#ParsedReport
16-02-2023

WIP26 Espionage \| Threat Actors Abuse Cloud Infrastructure in Targeted Telco Attacks

https://www.sentinelone.com/labs/wip26-espionage-threat-actors-abuse-cloud-infrastructure-in-targeted-telco-attacks

Actors/Campaigns:
Wip26 (motivation: cyber_espionage)
Apt37
Donot
Fancy_bear

Threats:
Cmd365
Cmdember
Chisel_tool
Cobalt_strike
Siestagraph

Industry:
Government, Telco

Geo:
Norway, Pakistani, Korean

IOCs:
Domain: 3
IP: 1
Url: 10
Hash: 5

Softs:
opera, microsoft onedrive

Algorithms:
aes, base64, des

Links:
https://github.com/jpillora/chisel
https://github.com/boku7/azureOutlookC2
https://github.com/step-up-labs

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

SentinelLabs в сотрудничестве с QGroup GmbH выявили новый кластер угроз под названием WIP26, который нацелен на телекоммуникационных провайдеров на Ближнем Востоке. WIP26 в значительной степени опирается на публичную облачную инфраструктуру, чтобы избежать обнаружения, выдавая вредоносный трафик за легитимный. Это включает использование бэкдоров под названием CMD365 и CMDEmber, которые используют сервисы Microsoft 365 Mail и Google Firebase для командно-контрольных целей (C2), а также использование экземпляров Microsoft Azure и Dropbox в качестве сайтов для эксфильтрации данных и хостинга вредоносного ПО.

Угрожающие субъекты, стоящие за WIP26, начинают свою деятельность с точного нацеливания на сотрудников через сообщения WhatsApp, содержащие ссылки Dropbox на загрузчик вредоносного ПО. После загрузки и выполнения загрузчика он развертывает два упомянутых бэкдора - CMD365 и CMDEmber. CMD365 - это приложение .NET, замаскированное под PDF-редактор или браузер и подписанное недействительной подписью. Оно использует Microsoft Graph API для взаимодействия с почтовым ящиком Microsoft 365 Mail для C2-коммуникаций и утечки данных. CMDEmber - это приложение .NET, маскирующееся под браузер Opera с недействительной подписью. Оно подключается к экземпляру базы данных Google Firebase Realtime Database и собирает информацию о зараженном компьютере.

Вероятно, мотив этой деятельности связан со шпионажем. Объект угрозы нацелился на частную информацию пользователя и конкретные сетевые узлы, представляющие большую ценность. Были допущены ошибки OPSEC, что позволило получить дополнительное представление об активности WIP26. SentinelLabs продолжает отслеживать кластер угроз WIP26, чтобы получить дальнейшее представление о его развитии, будущей активности и атрибуции.

Тактика, используемая угрозой WIP26, является актуальным примером того, как угрожающие субъекты внедряют инновации в попытках оставаться незаметными и обходить средства защиты. Используя публичную облачную инфраструктуру для размещения вредоносного ПО, утечки данных и C2-целей, они могут придать вредоносному трафику легитимный вид и остаться незамеченными. Важно понимать такие тактики, чтобы лучше защищаться от них, и SentinelLabs прилагает все усилия, чтобы предоставить больше информации о кластере угроз WIP26.

#ParsedReport
16-02-2023

Invitation to a Secret Event: Uncovering Earth Yakos Campaigns

https://www.trendmicro.com/en_us/research/23/b/invitation-to-secret-event-uncovering-earth-yako-campaigns.html

Actors/Campaigns:
Earth_yakos (motivation: information_theft, cyber_espionage)
Restylink
Enelink
Darkhotel
Stone_panda
Duke
Darkhalo
Stellarparticle

Threats:
Mirrorkey
Cobalt_strike
Dll_sideloading_technique
Redleaves
Chches
Noblebaron
Lodeinfo
Trojanspy.win32.transbox.zjjh

Industry:
Government, Energy

Geo:
Japan, Japanese, Taiwan, Asia, Tokyo

CVEs:
CVE-2013-3900 [Vulners]
CVSS V2: 7.6,
Vulners: Exploitation: True
X-Force: Risk: 9.3
X-Force: Patch: Official fix
Soft:
- microsoft windows xp (-)
- microsoft windows server 2008 (r2, -)
- microsoft windows server 2012 (r2, -)
- microsoft windows 10 (1607, -, 1809, 1909, 20h2, 21h1, 21h2)
- microsoft windows 8.1 (-)
have more...

IOCs:
File: 16
Url: 4
Path: 12
Hash: 2
Domain: 2
IP: 1

Softs:
chrome

Algorithms:
aes, xor, base64, aes-128-cbc, crc-32, aes-128-ecb

Platforms:
x86, intel

YARA: Found

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Earth Yako - это кампания кибершпионажа, приписываемая операции RestyLink/EneLink, которая с 2021 года нацелена на исследователей в академических организациях и аналитических центрах Японии. К январю 2023 года Earth Yako разработала ряд новых вредоносных программ и инструментов для осуществления своих атак, включая MirrorKey, TransBox, PlugBox, Dulload и PULink, а также ShellBox. Группа использует для атак электронные письма со ссылками, по которым загружаются вредоносные файлы .zip или .iso, содержащие полезную нагрузку, которая затем используется для кражи данных и файлов. Эти атаки были связаны с другими известными кампаниями, такими как Darkhotel, APT10 и APT29, а также были замечены атаки на отрасли, связанные с международными делами.

Организациям необходимо осознать угрозу Earth Yako и принять меры по защите от атак. Это включает в себя сбор более широкого спектра информации, осуществление постоянного мониторинга и контрмер, а также осмотр поверхностей атак для снижения рисков и последствий компрометации. Поскольку атаки Earth Yako все еще продолжаются, организации должны сохранять бдительность и принимать все необходимые меры для защиты от этой угрозы.

#ParsedReport
16-02-2023

DarkBit Ransomware Targets Israel with Command-Line Options and Optimized Encryption Routines

https://blogs.blackberry.com/en/2023/02/darkbit-ransomware-targets-israel

Threats:
Darkbit

Industry:
Education, Financial, Ics

Geo:
Ukraine, Israel, Iranian, Russian, Pakistan

IOCs:
File: 5
Url: 1
Hash: 1

Softs:
telegram

Algorithms:
aes-256

Languages:
golang

Platforms:
x64

YARA: Found

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

DarkBit - это новый вид вымогательского ПО, который недавно атаковал Технион - Израильский технологический институт, один из ведущих исследовательских университетов Израиля. Угрожающий агент, стоящий за этой программой-выкупом, по-видимому, политически мотивирован и включил в записку о выкупе антиизраильскую и антиправительственную риторику, а также упоминания о недавних увольнениях в технологической отрасли. Они потребовали 80 биткойнов (BTC) за расшифровщик, что на момент написания статьи составляет около 1 869 760 долларов США. После первоначальной атаки они также потребовали дополнительный штраф в размере 30% (24 BTC).

DarkBit ransomware использует Advanced Encryption Standard 256-bits (AES-256) в процессе шифрования и поражает широкий спектр типов файлов. У нее есть веб-страница .onion, аккаунт в Telegram и страница в Twitter, содержащая политические сообщения и продвигающая хэштег #HackForGood. В настоящее время Технион проводит мероприятия по ликвидации последствий инцидента, чтобы определить масштаб атаки.

Единственной известной целью этой ransomware пока является Технион - Израильский технологический институт, но в ближайшем будущем могут появиться и другие цели в Израиле. Эксперты по кибербезопасности считают, что эта атака могла быть осуществлена недовольным сотрудником или группой сотрудников, хотя это не может быть подтверждено. Несомненно то, что эта атака показывает, как ransomware все чаще используется в качестве оружия в геополитике. Украина была первым примером этой тенденции, но теперь мы видим ее и в Израиле. Ransomware - это мощный инструмент для субъектов угроз, позволяющий распространять собственную пропаганду, нарушать работу систем и потенциально получать финансовую выгоду в случае уплаты выкупа.

Это не единичный случай: в списке самых разыскиваемых киберугроз ФБР есть еще несколько политически мотивированных угроз от иранских угроз, российских хактивистских групп и NewsPenguin, ранее неизвестного угрожающего субъекта, который нацелился на Пакистан с помощью передовых инструментов шпионажа, а также Hive Ransomware, который заработал 100 миллионов долларов прибыли до того, как ФБР проникло в его сеть.

Очевидно, что ransomware теперь не просто финансовая выгода, а мощное оружие, используемое в геополитических конфликтах. Поэтому в ближайшем будущем следует ожидать увеличения числа атак на выкупное ПО с политической подоплекой.

#ParsedReport
16-02-2023

Frebniis: New Malware Abuses Microsoft IIS Feature to Establish Backdoor

https://symantec-enterprise-blogs.security.com/threat-intelligence/frebniis-malware-iis

Threats:
Frebniis

Geo:
Taiwan

IOCs:
File: 6
Hash: 2

Algorithms:
base64, xor

Functions:
CreateConnect, ReadScoket, CloseScoket, HTTP

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Компания Symantec, поставщик программного обеспечения Broadcom, обнаружила новую вредоносную программу под названием "Frebniis" (Backdoor.Frebniis), которая использует функцию Microsoft Internet Information Services (IIS) для установки бэкдора в целевые системы. Этот вредоносный код был обнаружен при атаках на объекты в Тайване.

Атака Frebniis работает путем внедрения вредоносного кода в память DLL-файла, связанного с функцией IIS под названием Failed Request Event Buffering (FREB). FREB собирает данные и подробности о запросах, такие как IP-адрес и порт отправителя, HTTP-заголовки с cookies и т.д. Вредоносный код перехватывает указатель функции в iisfreb.dll, который вызывается iiscore.dll всякий раз, когда в IIS поступает любой HTTP-запрос от веб-клиента. Затем Frebniis анализирует эти запросы в поисках определенных страниц и параметров для расшифровки и выполнения кода.

Этот код обеспечивает функциональность бэкдора и прокси для отправки и получения данных с других компьютеров. Он также позволяет удаленно выполнять код C#, закодированный в XML-документах. Кроме того, он разработан для скрытности и не сохраняет файлы на диск.

Чтобы использовать эту технику, злоумышленнику необходимо получить доступ к системе Windows, на которой работает сервер IIS, каким-либо другим способом. Хотя точный метод, использованный в данном случае, пока неизвестен, очевидно, что Фребнис демонстрирует сложную атаку, которая может легко обойти меры безопасности. Поэтому организациям важно убедиться в актуальности мер сетевой безопасности и предпринять необходимые шаги для защиты от подобных атак.

#ParsedReport
16-02-2023

Emails purporting to be transport companies distributed as Import Customs Information Submission Guidelines

https://asec.ahnlab.com/ko/47968

Threats:
Cloudeye

Industry:
Transport

Geo:
Korea

IOCs:
Url: 2
Hash: 3

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Недавно компания ASEC подтвердила факт распространения вредоносных электронных писем, выдающих себя за транспортную компанию в Корее. В письме пользователям предлагалось открыть вложенный HTML-файл под предлогом предоставления информации о таможенном оформлении импорта. Этот HTML-файл был назван DHL_KOREA, что указывает на то, что он был распространен среди отечественных пользователей. При попытке войти в систему пользователи были перенаправлены на файл Excel, хранящийся в персональном облачном хранилище OneDrive. Однако файл Excel не мог быть выполнен, так как превышал предельный размер, что затрудняло распознавание фишинговой атаки. Кроме того, было подтверждено еще одно электронное письмо с запросом на подтверждение таможенного оформления. При открытии вложенного файла появлялся экран, замаскированный под PDF, на котором была ссылка на URL-адрес, откуда загружалась вредоносная программа GuLoader при действительном соединении.

#ParsedReport
16-02-2023

ALTOUFAN TEAM Targets the Middle East

https://blog.cyble.com/2023/02/16/altoufan-team-targets-the-middle-east

Actors/Campaigns:
Altoufan (motivation: politically_motivated, hacktivism)
Wayback

Threats:
Mosesstaff

Industry:
Government, Aerospace, Financial

Geo:
Bahraini, Bahrainis, Bahrains, Iranian, Israel, Bahrain, Israeli

TTPs:
Tactics: 1
Technics: 0

Softs:
telegram, instagram

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Группа Threat Actor (TA) ALTOUFAN TEAM провела кампанию против бахрейнских и израильских веб-сайтов в знак протеста против нормализации отношений между двумя странами. 14 февраля 2023 года группа объявила об успешном взломе Организации социального страхования (SIO), Бахрейн, на своей учетной записи в Twitter и канале Telegram. Хактивистская группа разместила видео, демонстрирующее использование украденных учетных данных для входа на портал работодателей социального страхования Бахрейна и изменения базовой заработной платы. Затем они атаковали сайт аэропорта Бахрейна, сайт Национальной финансовой и биржевой компании и сайт Бахрейнского информационного агентства.

ALTOUFAN - политически мотивированная хактивистская группа с антисионистскими, антимонархическими и про-февральскими настроениями. Они используют логотип кулака и иконографию, похожую на иранские хактивистские группы Moses Staff и Abrahams Ax, и поддерживают свое присутствие на таких платформах социальных сетей, как Instagram, YouTube, Twitter и Telegram. Их атаки направлены на распространение своих идей, потерю доходов, репутационный ущерб, кампании по дезинформации и продвижение своих политических программ.

Атаки группы ТА ALTOUFAN TEAM демонстрируют, как политически мотивированные хактивисты могут вызывать нарушения и наносить ущерб через киберпространство. В данном случае она была использована для выражения неодобрения нормализации отношений между Бахрейном и Израилем. Организациям важно сохранять бдительность и осведомленность о подобных угрозах и принимать соответствующие меры для защиты от потенциальных атак.

Не думал, что TI-отчеты придется цензурировать ... но все к этому идет.

Пока решил оставить отчеты в таком формате. Через неделю проведем опрос и по результатам решим что делать дальше.

К вопросу о выделении TTP из текста отчета через ChatGPT.
Без дообучения это не работает. (модель Davinci)

Вот пример последнего отчета, который создан людьми. Кажется, что AI с переводом не так уж и плохо справились (https://t.me/aptreports/2771).

Хакеры внедряют новое вредоносное ПО Frebniss в службы Microsoft Internet Information Services (IIS), которое скрытно выполняет команды, отправляемые через веб-запросы.

Frebniis был обнаружен исследователями Symantec Threat Hunter Team, сообщившими о его использовании неизвестным злоумышленником в отношении целей в Тайване.

Microsoft IIS — это программное обеспечение с функционалом веб-сервера для размещения приложений для таких служб, как Outlook в Интернете для Microsoft Exchange.

В атаках, замеченных Symantec, хакеры злоупотребляют функцией буферизации событий неудачных запросов FREB в IIS, отвечающей за сбор метаданных запросов (IP-адрес, заголовки HTTP, файлы cookie). Его цель — помочь администраторам серверов устранить неожиданные коды состояния HTTP или проблемы с обработкой запросов.

Вредоносное ПО внедряет код в функцию DLL-файла, который управляет FREB («iisfreb.dll»), позволяя злоумышленнику перехватывать и отслеживать все HTTP-запросы POST, отправляемые на сервер ISS.

Когда вредоносная программа обнаруживает определенные HTTP-запросы, которые отправляет злоумышленник, она анализирует запрос, чтобы определить, какие команды выполнять на сервере.

Symantec сообщает, что злоумышленники сначала взломавают сервер IIS для дальнейшей компрометации модуля FREB, но исследователи не смогли определить метод, который использовался для получения доступа.

Внедренный код представляет собой бэкдор .NET, который поддерживает проксирование и выполнение кода C#, даже не касаясь диска, что делает его полностью незаметным. Он ищет запросы к страницам logon.aspx или default.aspx с определенным параметром пароля.

Второй параметр HTTP, представляющий собой строку в кодировке base64, указывает Frebniis на связь и выполнение команд в других системах через скомпрометированный IIS, потенциально достигая защищенных внутренних систем, которые не доступны в Интернете.

Основным преимуществом использования компонента FREB в описанных целях является уклонение от обнаружения инструментами безопасности. Этот уникальный HTTP-бэкдор не оставляет следов или файлов и не создает подозрительных процессов в системе.

Хотя первоначальный путь компрометации неизвестен, обычно рекомендуется обновить ПО, чтобы свести к минимуму вероятность того, что хакеры воспользуются известными уязвимостями.

Расширенные инструменты мониторинга сетевого трафика также могут помочь обнаружить необычную активность таких вредоносных программ, как Frebniis.

#ParsedReport
17-02-2023

WordPress sites backdoored with ad fraud plugin

https://www.malwarebytes.com/blog/threat-intelligence/2023/02/wordpress-sites-backdoored-with-ad-fraud-plugin

Threats:
Popunder_technique
Fuser-master

IOCs:
Domain: 41

Softs:
wordpress

Algorithms:
exhibit

Languages:
javascript, php

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Вкратце, в тексте обсуждается, как popunder-реклама используется мошенниками для получения дохода путем рекламного мошенничества.

Схема предполагает использование плагина WordPress под названием "fuser-master", который срабатывает, когда посетитель заходит на определенный URL с параметрами. Затем этот плагин загружает блог на отдельной странице, под которой отображается ряд рекламных объявлений. Код также имитирует действия пользователя, такие как прокрутка и нажатие на ссылки. Мошенническая деятельность может длиться от нескольких минут до нескольких часов, пока ее не прервет реальный человек. Для того чтобы избежать обнаружения, используется хитроумный трюк: обнаруживается движение мыши, и при этом фальшивая прокрутка немедленно прекращается. Хотя всплывающие окна являются законной формой рекламы, сам их формат может быть использован мошенниками для получения денежной выгоды.

#ParsedReport
17-02-2023

Tracking Distribution Site of Magniber Ransomware Using EDR

https://asec.ahnlab.com/en/47909

Threats:
Magniber
Typosquatting_technique

Geo:
Korea

IOCs:
Path: 1
File: 1
IP: 4

#ParsedReport
17-02-2023

Ransomware Roundup CatB Ransomware

https://www.fortinet.com/blog/threat-research/ransomware-roundup-catb-ransomware

Threats:
Catb_ransomware
Dll_sideloading_technique
Upx_tool

Industry:
Financial

IOCs:
File: 3
Path: 1
Hash: 6

Win API:
GetSystemInfo, GlobalMemoryStatus