#ParsedReport
15-02-2023

Dont Sleep on the New ProxyShellMiner Campaign

https://blog.morphisec.com/proxyshellminer-campaign

Threats:
Proxyshell_vuln
Xmrig_miner
Confuser

CVEs:
CVE-2021-31207 [Vulners]
CVSS V2: 6.5,
Vulners: Exploitation: True
X-Force: Risk: 6.6
X-Force: Patch: Official fix
Soft:
- microsoft exchange server (2013, 2019, 2016)

CVE-2021-34473 [Vulners]
CVSS V2: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 9.1
X-Force: Patch: Official fix
Soft:
- microsoft exchange server (2013, 2019, 2016)

CVE-2021-34523 [Vulners]
CVSS V2: 7.5,
Vulners: Exploitation: True
X-Force: Risk: 9
X-Force: Patch: Official fix
Soft:
- microsoft exchange server (2013, 2019, 2016)


IOCs:
File: 12
Url: 1
Path: 2
Domain: 4
Hash: 70

Softs:
task scheduler, windows firewall

Algorithms:
xor

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate)

Компания Morphisec выявила кампанию вредоносных программ с высокой степенью уклонения, доставляющую ProxyShellMiner на конечные точки Windows.

Это вредоносное ПО использует уязвимости ProxyShell CVE-2021-34473 и CVE-2021-34523 на серверах Windows Exchange для получения первоначального доступа и компрометации организации.

Вредоносная программа использует папку NETLOGON контроллера домена, чтобы обеспечить запуск майнера во всем домене.

Добыча криптовалюты в сети организации может привести к снижению производительности системы, повышенному энергопотреблению и перегреву оборудования.

Вредоносная программа использует параметры командной строки, законные, скомпрометированные почтовые серверы и запланированные задачи для обеспечения устойчивости.

#ParsedReport
15-02-2023

8220 Gang Continues to Evolve With Each New Campaign

https://sysdig.com/blog/8220-gang-continues-to-evolve

Actors/Campaigns:
8220_gang (motivation: script_kiddie)
Teamtnt

Threats:
Whatminer
Xmrig_miner
Pwnrig_botnet
Tsunami_botnet
Purecryptor
Masscan_tool

TTPs:
Tactics: 4
Technics: 0

IOCs:
IP: 6
File: 1
Hash: 14

Softs:
redis, docker, discord

Algorithms:
base64

Win Services:
sysdown

Languages:
perl, python

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate)

Банда 8220 — печально известная группа низкоуровневых сценаристов.

Было замечено, что они крадут инструменты у TeamTNT, Rocke Group и WatchDog.

Было замечено, что они используют неправильно настроенные и уязвимые общедоступные хосты.

Для своего обнаружения они используют веб-серверы Masscan, Spirit, Oracle Weblogic и Apache.

Они используют сценарии оболочки, cron для постоянства и чередуют домены и IP-адреса.

Они используют тактику уклонения от защиты, такую ​​как использование bash -sh для стирания своих шагов и использование скрипта Python в кодировке base64 для сбора своего набора инструментов.

Если Вы голосуете за "шляпу", напишите, пожалуйста, в личку какие были у Вас ожидания от Автотекста.

#ParsedReport
16-02-2023

Forta GoAnywhere Zero-Day Exploited By Threat Actors

https://blog.qualys.com/vulnerabilities-threat-research/2023/02/15/forta-goanywhere-zero-day-exploited-by-threat-actors

CVEs:
CVE-2023-0669 [Vulners]
CVSS V2: Unknown,
Vulners: Exploitation: True
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- fortra goanywhere managed file transfer (<7.1.2)


IOCs:
Hash: 4

Softs:
mastodon

Functions:
OpenPGP

#ParsedReport
16-02-2023

ASEC Weekly Malware Statistics (February 6th, 2023 February 12th, 2023)

https://asec.ahnlab.com/en/47925

Threats:
Amadey
Smokeloader
Lockbit
Redline_stealer
Beamwinhttp_loader
Garbage_cleaner
Njrat
Formbook
Clipboard_grabbing_technique

Industry:
Transport

IOCs:
Url: 24
Domain: 5
IP: 1
File: 17

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

На этой неделе автоматизированная система анализа RAPIT компании ASEC выявила ряд различных вредоносных программ. Пятью основными категориями вредоносных программ являются загрузчик (54,7%), бэкдор (27,7%), infostealer (12,8%), ransomware (4,6%) и CoinMiner (0,1%). Наиболее часто выявляемой угрозой был Amadey Bot - 43,9% всех обнаружений. Это загрузчик, который может получать команды от злоумышленников для загрузки дополнительных вредоносных программ, а при использовании модулей для кражи информации может собирать учетные данные пользователей в зараженной системе. SmokeLoader является одним из основных способов доставки Amadey. RedLine занял второе место с 15,7% и представляет собой вредоносную программу, похищающую различную информацию, такую как веб-браузеры, FTP-клиенты, криптовалютные кошельки и настройки ПК. BeamWinHTTP занял третье место с 7,9% и представляет собой вредоносную программу-загрузчик, распространяемую через PUP-установщик. Эта вредоносная программа обычно устанавливает Garbage Cleaner, а также может загружать и устанавливать другие вредоносные программы.

Четвертым в списке стал njRAT с 6,1%. Этот троян удаленного доступа (RAT) обычно распространяется через фишинговые кампании, часто маскируясь под обычные файлы, такие как взломанные игры или взломанные программы. Наконец, Formbook был обнаружен на пятом месте с 5,0%. Этот похититель информации распространяется в основном через спам по электронной почте и, попав на компьютер, может украсть учетные данные пользователя и различную другую информацию с помощью кейлоггинга, захвата буфера обмена и захвата форм веб-браузера.

#ParsedReport
16-02-2023

Operation Silent Watch: Desktop Surveillance in Azerbaijan and Armenia

https://research.checkpoint.com/2023/operation-silent-watch-desktop-surveillance-in-azerbaijan-and-armenia

Actors/Campaigns:
Silent_watch

Threats:
Oxtarat
Polyglot
Tightvnc_tool
Plink
Portscan_tool
Autoitspy
Trickgate_tool
Wannacry
Rubyminer
Adwind_rat

Industry:
Education, Financial, Government

Geo:
Azerbaijan, Russian, Armenia, Turkish, Belarus, Israel, Azerbaijani

TTPs:
Tactics: 1
Technics: 0

IOCs:
File: 27
Path: 6
Domain: 6
Url: 4
Command: 4
IP: 2
Hash: 8

Softs:
curl, curl), (curl, android, microsoft access

Algorithms:
zip

Languages:
php, autoit

Links:
https://github.com/dulldusk/phpfm

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

В конце 2022 года компания Check Point Research обнаружила вредоносную кампанию, направленную на организации в Армении и использующую новую версию бэкдора под названием OxtaRAT. Вредоносная программа представляет собой полиглот файл, объединяющий скомпилированный AutoIT скрипт и изображение, что позволяет ей выполнять различные вредоносные действия, такие как поиск и извлечение файлов с зараженной машины, запись видео с веб-камеры и рабочего стола, удаленное управление зараженной машиной с помощью TightVNC, установка веб-оболочки, сканирование портов и многое другое. Это первый случай, когда данный угрожающий агент атакует армянские цели, хотя в течение нескольких лет он атаковал правозащитные организации, диссидентов и независимые СМИ в Азербайджане.

Для распространения вредоносного бэкдора OxtaRAT злоумышленники использовали фишинговую рассылку по электронной почте, выдавая себя за журналистов BBC, предлагающих интервью о текущих событиях. Письма содержали ссылку на защищенный паролем RAR-архив, содержащий скомпилированный AutoIT исполняемый файл, который затем загружал основную вредоносную программу с C&C-сервера. Вредоносная программа могла собирать данные о скомпрометированной системе, загружать дополнительные полезные нагрузки и записывать данные с веб-камеры и рабочего стола. Для защиты своей инфраструктуры злоумышленники оградили домены C&C, ограничив доступ к ним машинами, расположенными в Армении.

Атака, вероятно, была проведена азербайджанскими интересами, исходя из последовательных нападений на правозащитников и политических активистов в Азербайджане, а также использования приманок, связанных с продолжающимся конфликтом между Арменией и Азербайджаном. Эволюция инструментов, использованных в кампании, указывает на то, что субъекты угроз поддерживали разработку вредоносного ПО на базе Auto-IT в течение последних семи лет и используют его в кампаниях по слежке, цели которых соответствуют интересам Азербайджана. Эти атаки демонстрируют важность бдительности при борьбе с киберугрозами, поскольку субъекты угроз продолжают совершенствовать свою тактику, чтобы получить доступ к конфиденциальной информации и нарушить ход операций.

#ParsedReport
16-02-2023

Three Cases of Cyber Attacks on the Security Service of Ukraine and NATO Allies, Likely by Russian State-Sponsored Gamaredon

https://blog.eclecticiq.com/three-cases-of-cyber-attacks-on-the-security-service-of-ukraine-and-nato-allies-likely-by-russian-state-sponsored-gamaredon

Actors/Campaigns:
Gamaredon (motivation: government_sponsored, cyber_espionage, cyber_criminal)
Red_delta

Threats:
Html_smuggling_technique
Lotl_technique
Lolbas_technique
Lolbin_technique
Patriot
Qakbot
Plugx_rat

Industry:
Aerospace, Government

Geo:
Russia, Russian, Ukrainian, Latvia, Germany, Latvian, Latvias, Ukraine

CVEs:
CVE-2017-0199 [Vulners]
CVSS V2: 9.3,
Vulners: Exploitation: True
X-Force: Risk: 9.3
X-Force: Patch: Official fix
Soft:
- microsoft office (2007, 2013, 2010, 2016)
- microsoft windows 7 (*)
- microsoft windows server 2008 (r2, *)
- microsoft windows vista (*)
- microsoft windows server 2012 (-)
have more...

TTPs:

IOCs:
File: 1
Url: 3
Domain: 3

YARA: Found

Links:
https://github.com/eclecticiq/eiq-community-exchange/blob/main/live\_queries/Windows\_Q1000-1999/Q1803.sql
https://github.com/eclecticiq/eiq-community-exchange/blob/main/yara/Windows\_1000-1999/Y1803.yara

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Недавно исследователи EclecticIQ выявили фишинговую кампанию, направленную на Службу безопасности Украины (СБУ) и многочисленных союзников по НАТО, таких как Латвия. Фишинговые письма отправлялись с домена, зарегистрированного на российскую компанию, и содержали вредоносные вложения или ссылки, которые позволяли агенту угрозы обойти средства защиты ОС Windows. Предполагается, что субъектом угрозы является APT-группа Mustang Panda, спонсируемая государством группа кибершпионажа, которая активна с 2018 года.

Злоумышленники использовали несколько тактик, методов и процедур (TTP) для осуществления атаки. Они использовали фишинг копьем с вложением TAR, специально созданный документ Word, который может эксплуатировать CVE-2017-0199, и контрабанду HTML. Фишинговые письма также были заблокированы по географическому признаку, чтобы ограничить загрузку вредоносного файла из других мест.

В одном случае фишинговые письма содержали вредоносный файл ярлыка (LNK), который загружал файл Microsoft HTML Application (HTA) с удаленного URL. Затем этот файл запускался через MSHTA.exe, программу Living Off the Land Binaries (LOLBAS), обычно используемую субъектами угроз для вредоносной деятельности.

В другом случае злоумышленники использовали в качестве приманки компанию Culver Aviation, которая поставляет беспилотные летательные аппараты (БПЛА) украинским войскам в регионе. Злоумышленники создали украиноязычный документ Word, содержащий имя генерального директора Culver Aviations, корпоративный адрес электронной почты и название компании в качестве части приманки. Этот документ был разработан для эксплуатации CVE-2017-0199, что позволяло загружать и выполнять удаленные шаблоны в качестве второго этапа вредоносной программы.

Угрожающий агент также атаковал Министерство обороны Латвии (МО) и других союзников по НАТО, используя технику HTML Smuggling для доставки вредоносного ПО. Электронное письмо выдавало себя за Министерство обороны Украины и использовало доменное имя (admou.org).

APT-группа Gamaredon, приписываемая Федеральной службе безопасности (ФСБ) России, является субъектом угроз, стоящим за этими атаками. Группа проводит кибератаки на украинские государственные структуры с 2014 года и использует методы обфускации, чтобы избежать сканеров антивирусного ПО и шлюзов электронной почты.

#ParsedReport
16-02-2023

WIP26 Espionage \| Threat Actors Abuse Cloud Infrastructure in Targeted Telco Attacks

https://www.sentinelone.com/labs/wip26-espionage-threat-actors-abuse-cloud-infrastructure-in-targeted-telco-attacks

Actors/Campaigns:
Wip26 (motivation: cyber_espionage)
Apt37
Donot
Fancy_bear

Threats:
Cmd365
Cmdember
Chisel_tool
Cobalt_strike
Siestagraph

Industry:
Government, Telco

Geo:
Norway, Pakistani, Korean

IOCs:
Domain: 3
IP: 1
Url: 10
Hash: 5

Softs:
opera, microsoft onedrive

Algorithms:
aes, base64, des

Links:
https://github.com/jpillora/chisel
https://github.com/boku7/azureOutlookC2
https://github.com/step-up-labs

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

SentinelLabs в сотрудничестве с QGroup GmbH выявили новый кластер угроз под названием WIP26, который нацелен на телекоммуникационных провайдеров на Ближнем Востоке. WIP26 в значительной степени опирается на публичную облачную инфраструктуру, чтобы избежать обнаружения, выдавая вредоносный трафик за легитимный. Это включает использование бэкдоров под названием CMD365 и CMDEmber, которые используют сервисы Microsoft 365 Mail и Google Firebase для командно-контрольных целей (C2), а также использование экземпляров Microsoft Azure и Dropbox в качестве сайтов для эксфильтрации данных и хостинга вредоносного ПО.

Угрожающие субъекты, стоящие за WIP26, начинают свою деятельность с точного нацеливания на сотрудников через сообщения WhatsApp, содержащие ссылки Dropbox на загрузчик вредоносного ПО. После загрузки и выполнения загрузчика он развертывает два упомянутых бэкдора - CMD365 и CMDEmber. CMD365 - это приложение .NET, замаскированное под PDF-редактор или браузер и подписанное недействительной подписью. Оно использует Microsoft Graph API для взаимодействия с почтовым ящиком Microsoft 365 Mail для C2-коммуникаций и утечки данных. CMDEmber - это приложение .NET, маскирующееся под браузер Opera с недействительной подписью. Оно подключается к экземпляру базы данных Google Firebase Realtime Database и собирает информацию о зараженном компьютере.

Вероятно, мотив этой деятельности связан со шпионажем. Объект угрозы нацелился на частную информацию пользователя и конкретные сетевые узлы, представляющие большую ценность. Были допущены ошибки OPSEC, что позволило получить дополнительное представление об активности WIP26. SentinelLabs продолжает отслеживать кластер угроз WIP26, чтобы получить дальнейшее представление о его развитии, будущей активности и атрибуции.

Тактика, используемая угрозой WIP26, является актуальным примером того, как угрожающие субъекты внедряют инновации в попытках оставаться незаметными и обходить средства защиты. Используя публичную облачную инфраструктуру для размещения вредоносного ПО, утечки данных и C2-целей, они могут придать вредоносному трафику легитимный вид и остаться незамеченными. Важно понимать такие тактики, чтобы лучше защищаться от них, и SentinelLabs прилагает все усилия, чтобы предоставить больше информации о кластере угроз WIP26.