#ParsedReport #CompletenessHigh
18-04-2025

New Wave of Cyberattacks by APT Group Cloud Atlas on Russian Public Sector

https://www.ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/novaya-volna-kiberatak-apt-gruppirovki-cloud-atlas-na-gosudarstvennyj-sektor-rossii

Report completeness: High

Actors/Campaigns:
Cloudatlas

Threats:
Powershower_tool
Vbshower_tool
Spear-phishing_technique
Dll_sideloading_technique
Bec_technique
Rtcpproxy_tool

Victims:
Russian government agencies, Russian defense industry enterprise, Enterprises of the russian military-industrial complex, Russian public sector, Previously infected institutions and enterprises

Industry:
Military, Government

Geo:
Azerbaijan, Belarus, Russian, Slovenia, Turkey, Russia

TTPs:
Tactics: 9
Technics: 34

IOCs:
Hash: 18
Domain: 4
Registry: 3
File: 4
IP: 4

Soft:
Component Object Model, Microsoft Office, Windows registry

Algorithms:
aes

Languages:
powershell, visual_basic

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа разработчиков Cloud Atlas APT нацелена на российские сети государственного сектора, используя украденные шаблоны Microsoft Office для создания необнаруживаемых вредоносных документов для BEC-атак. Их изощренные методы включают удаление метаданных и скрытую инфраструктуру управления документами, что указывает на растущую угрозу военно-промышленному сектору.
-----

Группа Cloud Atlas APT в последнее время активизировала свои кибератаки, в частности, на российские сети государственного сектора и предприятия военно-промышленного комплекса. Эта группа использует сложные методы, в том числе создает собственные вредоносные файлы на основе украденных шаблонов Microsoft Office, чтобы избежать обнаружения. Из этих документов удалены метаданные, чтобы скрыть их происхождение и снизить вероятность выявления ранее скомпрометированных организаций. Cloud Atlas group использует скомпрометированные учетные записи электронной почты для проведения атак на коммерческую электронную почту (BEC), что позволяет обмениваться данными между зараженными предприятиями и их филиалами.

В ноябре 2024 года российское правительственное учреждение привлекло группу реагирования на инциденты для устранения кибератаки, которая привела к выявлению вредоносной инфраструктуры Cloud Atlas. Средства киберразведки обнаружили активную атаку, когда было подтверждено, что вредоносный документ инициирует подключение к командному центру группы. Время для атаки, которая произошла в конце рабочей недели, вероятно, было выбрано таким образом, чтобы использовать периоды снижения бдительности сотрудников и обеспечить злоумышленникам беспрепятственный доступ в выходные дни.

Последующий анализ показал, что встроенная инфраструктура контроля в этих вредоносных документах последовательно следовала шаблону — информация была скрыта в потоке "1Table" в файлах Microsoft Office. В январе 2025 года была выявлена еще одна атака, в ходе которой аналогичный вредоносный документ был отправлен на российское оборонное предприятие, что указывает на постоянную нацеленность группировки на этот сектор. Примечательно, что инфраструктура злоумышленников отличалась высокой степенью изощренности, включая сервер IMAP, активированный для рассылки вредоносной электронной почты, использующий шифрование TLS для уклонения от мониторинга.

Проверка вредоносных документов, использованных Cloud Atlas, показала, что они содержат различные профессиональные и правительственные материалы, которые могут легко ввести в заблуждение получателей. Среди них были приглашения на учебные курсы и документы, касающиеся борьбы с коррупцией. Детальное расследование выявило многочисленные признаки, свидетельствующие о том, что эти документы были созданы на основе закрытых правительственных материалов, в которые были внесены изменения, чтобы избежать раскрытия информации после реальных попыток кибератак. Аналогичным образом, многие документы были помечены устаревшими датами и вымышленными событиями, что повысило доверие к официальным сообщениям.

С 2019 года Positive Technologies проводит мониторинг Cloud Atlas, отмечая значительный сдвиг в фокусе внимания группы в сторону России с 2024 года, что указывает на растущий уровень угрозы. Их постоянная бдительность и своевременные предупреждения о надвигающихся хакерских атаках подчеркивают меняющиеся стратегии группы и высокий риск, который они представляют для российских учреждений. Вероятность дальнейших атак остается значительной, о чем свидетельствует регистрация новых сертификатов TLS для вредоносной инфраструктуры, что говорит о том, что Cloud Atlas продолжает совершенствовать и адаптировать свои методы для будущих кампаний.

#ParsedReport #CompletenessHigh
18-04-2025

Team46 and TaxOff: Two Sides of the Same Coin

https://ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/team46-i-taxoff-dve-storony-odnoi-medali/

Report completeness: High

Actors/Campaigns:
Team46
Taxoff

Threats:
Trinper
Spear-phishing_technique
Donut
Process_injection_technique
Cobalt_strike
Process_hollowing_technique
Domain_fronting_technique
Dll_hijacking_technique
Siggen
Reflectiveloader

CVEs:
CVE-2024-6473 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- yandex yandex browser (<24.7.1.380)

CVE-2025-2783 [Vulners]
CVSS V3.1: 8.3,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- google chrome (<134.0.6998.177)


TTPs:
Tactics: 10
Technics: 26

IOCs:
IP: 1
Url: 6
File: 11
Command: 2
Path: 1
Hash: 12

Soft:
Chrome, Yandex Browser

Algorithms:
chacha20, sha256, base64, zip, aes, aes-256

Win API:
GetSystemFirmwareTable, NtQueueApcThread, WTSQuerySessionInformationW

Languages:
powershell, php

Platforms:
x64

Links:
https://github.com/TheWover/donut

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В марте 2025 года TaxOff group осуществила сложную кибератаку, используя уязвимость нулевого дня CVE-2025-2783 в Chrome, чтобы установить бэкдор Trinper с помощью фишинга. Эта атака имела сходство с предыдущими инцидентами Team46, включая использование сценария Powershell для первоначального заражения и общие соглашения об именах, что указывает на связь между двумя группами. Их вредоносное ПО использует передовые методы шифрования и нацелено на долгосрочный доступ к защищенным средам, что указывает на значительную угрозу.
-----

В марте 2025 года в ходе сложной кибератаки, приписываемой TaxOff group, была использована уязвимость нулевого дня CVE-2025-2783, которая затрагивает браузер Chrome, позволяя выйти из "песочницы". Этот эксплойт был внедрен с помощью фишингового электронного письма, содержащего ссылку на вредоносный форум, что привело к установке бэкдора Trinper. Злоумышленники использовали типичную структуру управления, которая использовалась в предыдущих инцидентах с Team46, что указывает на возможную связь между Team46 и TaxOff.

Анализ последовательности атак показал, что первоначальным источником заражения был сценарий Powershell, активированный с помощью события, инициированного пользователем. Ссылки на электронную почту и документы, представленные в ходе атаки, содержали те же правила именования, что и в предыдущих инцидентах, связанных с Team46, что подтверждает идею общей операционной методологии.

В ходе более ранней атаки, проведенной в октябре 2024 года, было отмечено использование браузера Yandex для выполнения вредоносной полезной нагрузки, в которой использовался метод перехвата библиотек DLL, нацеленный на компонент rdpclip.exe. Эта среда использовалась для управления операциями с использованием бэкдора Trinper, который связывался с командным сервером по адресу common-rdp-front.global.ssl.fastly.net. Кроме того, при других атаках использовались вводящие в заблуждение имена файлов и команды, характерные для Team46, что указывало на постоянную схему работы.

Архитектура вредоносного ПО имеет сходство; обе группы реализовали функции для расшифровки полезной нагрузки на основе UUID встроенного ПО зараженной системы - метод, который не только настраивает вредоносное ПО для каждой цели, но и потенциально ограничивает усилия криминалистов. Были использованы различные методы шифрования и хеширования, такие как модифицированные алгоритмы ChaCha20 и BLAKE2, что еще раз иллюстрирует их возможности в разработке специально разработанного вредоносного программного обеспечения.

Совокупные данные свидетельствуют о том, что Team46 и TaxOff, скорее всего, являются компонентами одной и той же APT-группы, что подтверждает их название как Team46. Такие характеристики, как использование эксплойтов нулевого дня и развертывание сложных вредоносных программ, демонстрируют стратегический подход, направленный на проникновение в защищенные среды и сохранение долгосрочного доступа к скомпрометированным системам. Настойчивость и изощренность их тактики подтверждают, что эти хакеры представляют существенный риск для целевой инфраструктуры.

#ParsedReport #CompletenessHigh
19-04-2025

Dark Web Profile: Flax Typhoon - SOCRadar Cyber Intelligence Inc.

https://socradar.io/dark-web-profile-flax-typhoon/

Report completeness: High

Actors/Campaigns:
Flax_typhoon (motivation: cyber_espionage)

Threats:
Acunetix_tool
Chinachopper
Devilzshell
Antsword
Raptor_train
Passthehash_technique
Credential_dumping_technique
Juicypotato_tool
Badpotato_tool
Bitsadmin_tool
Mimikatz_tool
Mirai

Victims:
Government agencies, Educational institutions, Critical manufacturing facilities, Information technology organizations, Government, Education, Technology, Diplomatic, Telecommunications

Industry:
Government, Education, Telco, Iot

Geo:
Korea, Chinese, African, Kenya, Australia, Hong kong, Africa, Malaysia, Taiwanese, Asia, Rwanda, Laos, Djibouti, America, Taiwan, China

TTPs:
Tactics: 9
Technics: 16

IOCs:
File: 4
Domain: 1

Soft:
SoftEther, Windows Service, Windows Terminal, Local Security Authority

Algorithms:
exhibit

Languages:
java, powershell

#ParsedReport #CompletenessMedium
19-04-2025

Billbug: Intrusion Campaign Against Southeast Asia Continues

https://www.security.com/threat-intelligence/billbug-china-espionage

Report completeness: Medium

Actors/Campaigns:
Dragonfish (motivation: cyber_espionage)

Threats:
Dll_sideloading_technique
Sagerunex
Chromekatz_tool
Credentialkatz_tool
Spear-phishing_technique
Elise
Hannotog

Victims:
Government ministry, Air traffic control organization, Telecoms operator, Construction company, News agency, Air freight organization, Digital certificate authority

Industry:
Military, Government, Maritime, Education, Telco

Geo:
Philippines, Hong kong, Asian, Vietnam, Asia, China, Indonesia, Macau, Chinese, Malaysia

ChatGPT TTPs:
do not use without manual check
T1553.002, T1574.002, T1055.001, T1078, T1105, T1204.002

IOCs:
File: 10
Hash: 11
Path: 3

Soft:
Twitter, Chrome, PsExec

Algorithms:
sha256

Links:
https://github.com/openziti/zrok

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Шпионская группа Billbug с августа 2024 по февраль 2025 года проводила сложные киберкампании, нацеленные на организации в Юго-Восточной Азии, используя специальные инструменты для атак с боковой загрузкой библиотек DLL и кражи учетных данных, используя законное программное обеспечение, чтобы избежать обнаружения. В ходе своей работы они использовали новую версию бэкдора Sagerunex для повышения надежности и продемонстрировали передовые методы, такие как загрузка вредоносных библиотек DLL с помощью законных исполняемых файлов. Billbug прошел путь от фишинга до сложных вторжений в правительственные и военные объекты, что создает значительные риски для кибербезопасности.
-----

Шпионская группа Billbug (также известная как Lotus Blossom или Bronze Elgin) с августа 2024 по февраль 2025 года провела серию кампаний по проникновению в различные организации в одной из стран Юго-Восточной Азии. Среди пострадавших организаций были правительственное министерство, организация по управлению воздушным движением, оператор связи и строительная компания. Кроме того, были совершены нападения на информационное агентство и организацию по авиаперевозкам в соседних странах. В ходе операций использовался целый ряд недавно разработанных пользовательских инструментов, включая загрузчики, устройства для кражи учетных данных и инструмент обратного SSH, что свидетельствует о высоком уровне кибервозможностей.

Атаки характеризовались использованием легального программного обеспечения в качестве средства для выполнения вредоносного кода с помощью метода, известного как дополнительная загрузка библиотек DLL. Примечательно, что было обнаружено, что исполняемый файл Trend Micro с именем "tmdbglog.exe` загружал вредоносную библиотеку DLL `tmdglog.dll", которая выполняла функцию загрузчика для чтения и выполнения содержимого из файла журнала. Другой исполняемый файл, "bds.exe` от Bitdefender, использовался для загрузки `log.dll", который аналогичным образом считывал данные конфигурации и вводил расшифрованный контент в другие процессы. Этот метод демонстрирует способность группы использовать доверенное программное обеспечение для обхода механизмов обнаружения.

Кроме того, группа представила новую версию бэкдора Sagerunex, эксклюзивного инструмента для Billbug, который известен тем, что обеспечивает постоянство с помощью изменений в реестре, которые позволяют ему работать как сервису. Кроме того, злоумышленники внедрили новые инструменты, специально предназначенные для кражи учетных данных из веб-браузера Chrome, включая ChromeKatz и CredentialKatz.

Billbug действует по меньшей мере с 2009 года, уделяя особое внимание нападениям на правительства и военные структуры Юго-Восточной Азии. Его операции демонстрируют растущую изощренность, переходя от тактики скрытого фишинга с использованием пользовательского троянца Trensil к сложным многоплановым кампаниям с использованием различных бэкдоров, выявленных с течением времени, включая Hannotog и ранее упомянутый Sagerunex. Действия группы в 2022 году против центра сертификации цифровых данных свидетельствуют о его потенциальной возможности скомпрометировать инфраструктуру безопасности, создавая значительные риски из-за несанкционированного доступа к сертификатам, который может облегчить управление сигнатурами вредоносных программ и перехват HTTPS-трафика.

#ParsedReport #ExtractedSchema

Classified images:
schema: 3

#ParsedReport #CompletenessLow
20-04-2025

Python Backdoor Uploaded from Taiwan

https://dmpdump.github.io/posts/Python_Backdoor_TW/

Report completeness: Low

Threats:
Gh0st_rat

Geo:
Taiwan

ChatGPT TTPs:
do not use without manual check
T1204.002, T1105, T1059.005, T1059.006, T1071.001, T1027, T1053.005

IOCs:
File: 8
Hash: 3
Path: 2
Domain: 2
Url: 4
Command: 1

Soft:
curl

Algorithms:
base64, deflate, zip, gzip

Functions:
mythread, TaskMachineCore

Win API:
decompress

Languages:
visual_basic, python, lua

Platforms:
x64

Links:
https://github.com/dmpdump

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносный файл LNK из Тайваня используется в качестве загрузчика для программы установки setup.exe, связанной с Gh0stRAT, и предназначенной для пользователей, говорящих на китайском языке. После выполнения он создает бэкдор с помощью скрипта на Python, который взаимодействует с удаленным сервером C2, обеспечивая постоянство за счет изменения интервалов ожидания и установки сценария мониторинга VBS.
-----

18 апреля 2025 года был обнаружен подозрительный LNK-файл с именем 2025416-1-.pdf.lnk, отправленный из Тайваня. Этот файл работает как curl-загрузчик, предназначенный для загрузки исполняемого файла второго уровня. Исполняемый файл, обозначенный как setup.exe, извлекается из mail.9kyd.com/skins и помещается в каталог C:\Users\Public\Downloads. Примечательно, что ранее этот установщик был связан с образцами Gh0stRAT, которые обычно предназначены для пользователей, говорящих на китайском языке. Он создан с использованием Indigo Rose Software Setup Factory, инструмента, который позволяет использовать Lua-скрипты для определения процесса установки.

После выполнения программа установки помещает файлы в папку C:\Users\%USER%\AppData\Roaming\AcrobatReader\. Среди этих файлов она устанавливает среду выполнения Python и обманчивый PDF-файл с именем document.pdf, содержимое которого невозможно прочитать. Одновременно выполняется скрипт на Python, известный как setup.py. Этот скрипт функционирует как бэкдор, который использует сотрудников Cloudflare для выполнения операций командования и контроля (C2).

Бэкдор работает в непрерывном цикле, периодически вызывая поток, который выполняет функцию mythread() для связи с сервером C2, расположенным по адресу eip.netask.workers.dev. Он проверяет ответы от сервера, чтобы определить, сжаты ли они в формате GZIP, если да, то распаковывает их и преобразует в кодировку UTF-8. Когда ответ превышает два символа, скрипт base64 повторно декодирует его и выполняет полезную нагрузку, игнорируя начальные два символа.

Первая полученная полезная нагрузка - это скрипт на Python, который генерирует скрипт сохранения Visual Basic с именем start.vbs. Этот скрипт отслеживает активные процессы, и если python.exe запущен, он завершает работу без каких-либо действий. И наоборот, если python.exe не обнаружен, он повторно активирует бэкдор setup.py. Кроме того, он устанавливает запланированную задачу с именем TaskMachineCore, которая запрограммирована на выполнение сценария start.vbs каждые 10 минут. Вторая полезная нагрузка изменяет продолжительность ожидания бэкдора, изменяя переменную estimates, увеличивая паузу по умолчанию с 60 секунд до 3600 секунд (один час). Это указывает на сложный метод обеспечения устойчивости и эффективного управления скомпрометированной системой.

#ParsedReport #CompletenessHigh
19-04-2025

Dark Web Profile: Flax Typhoon - SOCRadar Cyber Intelligence Inc.

https://socradar.io/dark-web-profile-flax-typhoon/

Report completeness: High

Actors/Campaigns:
Flax_typhoon (motivation: cyber_espionage)

Threats:
Acunetix_tool
Chinachopper
Devilzshell
Antsword
Raptor_train
Passthehash_technique
Credential_dumping_technique
Juicypotato_tool
Badpotato_tool
Bitsadmin_tool
Mimikatz_tool
Mirai

Victims:
Government agencies, Educational institutions, Critical manufacturing facilities, Information technology organizations, Government, Education, Technology, Diplomatic, Telecommunications

Industry:
Government, Education, Telco, Iot

Geo:
Korea, Chinese, African, Kenya, Australia, Hong kong, Africa, Malaysia, Taiwanese, Asia, Rwanda, Laos, Djibouti, America, Taiwan, China

TTPs:
Tactics: 9
Technics: 16

IOCs:
File: 4
Domain: 1

Soft:
SoftEther, Windows Service, Windows Terminal, Local Security Authority

Algorithms:
exhibit

Languages:
java, powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Китайская APT-группа Flax Typhoon использует уязвимости серверов для целевых организаций, в основном на Тайване и в других регионах. Они используют веб-оболочки для удаленного выполнения, повышают привилегии с помощью таких инструментов, как Juicy Potato, и поддерживают постоянство с помощью SoftEther VPN. Их тактика заключается в краже хэшированных паролей и использовании крупной ботнета Raptor Train для скоординированных атак. Организациям следует улучшить управление исправлениями, внедрить многофакторную аутентификацию и использовать инструменты SIEM и EDR для лучшей защиты от подобных угроз.
-----

Flax Typhoon, также известная как RedJuliett и Ethereal Panda, представляет собой сложную китайскую государственную группу APT, которая в основном нацелена на тайваньские организации, но расширила свою деятельность на Северную Америку, Африку и Юго-Восточную Азию. Их методология атак часто начинается с использования общеизвестных уязвимостей в серверах, включая такие сервисы, как VPN, Java и веб-приложения. Группа использовала контролируемые хакерами VPN-серверы SoftEther, которые также были сконфигурированы как сканеры безопасности веб-приложений, для проведения разведки и запуска атак, главным образом, против таких секторов, как правительство, образование, технологии и телекоммуникации.

Получив доступ к целевой сети, Flax Typhoon использует веб—оболочки, включая China Chopper, devilzShell и AntSword, для упрощения удаленного выполнения кода с минимальными затратами. Когда для первоначального доступа не хватает прав локального администратора, группа использует инструменты с открытым исходным кодом, такие как Juicy Potato и BadPotato, для повышения привилегий путем использования дополнительных уязвимостей. Они обеспечивают постоянство с помощью различных средств, в частности, путем развертывания VPN-соединения, которое соединяет скомпрометированную систему со своей инфраструктурой, обеспечивая постоянный доступ к системе и ее мониторинг.

Для создания надежной инфраструктуры управления Flax Typhoon использует SoftEther VPN, часто маскируя свою деятельность, переименовывая исполняемые файлы, чтобы они напоминали законные процессы Windows, и используя VPN-over-HTTPS для маскировки трафика. Они осуществляют боковые перемещения по скомпрометированной сети, используя законные инструменты, такие как Windows Remote Management и WMIC, а также нацеливаются на критически важные процессы, такие как служба подсистемы локальной безопасности (LSASS), для извлечения хэшированных паролей пользователей, облегчая дальнейший доступ с помощью таких тактик, как передача хэша.

Кроме того, группа связана с ботнетом Raptor Train, управляемым Integrity Technology Group, который за короткий промежуток времени значительно расширился с 60 000 до более чем 260 000 устройств. Оперативная стратегия Raptor Train включает в себя методы скрытности, в первую очередь с использованием легального программного обеспечения для обеспечения устойчивости, а также развертывания специальной версии вредоносного ПО Mirai. Этот ботнет работает по всему миру и соответствует тактике, используемой Flax Typhoon, что подтверждает идею скоординированных усилий в кибершпионаже, спонсируемом государством.

Чтобы защититься от этих угроз, организациям рекомендуется поддерживать строгий контроль исправлений для общедоступных систем, применять многофакторную аутентификацию и применять принципы минимизации привилегий для предотвращения несанкционированного доступа. Крайне важен постоянный мониторинг внешних служб, а также отслеживание показателей после ввода в эксплуатацию, таких как веб-оболочки и боковые перемещения. Использование средств сбора информации о безопасности и управления событиями (SIEM) и обнаружения конечных точек и реагирования на них (EDR) может расширить возможности обнаружения и реагирования, в то время как сегментация сети может ограничить горизонтальное перемещение угроз в случае взлома.

#ParsedReport #CompletenessMedium
20-04-2025

KeyPlug-Linked Server Briefly Exposes Fortinet Exploits, Webshells, and Recon Activity Targeting a Major Japanese Company

https://hunt.io/blog/keyplug-server-exposes-fortinet-exploits-webshells

Report completeness: Medium

Actors/Campaigns:
Winnti

Threats:
Keyplug

Victims:
Major japanese company

Industry:
Healthcare

Geo:
Japanese, Singapore

CVEs:
CVE-2024-23108 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet fortisiem (le6.4.2, le6.5.2, le6.6.3, le6.7.8, le7.0.2)

CVE-2024-23109 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet fortisiem (le6.4.2, le6.5.2, le6.6.3, le6.7.8, le7.0.2)


ChatGPT TTPs:
do not use without manual check
T1190, T1059, T1018, T1573, T1213

IOCs:
IP: 8
Hash: 13
File: 9
Domain: 1

Soft:
Chrome, Node.js, Linux

Algorithms:
sha256, xor, aes-128, aes

Languages:
php, powershell, javascript, python

Platforms:
x64

Links:
https://github.com/dotnet/runtime/blob/main/docs/design/coreclr/botr/xplat-minidump-generation.md

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
На сервере, подключенном к вредоносному ПО KeyPlug, были обнаружены сценарии эксплойтов, нацеленные на уязвимости Fortinet (CVE-2024-23108, CVE-2024-23109), вредоносный файл ELF от RedGolf group и сценарии сетевой разведки. Также была обнаружена пользовательская обратная оболочка PowerShell, указывающая на сложные методы атаки и активное использование систем Fortinet.
-----

Недавно обнаруженный сервер, связанный с вредоносным ПО KeyPlug, раскрыл важные технические подробности о текущих кибероперациях, направленных против крупной японской компании. Сервер, который был активен менее 24 часов, содержал сценарии эксплойтов, нацеленные на уязвимости брандмауэра Fortinet и VPN, а также веб-оболочку на базе PHP, способную выполнять полезную нагрузку, зашифрованную с помощью AES и XOR. Кроме того, были определены сценарии сетевой разведки, специально разработанные для проверки подлинности и внутренних конфигураций портала.

Примечательно, что открытая инфраструктура содержала скрипты, предназначенные для устройств Fortinet, способные идентифицировать порталы для входа в систему в режиме реального времени и извлекать значения хэша JavaScript, привязанные к конкретным версиям устройств. Эти данные жизненно важны для определения совместимости эксплойтов. Особое внимание уделяется мерам безопасности для интерфейсов Fortinet SSL VPN, в частности обеспечению их обновления до поддерживаемых версий и мониторингу необычных схем доступа к конечным точкам входа.

Также был обнаружен вредоносный файл ELF, связанный с хакерской группой RedGolf, который частично совпадает с APT41 и демонстрирует функциональность бэкдора. Этот образец ELF продемонстрировал периодическую активность, типичную для операций, связанных с RedGolf, что свидетельствует о тактическом подходе, позволяющем избежать обнаружения. Инфраструктура включала дополнительные домены, связанные со службами аутентификации, такими как Okta и Keycloak, что указывает на необходимость доступа к порталам и внутренним системам, связанным с сотрудниками.

Дальнейшее изучение скриптов, связанных с подключением ключей, выявило механизмы использования уязвимостей в конечных точках CLI на базе WebSocket от Fortinet, в частности, CVE-2024-23108 и CVE-2024-23109. Скрипты, используемые для автоматизации атак на FortiOS версий с 7.0.0 по 7.0.15, имитируют локальный доступ к привилегированным командам с целью обхода аутентификации с помощью специально созданных запросов.

Кроме того, в содержимом сервера была обнаружена пользовательская обратная оболочка, написанная на PowerShell, что облегчило подключение к отслеживаемому IP-адресу по протоколу TCP. Обратная оболочка использовала шифрование AES-128 для связи и демонстрировала взаимодействия, зафиксированные в журнале истории команд, что указывало на активное использование системы жертвы.

Таким образом, краткий обзор этого сервера, связанного с KeyPlug и хакерской группой RedGolf, выявил сложные методы атаки, включая использование специфических уязвимостей в системах Fortinet, использование разведывательных скриптов и внедрение вредоносных программ-бэкдоров. Эти результаты подчеркивают важность оперативного мониторинга и принятия ответных мер для организаций, особенно тех, у которых инфраструктура Fortinet подключена к Интернету.