#technique

C2 infrastructure that allows Red Teamers to execute system commands on compromised hosts through Microsoft Teams.

https://github.com/cxnturi0n/convoC2

#technique #llm

Alignment faking in large language models

https://arxiv.org/abs/2412.14093v1

#technique

PMKID Attacks: Debunking the 802.11r Myth

https://www.nccgroup.com/us/research-blog/pmkid-attacks-debunking-the-80211r-myth/

#ParsedReport #CompletenessLow
24-12-2024

Weekly Phishing Email Distribution Cases (2024/12/15\~2024/12/21)

https://asec.ahnlab.com/ko/85309

Report completeness: Low

Geo:
China

IOCs:
File: 18

Languages:
swift

#ParsedReport #CompletenessLow
24-12-2024

Analysis of attack cases targeting domestic solutions of Andariel Group (SmallTiger)

https://asec.ahnlab.com/ko/85270

Report completeness: Low

Actors/Campaigns:
Andariel

Threats:
Smalltiger
Modeloader
Advanced-port-scanner_tool
Netstat_tool

ChatGPT TTPs:
do not use without manual check
T1059.001, T1021.001

IOCs:
File: 3
Registry: 1
IP: 2
Path: 1
Hash: 4
Url: 1

Soft:
Apache Tomcat

Algorithms:
md5

Functions:
CreateHiddenAccount

Win Services:
WebClient

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что группа компаний Andariel нацелена на программное обеспечение отечественных компаний, в частности на решения для управления активами и предотвращения утечки данных, путем использования уязвимостей и установки вредоносного ПО, такого как SmallTiger. Их атаки включают захват серверов управления, использование таких инструментов, как ModeLoader, и получение несанкционированного доступа к системам для выполнения команд и установки дополнительных вредоносных программ. Для снижения риска заражения в результате кибератак группы Andariel особое внимание уделяется превентивным мерам безопасности и регулярному внесению исправлений.
-----

Группа компаний Andariel нацелена на программное обеспечение отечественных компаний, уделяя особое внимание решениям по управлению активами и предотвращению утечки данных (DLP), а также использованию уязвимостей в различных других программах. Их атаки продолжались и во второй половине 2024 года, при этом основное внимание уделялось установке SmallTiger. Одной из их основных целей является решение для управления внутренними активами, которое постоянно используется в течение нескольких лет. Кроме того, в подтвержденных случаях они атаковали решение для централизации документов.

Предполагается, что злоумышленники захватывают серверы управления, а затем используют их для выполнения команд по установке вредоносного ПО, преимущественно ModeLoader. Также известно, что они захватывают управление с помощью неизбирательных атак по словарю на незащищенные серверы обновлений, заменяя программу обновления на SmallTiger для ее распространения в организациях. SmallTiger устанавливается в пути установки решения для управления активами, часто вместе с кейлоггером, который сохраняет нажатия клавиш пользователя в файле "MsMpLog.tmp".

Злоумышленники используют SmallTiger для обеспечения доступа к зараженным системам по протоколу удаленного рабочего стола (RDP), выполняя команды для добавления и скрытия скрытых учетных записей с помощью инструмента с открытым исходным кодом CreateHiddenAccount. Они также получают доступ к базовой системной информации и могут устанавливать дополнительные инструменты, такие как Advanced Port Scanner и web shell, используя команды PowerShell. Сервер загрузки, используемый злоумышленниками, "45.61.148.153", также идентифицирован как командно-контрольный сервер SmallTiger (C&C), что указывает на прямую связь между вредоносной программой и злоумышленниками.

Недавние подтверждения от ASEC свидетельствуют о том, что атаки Andariel group с использованием SmallTiger возобновляются. Они продолжают использовать отечественные решения и уязвимости для установки вредоносных программ, в частности, нацеленных на решения для управления активами и централизации документов. Сотрудникам службы корпоративной безопасности рекомендуется усилить мониторинг таких решений централизованного управления, применять исправления для устранения уязвимостей в системе безопасности и следить за тем, чтобы такие программы, как операционные системы и интернет-браузеры, были обновлены до последних версий, чтобы предотвратить заражение вредоносными программами.

Таким образом, кибератаки Andariel group связаны с использованием программного обеспечения, используемого отечественными компаниями, с особым акцентом на решения по управлению активами и централизации документооборота. Они используют SmallTiger и другие инструменты для установки вредоносных программ и получения несанкционированного доступа к системам, подчеркивая важность упреждающих мер безопасности и регулярного внесения исправлений для снижения риска заражения.

#ParsedReport #CompletenessLow
24-12-2024

Dark Web Profile: Bashe (APT73)

https://socradar.io/dark-web-profile-bashe-apt73

Report completeness: Low

Actors/Campaigns:
Eraleig (motivation: financially_motivated, cyber_criminal)

Threats:
Lockbit
Supply_chain_technique
Spear-phishing_technique
Process_injection_technique

Industry:
Bp_outsourcing, Healthcare, Logistic, Transport

Geo:
India, France, United kingdom, Australia, Germany

TTPs:
Tactics: 11
Technics: 20

Crypto:
bitcoin

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что группа программ-вымогателей Bashe, ранее известная как APT73 или Eraleig, появилась в 2024 году, нацелившись на критически важные отрасли промышленности в развитых странах. Bashe работает через сайт утечки данных (DLS) на базе TOR и использует тактику, аналогичную LockBit, для вымогательства данных, чтобы заставить жертв соблюдать требования. Bashe стратегически нацелен на развитые страны и отрасли промышленности, применяя тактику двойного вымогательства и фишинговые методы для получения доступа к системам жертв. Для защиты от атак программ-вымогателей, подобных тем, которые проводит Bashe, организациям рекомендуется внедрять многоуровневую стратегию безопасности и использовать передовые инструменты, подобные тем, которые предлагает SOCRadar.
-----

Bashe, ранее известная как APT73 или Eraleig, - это группа программ-вымогателей, которая появилась в 2024 году и нацелена на критически важные отрасли промышленности в развитых странах. Группа действует через сайт утечки данных (DLS) на базе TOR и использует тактику, аналогичную LockBit, для вымогательства данных в качестве средства давления на жертв, чтобы заставить их соблюдать требования.

Впервые появившись в середине апреля 2024 года, Bashe представила себя как "АПТ" (APT), обозначение, обычно ассоциирующееся с очень изощренными кибер-игроками. После перерыва в несколько месяцев группа провела ребрендинг, ранее известная как APT73 или Eraleig, с новыми доменами. Структура DLS Bashe напоминает структуру группы программ-вымогателей LockBit, с такими разделами, как "Свяжитесь с нами", "Как купить биткоин", "Вознаграждение за ошибки в веб-безопасности" и "Зеркала", которые отображаются в настройках LockBit.

Стратегически Bashe нацелена на развитые страны и отрасли, где уязвимость данных и сбои в работе оказывают значительное влияние. Группа использует тактику двойного вымогательства, шифруя файлы жертв и угрожая раскрыть украденные данные в их DLS, чтобы максимизировать финансовую выгоду и добиться соблюдения требований. Жертвы были выявлены в Соединенных Штатах, Соединенном Королевстве, Франции, Германии, Индии и Австралии, причем в каждой стране они были ориентированы на конкретные отрасли.

Методы атак группы включают фишинг, в частности, spear-фишинг, с целью получения доступа путем использования уязвимостей в общедоступных приложениях. Получив доступ, Баше занимается утечкой данных и двойным вымогательством. Они шифруют системы жертвы и извлекают конфиденциальные данные, используя это как рычаг давления на жертв, угрожая обнародовать украденные данные, если не будут выполнены требования о выкупе. DLS от Bashe размещен в даркнете и доступен только через Tor, что подчеркивает анонимность и усложняет отслеживание.

Для защиты от атак программ-вымогателей, подобных тем, что были совершены Bashe, организациям рекомендуется внедрять многоуровневую стратегию безопасности. Меры включают многофакторную аутентификацию (MFA), политику защиты паролей, постоянное обучение сотрудников рискам фишинга, обнаружение конечных точек и реагирование на них (EDR), внесение приложений в белый список, поведенческую аналитику, принцип наименьших привилегий (PoLP), усиление удаленных служб, мониторинг сетевого трафика, резервное копирование и изоляцию данных, планирование реагирования на инциденты, использование инструментов для расшифровки программ-вымогателей, судебно-медицинской экспертизы и анализа логов, а также сотрудничество с правоохранительными органами.

SOCRadar предлагает передовые инструменты, помогающие организациям обнаруживать, смягчать и предотвращать атаки программ-вымогателей, подобные тем, которые проводит Bashe. Эти инструменты включают в себя анализ угроз, мониторинг темного интернета, анализ уязвимостей, отслеживание программ-вымогателей и своевременные оповещения для повышения общей безопасности и готовности к новым угрозам.

#ParsedReport #CompletenessLow
24-12-2024

LITTLELAMB.WOOLTEA: Stealthy Network Edge Device Backdoor

https://northwave-cybersecurity.com/hubfs/LITTLELAMB%20WOOLTEA%20technical%20writeup%20Schrijver%20and%20Oudenaarden.pdf

Report completeness: Low

Threats:
Littlelamb_wooltea

Victims:
Palo alto network firewall

Geo:
Dutch

CVEs:
CVE-2024-9474 [Vulners]
CVSS V3.1: 5.9,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- paloaltonetworks pan-os (<10.1.14, <10.2.12, <11.0.6, <11.1.5, <11.2.4)


ChatGPT TTPs:
do not use without manual check
T1071.001, T1573, T1008, T1055, T1090

IOCs:
File: 1
Email: 1

Soft:
curl, PanOS, nginx, Unix, Debian Linux, Debian

Algorithms:
prng

Functions:
execve, accept, time

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в подробном описании сложного бэкдора под названием LITTLELAMB.WOOLTEA, нацеленного на периферийные сетевые устройства, такие как сетевые брандмауэры Palo Alto. Бэкдор позволяет хакерам получать постоянный доступ, собирать разведданные и осуществлять дальнейшие атаки с помощью различных вредоносных функций и тактик, включая скрытую работу, зашифрованную связь и фишинговые кампании для распространения. Обсуждается инцидент, связанный с предполагаемым национальным хакером, который воспользовался уязвимостью на устройстве в Пало-Альто и установил бэкдор, а также подробные сведения о его возможностях и методах работы. Кроме того, представлена информация о фирме по кибербезопасности Northwave Cyber Security.
-----

В тексте описывается сложный бэкдор, известный как LITTLELAMB.WOOLTEA, который нацелен на периферийные сетевые устройства, такие как сетевые брандмауэры Palo Alto. Этот бэкдор работает скрытно, обеспечивая постоянный доступ в скомпрометированных средах, позволяя хакерам собирать разведданные и проводить дальнейшие атаки. Бэкдор является модульным и включает компоненты для обеспечения сохраняемости, передачи данных по зашифрованным каналам и выполнения вредоносных программ. Он распространяется с помощью фишинговых кампаний и использования уязвимостей, таких как неустановленное программное обеспечение и слабые места в конфигурации периферийных сетевых устройств.

Подробно описан инцидент, связанный с предполагаемым национальным хакером, получившим доступ к сетевому устройству в Пало-Альто через известную уязвимость (CVE-2024-9474). Хакер ввел команды с помощью curl для загрузки файла, который устанавливает бэкдор, маскируясь под легальный сервис. Бэкдор обеспечивает постоянство работы, изменяя системные файлы, и использует динамическую библиотеку, чтобы избежать открытия собственного порта. Он устанавливает зашифрованную связь с использованием SSL и локального сертификата для целей управления. Бэкдор предоставляет различные функции и команды для чтения/записи файлов, доступа к командной строке, создания сетевых туннелей и настройки прокси-сервера SOCKS5.

Бэкдор может поддерживать связи с другими узлами и различать прямые подключения оператора и межузловые связи. Каждый узел поддерживает сетевое представление для эффективной маршрутизации сообщений. Бэкдор поддерживает запуск команд в командной строке, взаимодействие с файлами в системе, настройку функций туннелирования (которые могут быть намеренно отключены) и реализацию базового прокси-сервера SOCKS5 по сети. В тексте также содержится информация об организации Northwave Cyber Security, голландской фирме, специализирующейся на предоставлении услуг в области кибербезопасности с 2006 года.

#ParsedReport #CompletenessLow
24-12-2024

JPCERT/CC Eyes

https://blogs.jpcert.or.jp/ja/2024/12/watering_hole_attack_part1.html

Report completeness: Low

Threats:
Watering_hole_technique
Cobalt_strike
Dll_injection_technique

Victims:
University laboratory, Ministry of economy, trade and industry

Industry:
Education

Geo:
Usa, Japanese, Japan

ChatGPT TTPs:
do not use without manual check
T1189, T1566.001, T1059.007, T1218.011, T1036.005

IOCs:
File: 5
Hash: 7
Path: 3

Soft:
Flash Player

Algorithms:
deflate

Win API:
EnumWindows

Languages:
javascript

#ParsedReport #ExtractedSchema

Classified images:
schema: 3, code: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте обсуждаются недавние атаки на подпольные сети и подчеркивается тенденция использования злоумышленниками уязвимостей VPN и брандмауэра. В нем подчеркиваются риски, связанные с такими маршрутами проникновения, как электронная почта, веб-сайты и социальные сети, которыми часто пренебрегают. Приводится конкретное исследование, проведенное в 2023 году, в котором подробно описывается изощренная атака на веб-сайт университетской лаборатории с использованием тактики социальной инженерии. Злоумышленники использовали вредоносное ПО под названием FlashUpdateInstall.exe для обмана пользователей, что привело к запуску основного вредоносного ПО, system32.dll используя раннюю инъекцию. Злоумышленники использовали сотрудников Cloudflare для общения, и была обнаружена их причастность к многочисленным атакам. Технические подробности о конфигурациях вредоносного ПО, методах связи и деталях HTTP-запросов к серверу C2 приведены в тексте, автором которого является специалист по кибербезопасности, имеющий опыт анализа вредоносных программ и криминалистических расследований.
-----

В тексте обсуждаются недавние атаки, связанные с подпольем, и подчеркивается растущая тенденция использования злоумышленниками уязвимостей в сетях виртуальной сети (VPN) и брандмауэрах. О таких типах инцидентов безопасности обычно сообщается в JPCERT/CC, что указывает на значительный риск, связанный с такими маршрутами проникновения. В то время как многие сосредотачиваются на защите этих уязвимых ресурсов извне, о других путях проникновения, таких как электронная почта, веб-сайты и социальные сети, часто забывают.

В статье приводится пример из 2023 года, когда веб-сайт университетской лаборатории подвергся хакерской атаке. Отличительной особенностью этой атаки является то, что она основывалась на социальной инженерии, а не на использовании уязвимостей, чтобы обманом заставить пользователей загружать и запускать вредоносное ПО самостоятельно. Вредоносная программа с именем FlashUpdateInstall.exe при запуске отображала ложный документ, указывающий на успешное обновление Adobe Flash Player. Затем эта вредоносная программа создала и запустила основную вредоносную программу system32.dll, которая была внедрена в процесс Explorer с помощью Early Bird Injection. Примечательно, что этот DLL-файл имеет характеристики Cobalt Strike Beacon версии 4.5 с водяным знаком 666666.

Группа злоумышленников, ответственная за эти атаки, остается неизвестной. Для передачи данных вредоносное ПО было настроено с помощью Cloudflare Workers, пограничного бессерверного сервиса Cloudflare. Дальнейшее расследование показало, что тот же злоумышленник участвовал и в других атаках. Были обнаружены различные вредоносные программы, одна из которых маскировалась под файл Министерства экономики, торговли и промышленности, чтобы заманить жертв. Другая вредоносная программа, Tips.exe, имела настраиваемые параметры выполнения, позволяющие злоумышленнику задавать различные настройки во время выполнения.

Что касается технических деталей, то в тексте приведены конфигурации, связанные с вредоносным ПО, внедренным во время атаки, включая информацию о каналах связи, путях URI, именах файлов и различных параметрах команд, которые могут быть переданы вредоносному ПО. В тексте также содержится ссылка на строку user-agent и другие данные HTTP-запроса, используемые вредоносной программой при взаимодействии с сервером C2.

Автор статьи - специалист по кибербезопасности, имеющий опыт анализа вредоносных программ и криминалистических расследований, связанных с целенаправленными атаками. Они выступали с докладами на различных конференциях и активно участвуют в жизни сообщества безопасности.

#ParsedReport #CompletenessLow
24-12-2024

WikiKit AiTM Phishing Kit: Where Links Tell Lies

https://trac-labs.com/wikikit-aitm-phishing-kit-where-links-tell-lies-abdea71ba094

Report completeness: Low

Threats:
Wikikit
Aitm_technique
Credential_harvesting_technique

Industry:
Healthcare, Entertainment, Transport

ChatGPT TTPs:
do not use without manual check
T1566, T1071.001, T1204.002, T1078, T1110.001

IOCs:
Url: 2

Soft:
Office_365, outlook.office365

Algorithms:
base64

Functions:
hideOption, function, _0x5e3e02, _0x5152d1

Languages:
javascript

Links:
https://github.com/TRACLabs1/Phishing/blob/main/WikiKit/WikiKit\_IOCs\_12\_2024.txt?source=post\_page-----abdea71ba094--------------------------------

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении нового фишингового набора под названием WikiKit, который нацелен на различные отрасли и использует целевые страницы, размещенные на Jimdosite, для сбора корпоративных учетных данных. Хакер, стоящий за кампанией, использует скомпрометированные учетные записи электронной почты и имитирует законные URL-адреса, чтобы повысить доверие к фишинговым письмам. Фишинговый набор настраивает свой метод аутентификации в зависимости от конфигурации жертвы и предлагает несколько механизмов многофакторной аутентификации. Было замечено, что кампания постоянно размещает фишинговые страницы по определенным URL-адресам для сбора учетных данных. Пользователям рекомендуется ознакомиться с разделом "Индикаторы компрометации" (IOCs) для получения более подробной информации об этой фишинговой кампании.
-----

Компания TRAC Labs обнаружила новый набор для фишинга под названием WikiKit, названный так из-за его способности перенаправлять пользователей на страницы Википедии, если JavaScript отключен или если фишинговая ссылка недействительна. Эта фишинговая кампания, нацеленная на различные отрасли, такие как автомобилестроение, производство, медицина, строительство, консалтинг и развлечения, началась в начале октября 2024 года. Уникальным аспектом кампании WikiKit является использование целевых страниц, размещенных на Jimdosite, на которых на заднем плане отображается логотип целевой компании. На этих целевых страницах пользователям предлагается перейти по ссылке "Просмотреть документ здесь", которая затем перенаправляет их на страницу сбора учетных данных.

Хакер, стоящий за кампанией, получает несанкционированный доступ к корпоративным учетным данным, связанным с целевыми страницами, и использует взломанные учетные записи электронной почты для дальнейшего распространения фишинговых ссылок. Фишинговые электронные письма часто содержат "вложение" со встроенной ссылкой, некоторые из которых начинаются с app.salesforceiq.com для придания легитимности. Имитируя законные URL-адреса, такие как hxxps://app.salesforceiq.com/r?target=отредактировано&url=hxxps://домен-двойник жертвы.jimdosite.com, злоумышленники повышают доверие к своим фишинговым письмам.

Ранее кампания использовала сервисы Google Ads для перенаправления, но в настоящее время она использует href.сервис анонимизации li для перенаправления. Фишинговый набор использует различные параметры, такие как live, grablogo, email, значок и фон для настройки фишинговых страниц. Существует функция _0x5152d1(), которая создает бесконечный цикл, если входной параметр _0x1001fa имеет строковый тип, чтобы предотвратить любые попытки отладчиков вмешаться в процесс выполнения.

WikiKit настраивает свой метод аутентификации в зависимости от конфигурации жертвы, предлагая три основных метода: PhoneAppNotification, PhoneAppOTP и OneWaySMS, соответствующие различным механизмам многофакторной аутентификации (MFA). Каждый метод отправляет определенные параметры на сервер управления (C2), включая auth=verify_app, auth=verify_code или auth=verify_sms, вместе с адресом электронной почты жертвы и кодом подтверждения.

В ходе последней кампании, проведенной в декабре 2024 года, фишинговые страницы постоянно размещались по URL-адресу yugaljeeautomotive.com/z/pro/mentanance/auth для сбора учетных данных. Такое постоянство в использовании URL-адреса помогает хакерам поддерживать последовательность в своих атаках. Пользователи могут ознакомиться с подробным списком показателей, связанных с этой фишинговой кампанией, в разделе Индикаторы компрометации (IOCs).

#ParsedReport #CompletenessMedium
24-12-2024

What's Behind the Mask: FACCT Forensics Analyzes Attacks by New Masque Ransomware Group

https://www-facct-ru.translate.goog/blog/masque/?_x_tr_sl=ru&_x_tr_tl=en&_x_tr_hl=ru&_x_tr_pto=wapp

Report completeness: Medium

Actors/Campaigns:
Head_mare
Morlock
Masque

Threats:
Masque
Mystiqueloader
Log4shell_vuln
Xenallpasswordspro_tool
Smbexec_tool
Anydesk_tool
Tdsskiller_tool
Password_spray_technique
Credential_dumping_technique
Mimikatz_tool
Procdump_tool
Winrm_tool
Chisel_tool
Lockbit
Babuk
Conti
Localtonet_tool
Impacket_tool

Victims:
Russian businesses

Geo:
Russian

CVEs:
CVE-2021-44228 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apache log4j (<2.3.1, <2.12.2, <2.15.0, 2.0)


TTPs:
Tactics: 10
Technics: 34

IOCs:
File: 6
Command: 1
Path: 2

Soft:
Unix, Windows Service, PsExec, docker, Process Explorer, ESXi, VMware Horizon, XenAllPasswordPro, Telegram, Viber, have more...

Algorithms:
base32, crc-32, xor

Win API:
NtAllocateVirtualMemory

Win Services:
bits

Languages:
powershell, python