#technique

Kraken, a modular multi-language webshell

https://github.com/kraken-ng/Kraken

#technique

PowerShell script to exploit ESC1/retrieve your own NTLM password hash.

https://gist.github.com/b4cktr4ck2/95a9b908e57460d9958e8238f85ef8ee

#ParsedReport
26-02-2023

Evasive cryptojacking malware targeting macOS found lurking in pirated applications

https://www.jamf.com/blog/cryptojacking-macos-malware-discovered-by-jamf-threat-labs

Threats:
Xmrig_miner

TTPs:
Tactics: 1
Technics: 0

IOCs:
Coin: 1
File: 1
Hash: 79

Softs:
macos, photoshop, curl, gatekeeper, utorrent), sudo

Algorithms:
base64

Platforms:
apple, arm

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Лаборатория Jamf Threat Labs недавно обнаружила семейство вредоносных программ, которые действовали в дикой природе и использовали XMRig для майнинга криптовалют. Замаскированная под программное обеспечение для редактирования видео Final Cut Pro, разработанное компанией Apple, вредоносная программа не была обнаружена ни одним поставщиком средств безопасности на момент ее обнаружения. Для связи она использует проект Invisible Internet Project (i2p), и было установлено, что Final Cut Pro был получен из торрентов. Пройдя три этапа эволюции с использованием творческих методов уклонения, вредоносное ПО становилось все труднее обнаружить.

Образцы первого поколения устанавливали демон запуска для обеспечения постоянства, в то время как более поздние образцы использовали пользовательский агент запуска, чтобы избежать запроса пароля. Образцы второго поколения полагаются на запуск пользователем пакета приложений для запуска процесса майнинга, а образцы третьего поколения содержат два больших блоба в кодировке base64 и команды оболочки в исполняемом файле приложения. Когда пользователь дважды щелкает по иконке Final Cut Pro, вредоносные данные декодируются из base64 и разархивируются, а полученные компоненты записываются в каталог /private/tmp/ в виде скрытых файлов. После выполнения исполняемого файла i2p сценарий установки загружает компоненты командной строки XMRig с веб-сервера вредоносного автора для начала скрытого майнинга.

Авторы вредоносных программ используют все более сложные методы для сокрытия своей вредоносной деятельности. Они используют вызовы оболочки для запуска вредоносных приложений, конфигурационные файлы для завершения процессов при открытии Activity Monitor, а также команду bash exec с флагом -a для маскировки вредоносных процессов под легитимные службы. Пиратское программное обеспечение, передаваемое по пиринговым сетям, является идеальным механизмом доставки вредоносного ПО благодаря таким факторам, как отсутствие атрибутов карантина, готовность пользователей обходить средства защиты и психологический фактор, заключающийся в том, что пользователи реже сообщают о подозрительных действиях из-за чувства вины за то, что они скачали что-то незаконное.

#ParsedReport
26-02-2023

New WhiteSnake Stealer Offered for Sale Via MaaS Model. Indicators of Compromise

https://blog.cyble.com/2023/02/24/new-whitesnake-stealer-offered-for-sale-via-maas-model

Threats:
Whitesnake_stealer
Snowflake
Beacon

Industry:
Financial

Geo:
Chinese

TTPs:
Tactics: 7
Technics: 13

IOCs:
Url: 2
File: 3
Hash: 7

Softs:
telegram, bat2exe, discord, mozilla firefox, google chrome, brave-browser, chromium, microsoft edge, coinomi, electrum, have more...

Algorithms:
base64, rc4

Functions:
Ibhiyptxjhiacrnxomvqjb, AntiVM, Create, ProcessCommands

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

WhiteSnake Stealer - это недавно обнаруженный тип вредоносной программы Infostealer, способный поражать системы Windows и Linux. Он распространяется через вредоносные почтовые вложения, замаскированные под PDF-документы, и после выполнения запускает BAT-файл, содержащий двоичный исполняемый файл в Base64-кодировке. Угонщик способен собирать конфиденциальную информацию, такую как пароли, cookies, номера кредитных карт, скриншоты и другие личные или финансовые данные. Он шифрует украденные данные в формате Base64Encode и отправляет их на URL-адрес Telegram-бота. Для защиты от этой угрозы пользователи должны следовать передовым методам, таким как использование надежных паролей, включение автоматического обновления программного обеспечения, использование антивируса и пакета программ для обеспечения безопасности в Интернете, воздержание от открытия недоверенных ссылок, обучение сотрудников методам защиты от угроз, блокирование URL-адресов, которые могут быть использованы для распространения вредоносного ПО, и включение решений Data Loss Prevention Solutions на системах сотрудников.

#ParsedReport
26-02-2023

"Rattlesnake" recent attack activities disclosed, aiming at domestic colleges and universities for phishing

https://mp.weixin.qq.com/s/yX8iKaPSr9VS3Z2wsgdisw

Actors/Campaigns:
Sidewinder

Industry:
Education, Maritime, Government

Geo:
Asian, Bangladesh, China, Pakistani, Pakistan

CVEs:
CVE-2017-11882 [Vulners]
CVSS V2: 9.3,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- microsoft office (2007, 2013, 2010, 2016)


TTPs:
Tactics: 1
Technics: 0

IOCs:
File: 3

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Организация Sidewinder APT - это хакерская группа с предполагаемыми связями с правительством Южной Азии. Активно действует с 2012 года, ее жертвами в основном становятся такие чувствительные подразделения, как военно-промышленные комплексы, дипломатические представительства и научно-исследовательские университеты в таких странах, как Китай, Пакистан и Бангладеш. Недавно разведывательное бюро Weibu Intelligence Bureau зафиксировало активность атак организации Rattlesnake с помощью системы поиска угроз.

Анализ показал, что злоумышленники использовали фишинговые электронные письма с вредоносными вложениями для проникновения в сеть университета. Электронное письмо якобы содержало "уведомление о корректировке рабочего режима" и было отправлено конкретному пользователю в университете. Вредоносное вложение представляло собой zip-файл, содержащий дополнительные файлы, связанные с другими образцами атак.

Помимо атак на цели в нашей стране, злоумышленники также использовали template injection для доставки вредоносных документов и проводили атаки в Пакистане против правительственных, военных и других подразделений. Судя по предыдущим действиям атакующих, троянский конь-загрузчик, скорее всего, будет загружен для проведения дальнейших атак.

Ранее Sidewinder уже пытался использовать электронные письма с вредоносными вложениями для атак на своих жертв. Эти вложения часто содержат файлы .lnk, которые маскируются под типы документов и выполняют вредоносный код C2 удаленно через mshta.exe. Злоумышленники также оставляли файл "\~notification01.tmp" при упаковке, что соответствует прошлым атакам Rattlesnake.

В целом, организация Sidewinder APT действует уже много лет, используя сложные методы для проведения кибератак на важные организации. Известно, что для получения доступа и кражи данных они используют фишинговые письма с вредоносными вложениями, инъекции шаблонов и трояны-загрузчики. Несмотря на их передовую тактику, Бюро разведки Weibu смогло обнаружить и остановить одну из их недавних атак.

#ParsedReport
26-02-2023

PureCrypter targets government entities through Discord

https://www.menlosecurity.com/blog/purecrypter-targets-government-entities-through-discord

Actors/Campaigns:
Eternity

Threats:
Purecryptor
Redline_stealer
Agent_tesla
Krbanker
Purecoder_actor
Process_hollowing_technique
Process_injection_technique

Industry:
Government

Geo:
Apac, America, Pakistan

TTPs:
Tactics: 7
Technics: 14

IOCs:
Email: 2
File: 4
Url: 2
Hash: 46
Registry: 1

Softs:
discord, onenote

Algorithms:
des, zip, xor

Platforms:
intel

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Компания Menlo Labs недавно обнаружила вредоносную кампанию, распространяемую через Discord и направленную на правительственные организации. Кампания использует загрузчик PureCrypter, загрузчик .net, для доставки вторичных полезных нагрузок, включая Redline Stealer, AgentTesla, Eternity, Blackmoon и Philadelphia Ransomware. Атака была заблокирована платформой Menlos Cloud Security Platform, а команда Menlo Labs смогла отследить исполнителей.

PureCrypter - это продвинутый загрузчик, который может загружать трояны удаленного доступа (RAT) и Infostealers. Продается с марта 2021 года. AgentTesla - это тип бэкдора с возможностью кражи паролей из браузеров, ведения журнала и захвата скриншотов. Он может устанавливать соединение с FTP-сервером и хранить украденные данные в зашифрованном виде. Похоже, что FTP-сервер был захвачен злоумышленниками, а в Интернете были обнаружены утечки учетных данных для домена.

Злоумышленники рассылают фишинговые электронные письма с вредоносными файлами OneNote для распространения дополнительного вредоносного ПО или кражи информации у жертв. Эта группа угроз использует взломанную инфраструктуру, чтобы оставаться незамеченными как можно дольше, прежде чем искать себе новое пристанище.

Команда Menlo Labs продолжит следить за активностью этого агента угроз, поскольку пока он не выглядит крупным игроком на рынке угроз. Однако их нападения на правительственные организации заслуживают внимания и бдительности. Кроме того, для осуществления своих атак агенты используют целый ряд методов, включая повышение привилегий, внедрение процессов, уклонение от защиты, доступ к учетным данным, командование и контроль, сбор данных и маскировку.

#ParsedReport
26-02-2023

TA569: SocGholish and Beyond

https://www.proofpoint.com/us/blog/threat-insight/ta569-socgholish-and-beyond

Actors/Campaigns:
Ta569 (motivation: cyber_criminal)
Silverfish
Evil_corp

Threats:
Socgholish_loader
Scriptzzbn
Netsupportmanager_rat
Toad_technique
Redline_stealer
Solarmarker
Icedid
Hades
Lockbit
Wastedlocker

IOCs:
Domain: 146
Url: 1
IP: 31
Hash: 31

Softs:
wordpress, zoom, telegram

Algorithms:
exhibit, base64

Languages:
javascript, php

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

TA569 - актор, который был замечен в использовании различных методов инъекций для развертывания вредоносной полезной нагрузки и содействия своей бизнес-модели "оплата за установку" (PPI). Эти инъекции можно разделить на две основные категории, за редким исключением: те, которые приводят к доставке полезной нагрузки SocGholish, и те, которые приводят к развертыванию полезной нагрузки, отличной от SocGholish, называемые инъекциями Scriptzzbn. Наиболее распространенной приманкой, используемой для доставки вредоносной программы SocGholish, является поддельное обновление браузера, которое представляется в полноэкранном формате, как будто оно с самого инжектируемого сайта. TA569 также был замечен в доставке других вредоносных полезных нагрузок, включая распределенную защиту от отказа в обслуживании (DDoS), поддельные обновления программ безопасности, капчи и другие темы, связанные с обновлениями. Эти полезные нагрузки могут включать похитителей информации или троянов удаленного доступа (RAT).

Исследователи Proofpoint заметили изменения в тактике, технике и процедурах (TTP), используемых TA569, включая увеличение количества разновидностей инъекций и полезных нагрузок, отличающихся от стандартных пакетов SocGholish Fake Update JavaScript. Помимо выполнения функций брокера первоначального доступа, эти дополнительные инъекции указывают на то, что TA569 может работать в качестве сервиса оплаты за установку (PPI). TA569 может удалять инъекции со взломанных сайтов, чтобы затем снова добавить их на те же сайты. Такое поведение, известное как "стробирование", может быть связано с рабочим процессом, связанным с добавлением новых или отличающихся инъекций для выполнения соглашений с клиентами или целей кампании, или для создания иллюзии "чистого" веб-сайта и возможности ложноположительных заключений.

#ParsedReport
26-02-2023

Analysis of recent phishing attacks against the Indian government by the APT organization SideCopy

http://blog.nsfocus.net/sidecopyphishinganalysis

Actors/Campaigns:
Sidecopy
Transparenttribe

Threats:
Reverserat_rat
Harpoon
Watering_hole_technique
Cetarat_rat

Industry:
Petroleum, Government, Energy

Geo:
India, Pakistan, Pakistani, Indian

TTPs:
Tactics: 1
Technics: 0

IOCs:
File: 2
Hash: 2

Softs:
"android, android, (android

Algorithms:
gzip, rc4, zip

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Недавно компания NSFOCUS, занимающаяся вопросами безопасности, обнаружила вредоносный макро-документ под названием "Cyber Advisory 2023.docm", отправленный SideCopy, организацией Advanced Persistent Threat (APT), базирующейся в Пакистане. Эта фишинговая атака была направлена на индийские военные объекты, особенно те, которые связаны с обороной границы Кашмира. Документ выглядел как официальное письмо от индийского правительства с предложением включить макросы, что указывало на фишинговую атаку. Также выяснилось, что подпись отправителя отличалась от подписи реального человека в открытых документах на сайте индийского правительства, что свидетельствовало о том, что она была подделана.

Вредоносный документ-макрос был настроен на загрузку и выполнение троянского коня. Содержимое документа-приманки было привлекательным и побуждало цель включить макросы. Когда документ закрывался, встроенный макрос VBA выполнял HTTP GET-запрос на сайт luckyoilpk.com/vlan.html. Когда-то этот сайт был обозначен как официальный сайт пакистанской энергетической компании, однако теперь при его открытии выдается ошибка, что свидетельствует о его использовании в качестве сайта водопоя. После этого макрос VBA извлекает данные для троянского коня из загруженного содержимого, создавая локальный файл через FreeFile. Этот файл получил имя vlan.exe и был сохранен в каталоге Startup.

Загруженный файл vlan.exe представлял собой обфусцированный троянец ReverseRAT, входящий в состав известных полезных нагрузок атак организации SideCopy. Троянцы этого семейства собирают основную информацию о хосте после запуска и отправляют ее на командно-контрольный (C&C) сервер через HTTP POST. После этого троянец выполняет одноранговую обработку содержимого, возвращаемого C&C, и извлекает инструкции C&C посредством дешифровки RC4 и декомпрессии Gzip.

Исследование Fuying Lab показало, что SideCopy организовали это мероприятие простым способом, загрузив троянцев удаленного управления через фишинговые документы за один раз, без каких-либо дополнительных ссылок. Злоумышленники также обфусцировали троянца удаленного управления, но из-за того, что его общая логика довольно проста, его все равно можно легко идентифицировать как ReverseRAT. Более того, макрос VBA запускался при закрытии документа, а троянец удаленного управления не выполнялся после загрузки, требуя перезапуска. Это может помочь злоумышленнику уклониться от обнаружения и повысить незаметность его вредоносной деятельности.

#ParsedReport
24-02-2023

Desde Chile con Malware (From Chile with Malware)

https://www.team-cymru.com/post/from-chile-with-malware

Threats:
Icedid
Cobalt_strike
Lockbit
Conti

Industry:
Financial

Geo:
Chile, Chilean, Russian, Netherlands

IOCs:
IP: 10
Domain: 9

Softs:
wireguard

Functions:
OpenVPN

Links:
https://github.com/west-wind/conti-leaks/blob/main/conti-URL.txt

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

IcedID (также известный как BokBot) - это банковский троян, который эволюционировал и включил в себя возможности дропперного вредоносного ПО, что позволяет ему загружать и развертывать дополнительные вредоносные программы, такие как Cobalt Strike, иногда приводящие к появлению ransomware. Недавно исследователи выявили новый IP-адрес, подключенный к одному из C2-серверов IcedID BackConnect. Этот адрес находится в Чили и является частью сетевого блока /24, используемого для размещения инфраструктуры C2 бота IcedID.

Данные телеметрии угроз показывают последовательные соединения с чилийского IP-адреса с IP-адресом, расположенным в Нидерландах, на котором размещены два домена, связанных с IcedID; активность просмотра веб-страниц, исходящая с чилийского IP-адреса, дает представление о тактике, методах и процедурах (TTP) угрожающего субъекта. Эти действия указывают на интерес к DNS и посещению сервисов, связанных с Conti и LockBit ransomware.

Чилийский IP использует WireGuard VPN для доступа к серверу, но переключился на OpenVPN, когда активность возобновилась в январе 2023 года. Кроме того, аналитики заметили соединения с панельным портом сервера IcedID Loader Tier 2. Этот сервер используется для управления C2-серверами Tier 1 Loader, которые получают начальные сообщения жертвы и доставляют DLL IcedID. С этого же IP были установлены соединения с веб-сайтами, связанными с DNS, конфиденциальностью, Tox, Tor, Libsodium, Njalla, Qaz.im, Sape и Yandex, все из которых были связаны с вымогательским ПО или кампаниями по вредоносной рекламе.

Исследователи полагают, что чилийский IP используется для каких-то разработок или тестирования, хотя они не могут быть уверены. До сих пор они не видели ожидаемых коммуникаций жертвы, типичных для инфраструктуры C2, что ставит под сомнение назначение этих доменов.

В целом, отслеживание фоновой инфраструктуры, связанной с IcedID, позволяет исследователям выявить новые C2-инфраструктуры, обращенные к жертвам, а также получить представление о мотивах субъектов угрозы и используемых ими сервисах и инструментах. Защитникам следует обратить внимание на любую активность в своих сетях, связанную с 216.73.159.0/24, а пользователи Pure Signal Recon могут отслеживать эту активность путем запроса входящих соединений к 168.100.8.93:443. Исследователи будут продолжать публиковать обновления этой инфраструктуры на своей странице в Twitter @teamcymru_S2.

IcedID, впервые обнаруженный в начале 2017 года, остается постоянной угрозой. На прошлой неделе исследователи выявили новый IP-адрес, подключенный к одному из C2-серверов IcedID BackConnect. Этот адрес находится в Чили и является частью сетевого блока /24, используемого для размещения инфраструктуры C2 бота IcedID. Благодаря данным телеметрии угроз и активности просмотра веб-страниц, исходящей с чилийского IP-адреса, исследователи получили представление о тактике, методах и процедурах (TTPs) угрожающего субъекта.

Чилийский IP использует WireGuard VPN для доступа к серверу, но переключился на OpenVPN, когда активность возобновилась в январе 2023 года. Были замечены подключения к порту панели сервера IcedID Loader Tier 2, а также подключения к веб-сайтам, связанным с DNS, конфиденциальностью, Tox, Tor, Libsodium, Njalla, Qaz.im, Sape и Yandex, все из которых были связаны с выкупными программами или кампаниями по вредоносной рекламе. Предполагается, что чилийский IP может использоваться для разработки или тестирования, хотя исследователи не видели ожидаемых коммуникаций жертвы, типичных для инфраструктуры C2.

#ParsedReport
26-02-2023

Investigating the PlugX Trojan Disguised as a Legitimate Windows Debugger Tool. Introduction

https://www.trendmicro.com/en_us/research/23/b/investigating-the-plugx-trojan-disguised-as-a-legitimate-windows.html

Threats:
Plugx_rat
Dll_sideloading_technique
Trojan.win32.kroplug.aj

TTPs:

IOCs:
Path: 11
File: 9
IP: 1
Command: 1
Registry: 1
Hash: 6

Functions:
OpenSource

Win API:
DllGetClassObject

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Команда Trend Micros Managed Extended Detection and Response (MxDR) недавно обнаружила вариант троянца PlugX, обозначенный как Trojan.Win32.KORPLUG.AJ.enc. Атака использует технику боковой загрузки вредоносных DLL, при которой злоумышленник помещает вредоносную DLL рядом с легитимной программой, чтобы получить доступ к целевой системе и избежать обнаружения.

Команда MxDR обнаружила, что угроза в значительной степени опирается на боковую загрузку DLL, а в качестве основного вектора используется файл под названием x32dbg.exe. Это легитимный инструмент отладчика с открытым исходным кодом для Windows, но он использовался для выполнения процесса заражения вредоносным ПО. Затем вредоносная программа создала запланированную задачу для запуска файла x32dbg.exe каждые пять минут, замаскировав его под "LKUFORYOU_1", чтобы его было трудно обнаружить. Кроме того, вредоносная полезная нагрузка также включала akm.dat, DLL, содержащую код для выполнения следующей фазы атаки, и AUG.exe, копию DISM.EXE, уязвимую к боковой загрузке DLL.

Для защиты от таких атак в Trend XDR интегрированы различные технологии безопасности, позволяющие получить полную картину состояния безопасности организации. Внедрение белых списков, использование подписанного кода, мониторинг и контроль выполнения приложений, обучение конечных пользователей, использование решений для защиты конечных точек и реализация эффективных планов реагирования на инциденты - все это ключевые меры по предотвращению атак с боковой загрузкой DLL.

Команда MxDR компании Trend Micro использовала ряд передовых технологий и решений для обеспечения безопасности, чтобы получить полное представление об атаке и помочь организациям предотвратить подобные угрозы. Используя специальные инструменты безопасности и следуя передовому опыту, организации могут обеспечить лучшую защиту от вредоносных атак с использованием методов боковой загрузки DLL.

#ParsedReport
26-02-2023

Pay attention to the spread of Libgcc_a mining virus! Included self-examination method

https://mp.weixin.qq.com/s/hJazMbc6MxQQU8a_bhgusA

Threats:
Xmrig_miner
Xbash

TTPs:
Tactics: 1
Technics: 0

IOCs:
File: 1

Softs:
macos

Algorithms:
randomx, kawpow, cryptonight

Platforms:
arm

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Недавно был обнаружен новый вариант вируса семейства XMrig для майнинга. Известно, что этот вирус особенно трудно обнаружить и удалить, поскольку он автоматически активизируется после уничтожения. Кроме того, он изменяет конфигурацию хоста, перенаправляя порты на удаленный сервер, и загружает с Github инструмент для взлома методом грубой силы с открытым исходным кодом для бокового перемещения по узлам интрасети.

XMrig - это программа с открытым исходным кодом, которая может использовать алгоритмы CPU/GPU, такие как RandomX, KawPow, CryptoNight и AstroBWT, для добычи виртуальных валют на платформах Windows, Linux, macOS и FreeBSD. Благодаря своему потенциалу для зарабатывания денег, многие банды вредоносных программ используют его для незаконного получения доступа к чужим серверам с целью получения прибыли. Чтобы перехватить процесс запуска программы, вирус изменяет файл /etc/ld.so.preload и загружает вредоносные исполняемые файлы libgcc_a и spirit, используя соответствующие so-файлы для различных архитектур. Затем он настраивает такие службы, как SMTP/HTTP, в файле xinetd.d для перенаправления на вредоносный сервер C2.

Кроме того, вирус также сканирует IP-адрес интрасети на предмет наличия выживших хостов, проверяя конфигурационные файлы, связанные с запланированными задачами (такие как cron.hourly и crontab), на наличие подозрительных элементов, таких как /etc/cron.daily/xbash. Этот вирус очень опасен, и к нему следует отнестись серьезно. Группа технических специалистов может помочь выявить и устранить эту угрозу.

#ParsedReport
26-02-2023

ASEC Weekly Phishing Email Threat Trends (February 12th, 2023 February 18th, 2023)

https://asec.ahnlab.com/en/48390

Actors/Campaigns:
Calypso

Threats:
Smokeloader
Cloudeye
Agent_tesla
Formbook

Industry:
Transport, Financial

Geo:
Korean, Italia

TTPs:

IOCs:
File: 85
Url: 17

Algorithms:
zip