rapid7 для противодействия угрозе.
-----

Анализ вредоносных программ выявляет сложные функциональные возможности, включая саморепликацию в %APPDATA%, сохранение с помощью ключа запуска или запланированных задач и шифрование данных в разделах реестра.

Вредоносная программа использует "опустошение процесса" для внедрения в приостановленные экземпляры msedge.exe и перезагрузки ntdll.dll для уклонения.

Кампания социальной инженерии, проводимая операторами программ-вымогателей Black Basta, демонстрирует эволюционирующую тактику с усовершенствованными методами доставки и методами уклонения от защиты.

хакеры обманом заставляют пользователей устанавливать средства удаленного управления, используя OpenSSH в качестве обратной оболочки и нацеливаясь на файлы конфигурации VPN и учетные данные пользователя.

Злоумышленники переходят от .exe к инструментам сбора учетных данных библиотеки DLL, выполняемым через rundll32.exe, сохраняя выходные данные в каталоге %TEMP%.

Полезная нагрузка вредоносного ПО включает в себя загрузчики маяков, полезные нагрузки Java с обработчиками учетных данных и многопоточные маяки.

Программа сбора учетных данных, EventCloud.библиотека dll, крадет нажатия клавиш и данные из буфера обмена для удаленного выполнения команд.

Вредоносная программа DarkGate, запущенная в версии 7.0.6, использует настроенный упаковщик для изменения поведения при обнаружении продукта безопасности.

Стратегии смягчения последствий включают ограничение контактов с внешними пользователями, стандартизацию средств удаленного управления, блокирование несанкционированных инструментов, обучение пользователей и стандартизацию доступа к VPN.

#ParsedReport #CompletenessLow
09-12-2024

Dark Web Profile: Ymir Ransomware

https://socradar.io/dark-web-profile-ymir-ransomware

Report completeness: Low

Threats:
Ymir_ransomware
Rusty_stealer

Geo:
Ukraine, Australia, Pakistan, Angola, Congo, African, Colombia

TTPs:
Tactics: 5
Technics: 9

IOCs:
Hash: 9
File: 1
IP: 4

Algorithms:
chacha20

Languages:
powershell, swift

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 2, dump: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: Появление программы-вымогателя Ymir означает новый уровень изощренности хакеров, бросающий вызов традиционным средствам защиты. Ymir работает скрытно в memory, используя передовые методы шифрования и тактику уклонения, с глобальными последствиями и потенциальными связями со странами Центральной Африки. Эффективные стратегии смягчения последствий включают многоуровневые меры безопасности, такие как MFA, надежные пароли, обучение сотрудников, EDR, внесение приложений в белый список и поведенческую аналитику.
-----

Программа-вымогатель Ymir - это сложная угроза, которая скрытно работает в памяти, что затрудняет ее обнаружение с помощью традиционных средств защиты.

Вирус Ymir был впервые обнаружен в июле 2024 года и быстро распространился, начав атаки на компании по всему миру.

Ymir использует вредоносную программу RustyStealer infostealer для первоначального доступа и проникновения в системы, подчеркивая тенденцию сотрудничества киберпреступников.

Программа-вымогатель использует передовые технологии выполнения в оперативной памяти и уникальные элементы, такие как использование африканского языка лингала в комментариях к коду.

Ymir использует алгоритм шифрования ChaCha20 для быстрого шифрования критически важных файлов и максимального снижения рисков для организаций-жертв.

Ymir обеспечивает постоянство с помощью запланированных задач и может распространяться по сетям, используя собранные учетные данные.

Программа-вымогатель заметает следы своей деятельности, чтобы помешать расследованию.

Ymir оказывает глобальное влияние, затрагивая такие страны, как Колумбия, Пакистан, Австралия и Украина, с потенциальными связями со странами Центральной Африки.

Организациям рекомендуется применять многоуровневые меры безопасности, включая MFA, политику надежного использования паролей, обучение сотрудников, EDR, внесение приложений в белый список и поведенческую аналитику, для защиты от подобных атак программ-вымогателей.

#ParsedReport #CompletenessLow
09-12-2024

LogoFAIL Exploited to Deploy Bootkitty, the first UEFI bootkit for Linux

https://www.binarly.io/blog/logofail-exploited-to-deploy-bootkitty-the-first-uefi-bootkit-for-linux

Report completeness: Low

Threats:
Logofail
Bootkitty
Blacklotus
Finfisher
Moonbounce
Nop_sled_technique

Victims:
Acer, Hp, Fujitsu, Lenovo

CVEs:
CVE-2023-40238 [Vulners]
CVSS V3.1: 5.5,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- insyde insydeh2o (<5.2.05.28.47, <5.3.05.37.47, <5.4.05.45.47, <5.5.05.53.47, <5.6.05.60.47)


ChatGPT TTPs:
do not use without manual check
T1211, T1059.004

IOCs:
File: 4

Soft:
Linux, Linux Ubuntu

Algorithms:
crc-32

Functions:
RLE8ToBlt, LocateProtocol, SetVariable

Platforms:
x86

#ParsedReport #ExtractedSchema

Classified images:
windows: 2, dump: 6, schema: 1, code: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении нового загрузчика Linux под названием Bootkitty, использовании им уязвимостей для анализа логофайлов, его способности заражать ядро Linux, обходить защиту при безопасной загрузке и его связи с конкретными устройствами, что подчеркивает меняющийся ландшафт угроз и важность исправлений безопасности встроенного ПО для смягчения последствий. риски, связанные с такими эксплойтами.
-----

Исследователи из Binarly недавно обнаружили существенную связь между недавно обнаруженным загрузочным пакетом Bootkitty для Linux и использованием уязвимостей для анализа изображений LogoFAIL, о которых сообщалось более года назад. Это открытие знаменует собой заметную эволюцию в области угроз, основанных на встроенном ПО, поскольку Bootkitty способен заражать ядро Linux, что является отличием от предыдущих угроз, которые были в основном сосредоточены на экосистеме Windows.

Исследовательская группа Binarly обнаружила, что Bootkitty использует уязвимость, связанную с ошибкой входа в систему (CVE-2023-40238), которая влияет на всю экосистему встроенного по UEFI. Буткит использует эксплойт logoFAIL для выполнения вредоносного шелл-кода с помощью подделанных BMP-файлов, встроенных в прошивку UEFI. Внедряя вредоносные сертификаты в переменную MokList, эксплойт может обходить защиту Secure Boot, что потенциально может повлиять на устройства таких производителей, как Acer, HP, Fujitsu и Lenovo. Несмотря на то, что патч от Insyde устраняет уязвимость, устройства без исправления остаются в зоне риска.

ESET задокументировала открытие Bootkitty, описав его как прототип UEFI bootkit, который представляет собой переход к настройкам Linux Ubuntu. Хотя Bootkitty в настоящее время считается скорее проверкой концепции, чем активной угрозой, его появление сигнализирует о более широкой тенденции распространения атак с использованием bootkit за пределы экосистемы Windows. Анализ показывает, что загрузчики представляют собой значительную область для атак, которую защитники часто упускают из виду, а такие уязвимости, как LogoFAIL и PKfail, подчеркивают проблемы, связанные с повышением сложности.

В ходе дальнейшего расследования Bootkitty были обнаружены два подозрительных файла изображений - logofail.bmp и logofail_fake.bmp - в открытом каталоге, содержащем образцы вредоносных программ. Обнаружение файлов, названных в честь исследования LogoFAIL, представленного на BlackHat EU 23, вызвало опасения по поводу потенциального использования уязвимостей LogoFAIL для развертывания вредоносных программ. В ходе углубленного анализа исследователи выявили шелл-код в файле logofail.bmp, предназначенный для изменения переменной MokList, гарантируя, что буткиту можно доверять во время процесса загрузки. Шелл-код манипулирует BMP-файлом, чтобы перенаправить выполнение во встроенный код, эффективно используя уязвимость.

Изучив ассемблерный код файла образа, исследователи обнаружили сложные детали того, как шелл-код взаимодействует с прошивкой для выполнения эксплойта. Расследование выявило конкретные механизмы, посредством которых шеллкод взаимодействует с прошивкой, подчеркнув важную роль исправлений, таких как те, что разработаны Insyde Software, в снижении риска, связанного с подобными эксплойтами.

Анализ также выявил ссылки в файле bootkit.efi, которые связывали Bootkitty с конкретными устройствами, подверженными уязвимостям LogoFAIL, в частности с устройствами Lenovo, использующими встроенное ПО Insyde. Перезаписывая переменные NVRAM и изменяя системные конфигурации, bootkit может манипулировать процессом загрузки и отображать определенный логотип на зараженных компьютерах. Это открытие позволило сузить круг устройств, на которые нацелен Bootkitty, до моделей Lenovo, которые все еще подвержены сбоям при входе в систему из-за устаревшей прошивки.

#ParsedReport #CompletenessHigh
09-12-2024

Blogs. Anatomy of Celestial Stealer: Malware-as-a-Service Revealed. Anatomy of Celestial Stealer: Malware-as-a-Service Revealed

https://www.trellix.com/blogs/research/anatomy-of-celestial-stealer-malware-as-a-service-revealed

Report completeness: High

Threats:
W4sp
Babel_tool
Junk_code_technique
Typosquatting_technique
infostealer.celestial
Fakecop
Growtopia
Process_hacker_tool
Scylla
Megadumper_tool

Victims:
Chromium browsers, Gecko-based browsers, Steam, Telegram, Atomic, Exodus, Vr chat erp users, Discord applications

Industry:
Financial, Entertainment

TTPs:
Tactics: 1
Technics: 28

IOCs:
File: 55
Url: 27
Hash: 25
Domain: 12

Soft:
Telegram, Chromium, Steam, Discord, keepass, Tiktok, Twitter, Roblox, Instagram, Chrome, Chrome SxS, have more...

Wallets:
exodus_wallet, metamask, trezor, zcash, sui_wallet, coinomi, solflare_wallet, tonkeeper, tron, guarda_wallet, have more...

Crypto:
binance, ethereum, monero

Algorithms:
sha256, base64, zip

Functions:
setPassphrase, Get-Process

Win API:
messagebox, NtQueueApcThread, Arc

Languages:
powershell, python, javascript, aspnet

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте обсуждается Celestial Stealer, основанный на JavaScript инфокрад, предлагаемый в качестве вредоносного ПО как услуги на платформе Telegram. В нем рассматриваются возможности инструмента, методы распространения, методы обфускации, целевые приложения, серверы управления, обновления и тактика уклонения, подчеркивая его распространенность как изощренного и развивающегося хакера.
-----

Центр передовых исследований Trellix недавно обнаружил образцы Celestial Stealer, основанного на JavaScript инфокрада, предлагаемого в качестве вредоносного ПО как услуги (MaaS) на платформе Telegram. Этот вредоносный инструмент можно приобрести с помощью еженедельной, ежемесячной или пожизненной подписки, предоставляющей пользователям доступ к его возможностям. Celestial Stealer нацелен на браузеры на базе Chromium и Gecko, а также на такие приложения, как Steam, Telegram и криптовалютные кошельки, такие как Atomic и Exodus. В основном он написан на JavaScript и сильно запутан, чтобы избежать обнаружения, используя методы антианализа для обхода мер безопасности. Stealer поставляется либо в виде приложения Electron, либо в виде отдельного приложения NodeJS для Windows 10 и Windows 11.

Поставщик вредоносных программ позиционирует Celestial Stealer как полностью необнаруживаемый (FUD) и регулярно обновляет инструмент для поддержания этого статуса. В VirusTotal представлены образцы, демонстрирующие его возможности скрытности. Кроме того, stealer может внедрять код в приложения Exodus и Discord. Он работает через два сервера управления (C2) - один для отправки украденных данных, а другой для загрузки полезных данных для инъекций.

Celestial Stealer распространяется различными способами. Например, пользователи могут столкнуться с ним на таких платформах, как VR Chat ERP, которые побуждают жертв загружать и запускать stealer. Поставщик услуг активно взаимодействует с пользователями через Telegram-каналы и специального бота, позволяя пользователям создавать индивидуальные версии вредоносного ПО. Приобретение подписки предоставляет доступ к этим функциям.

Программа stealer использует сложные методы обфускации, что усложняет анализ и обнаружение для аналитиков безопасности. Для обфускации своего кода она использует такие методы, как путаница в области видимости, косвенное обращение к функциям, нежелательный код, сглаживание потока управления и сокрытие строк. Celestial Stealer также включает проверки на наличие изолированной среды или виртуальных сред, чтобы предотвратить попытки анализа.

Одной из примечательных особенностей Celestial Stealer является его способность работать с различными приложениями, включая браузеры, крипто-кошельки и клиенты криптобирж. Он собирает пользовательские данные и настройки конфигурации, отправляя эту информацию на свои серверы C2. Инструмент может красть файлы cookie, данные автозаполнения, сохраненные пароли, данные кредитной карты, историю посещенных страниц и многое другое из зараженных систем.

Более того, Celestial Stealer может загружать полезную информацию в приложения Exodus и Discord для сбора пользовательской информации. Он изменяет установочные файлы, отключает определенные средства защиты и отправляет украденные данные на серверы C2 через различные службы. Вредоносная программа достигает стойкости, копируя себя в системную папку автозагрузки, и завершает свою работу при обнаружении определенных процессов или системных идентификаторов.

В более поздних версиях была выпущена облегченная версия Celestial Stealer, в которой были удалены некоторые возможности. В ней используются различные тактические приемы, позволяющие избежать обнаружения, такие как завершение процессов и проверка идентификаторов оборудования. Stealer продолжает развиваться, представляя постоянную угрозу кибербезопасности пользователей.

#ParsedReport #CompletenessMedium
08-12-2024

XWorm: Analyzing New Infection Tactics With Old Payload

https://www.seqrite.com/blog/xworm-malware-analysis-new-infection-tactics

Report completeness: Medium

Threats:
Xworm_rat
Process_injection_technique

TTPs:
Tactics: 3
Technics: 8

IOCs:
File: 2
Command: 3
Path: 1
Hash: 4

Algorithms:
rc4, base64, md5, zip

Functions:
Function, SetWindowsHookEx

Win API:
VirtualProtect, GetKeyboardState, ToUnicodeEx

Languages:
powershell, python, visual_basic

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 2, dump: 4, code: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в описании недавней кампании кибератак, включающей многоэтапную цепочку заражения, инициированную вредоносным файлом LNK, замаскированным под счет-фактуру, что привело к развертыванию вредоносного ПО XWorm. Анализ посвящен техническим деталям XWorm и тактике, методам и процедурам (TTP), используемым хакером, подчеркивая сложный характер атаки, включая использование команд PowerShell, пакетных файлов, сценариев на Python и методов внедрения в память.
-----

В тексте описывается недавняя кампания по кибератаке, которая включает в себя многоэтапную цепочку заражения, инициируемую файлом LNK, замаскированным под счет-фактуру, который побуждает жертву открыть веб-браузер. В фоновом режиме файл LNK загружает ZIP-файл, содержащий установочные файлы Python, которые в конечном итоге приводят к развертыванию вредоносной программы, известной как XWorm. В ходе анализа рассматриваются технические детали XWorm, а также тактика, методы и процедуры (TTP), используемые хакером.

Атака начинается с выполнения команды PowerShell в скрытом режиме с помощью файла LNK, который копирует вредоносный пакетный файл с именем "man.bat" в папку "Загрузки". Пакетный файл выполняется в фоновом режиме с помощью Start-Process с флагом -WindowStyle Hidden, чтобы избежать обнаружения. Дальнейшие действия включают загрузку ZIP-файла, извлечение его содержимого и запуск скрипта на Python, который расшифровывает и внедряет вредоносный шелл-код в систему.

Скрипт на Python содержит зашифрованный шеллкод, который расшифровывается с помощью Base64 и RC4, при этом ключ жестко закодирован в скрипте. Он использует VirtualProtect для изменения прав доступа к памяти перед выполнением шеллкода, что приводит к активации полезной нагрузки XWorm. Процесс внедрения шелл-кода включает в себя установку разрешений на выполнение для шелл-кода с последующим его выполнением в рамках процесса "notepad.exe.".

Этот конкретный вариант XWorm использует более старую версию, которая включает в себя модуль кейлоггинга, известный как Xlogger, который фиксирует такие события, как открытие файлов, нажатия клавиш и использование веб-браузера. Собранные данные сохраняются в файле журнала и могут быть отфильтрованы по команде с сервера управления (C2), что потенциально может привести к раскрытию конфиденциальной информации, такой как учетные данные.

Вредоносная программа использует API-интерфейсы, такие как SetWindowsHookEx, с типом перехвата WH_KEYBOARD_LL для перехвата и регистрации нажатий клавиш, что расширяет ее возможности по сбору ценных данных. Сложная цепочка заражения объединяет вредоносные файлы LNK, команды PowerShell, пакетные файлы, скрипты на Python и методы внедрения в память, чтобы незаметно внедрить полезную нагрузку XWorm, не вызывая подозрений.