SILKLOADER

https://labs.withsecure.com/content/dam/labs/docs/withsecure-silkloader.pdf

#ParsedReport
18-03-2023

QBot: Laying the Foundations for Black Basta Ransomware Activity

https://www.reliaquest.com/blog/qbot-black-basta-ransomware

Actors/Campaigns:
Karakurt

Threats:
Blackbasta
Qakbot
Conti
Emotet
Cobalt_strike
Beacon
Html_smuggling_technique
Anydesk_tool
Atera_tool
Splashtop_tool
Credential_harvesting_technique
Mimikatz_tool
Netstat_tool
Lolbin_technique
Process_injection_technique
Motw_bypass_technique
Passthehash_technique
Lockbit
Royal_ransomware
Trickbot

Industry:
Government, Financial

Geo:
Germany, Russian, Ukraine

TTPs:
Tactics: 10
Technics: 18

IOCs:
File: 6
IP: 1
Domain: 1
Registry: 1

Softs:
office 365

Algorithms:
zip

Languages:
javascript

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Программы-вымогатели остаются одной из самых разрушительных форм киберпреступности, причем субъекты угроз, стоящие за ними, постоянно разрабатывают новые методы и возможности для уклонения от обнаружения. 29 сентября 2022 года среда одного из клиентов была взломана с помощью фишингового письма, которое привело к развертыванию вредоносного ПО QBot. Злоумышленники получили первоначальный доступ к действительным учетным данным учетной записи службы, которая входила в группу администраторов домена, что позволило им продвинуться вбок и развернуть другие маяки Cobalt Strike. Оказалось, что злоумышленники были филиалом программы Black Basta ransomware-as-a-service (RaaS), которая появилась после того, как был уничтожен синдикат Conti ransomware.

Злоумышленники использовали многочисленные методы уклонения от защиты, включая сжатие полезной нагрузки электронной почты, преодоление хэша, внедрение процессов и сбор учетных данных. Они также развернули и настроили программное обеспечение удаленного доступа AnyDesk, Atera и Splashtop, которые используют протокол HTTPS. Кроме того, они пытались добавить учетную запись в группу Local Administrators и использовали инструменты сетевого сканирования NETSCAN.EXE и WERMGR.EXE для обнаружения сети.

Этот инцидент подчеркивает важность принятия мер по усилению защиты периметра и ограничению использования программного обеспечения для удаленного доступа. Компаниям следует отключить установку ISO, обеспечить безопасность резервных копий и регулярно проверять их на надежность, используя правило 3-2-1. Кроме того, международные правоохранительные органы жестко пресекают операции по распространению программ-выкупов, а санкции и аресты лиц, причастных к такой деятельности, становятся все более распространенным явлением. Это может привести к закрытию некоторых групп угроз, хотя, скорее всего, они просто появятся вновь в той или иной форме.

#ParsedReport
18-03-2023

BianLian Ransomware Gang Continues to Evolve

https://redacted.com/blog/bianlian-ransomware-gang-continues-to-evolve

Threats:
Hydra

Industry:
Education, Healthcare, Government, Financial

IOCs:
Hash: 46
IP: 121

Algorithms:
exhibit

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Лорен - старший исследователь угроз в компании redacted, где она с удовольствием охотится за плохими парнями, изучая их методы работы и инфраструктуру. Дэнни Квист - директор по специальным проектам в компании redacted . В течение последних шести месяцев они исследовали группу BianLian, занимающуюся распространением программ-вымогателей. Группа продолжает использовать очень похожие тактику, технику и процедуры (ТТП), подробно описанные в их первом отчете, для осуществления первоначального доступа и латерального перемещения в сети жертвы. BianLian сместила акцент своих атак с выкупа зашифрованных файлов на вымогательство утечки данных в качестве средства получения платежей от жертв. Более того, они пытаются усилить эффективность этих угроз вымогательства, адаптируя сообщения, доставляемые конкретным жертвам, чтобы усилить давление на организации.

BianLian скомпилировал бэкдор, написанный на языке Go, который предоставляет еще одно средство удаленного доступа к взломанной сети и поддержания командно-контрольного (C2) сервера. Каждый месяц группа вводит в строй около 30 новых C2-серверов, а средняя продолжительность жизни C2-сервера составляет около двух недель. По состоянию на 13 марта 2023 года BianLian подробно описала 118 организаций-жертв на своем сайте утечек, причем здравоохранение является самой крупной отраслью, пострадавшей от действий группы. Большинство их жертв находятся в США.

На выпуск компанией Avast инструмента для дешифровки BianLian ответила удалением заметки с признанием этого с их сайта утечки. Они также обещают не сливать украденные данные, если им заплатят. Более того, они публикуют замаскированные данные жертв уже через 10 дней после первоначальной компрометации, иногда в течение 48 часов.

#ParsedReport
18-03-2023

Executive summary. Uncovering HinataBot: A Deep Dive into a Go-Based Threat

https://www.akamai.com/blog/security-research/hinatabot-uncovering-new-golang-ddos-botnet

Threats:
Hinatabot
Gobruteforcer_botnet
Kmsdbot_botnet
Mirai
Httpflood_technique
Udpflood_technique
Netcat_tool

Industry:
Iot

CVEs:
CVE-2014-8361 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: True
X-Force: Risk: 8.3
X-Force: Patch: Official fix
Soft:
- d-link dir-905l firmware (le1.02)
- d-link dir-605l firmware (le1.13, le2.04)
- d-link dir-600l firmware (le1.15, le2.05)
- realtek realtek sdk (-)
- d-link dir-619l firmware (le1.15, le2.03)
have more...
CVE-2017-17215 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Unavailable
Soft:
- huawei hg532 firmware (-)


IOCs:
File: 8
IP: 5
Hash: 20

Softs:
hadoop

Platforms:
amd64, mips

YARA: Found

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Исследователи безопасности компании Akamai недавно обнаружили новый ботнет на базе Go - HinataBot. Это вредоносное программное обеспечение активно обновляется и используется для проведения распределенных атак типа "отказ в обслуживании" (DDoS). HinataBot распространяется в виде двоичных файлов Go, которые могут работать на различных архитектурах и операционных системах. Распространение и командно-контрольные (C2) связи достигаются за счет использования старых уязвимостей и перебора слабых паролей.

HinataBot имеет две возможности атаки - HTTP и UDP-флуд. Он использует статические и рандомизированные поля заголовков в HTTP-атаке и 512 рабочих для UDP-флуда, отправляя 65 549 байт данных в одном пакете. Размер ботнета определяет силу атаки: 1 000 узлов способны на 336 Гбит/с, а 10 000 узлов - на 27 Гбит/с, обеспечивая 20,4 Мр/с.

Авторы вредоносного ПО используют многочисленные соглашения Go, такие как анонимные функции, goroutines, каналы, рабочие пулы и группы ожидания, что усложняет обратную атаку. Однако клиенты Akamai защищены от двух возможностей атак, которые поддерживает эта бот-сеть.

HinataBot - еще один пример растущего списка новых угроз на базе Go, в который входят такие ботнеты, как GoBruteForcer и kmsdbot. Считается, что он был разработан на основе Mirai, семейства вредоносных программ с открытым исходным кодом, которые начали нацеливаться на IoT-устройства. Несмотря на трудности, возникшие при обратной разработке полученных двоичных файлов, исследователи безопасности Akamai смогли создать импровизированный сервер C2, чтобы автоматизировать поддержание соединения и обеспечить быстрое тестирование.

В целом, HinataBot представляет собой растущую угрозу, которая подчеркивает необходимость бдительности в кибербезопасности, особенно когда речь идет о защите от DDoS-атак. К счастью, клиенты Akamai защищены от двух видов атак, которые поддерживает эта бот-сеть. Важно также отметить, что, хотя эта конкретная вредоносная программа все еще находится на стадии разработки и эволюционирует, исследователи безопасности Akamai используют инструменты автоматизированного анализа и методы обратной разработки, чтобы опережать события и защищать своих клиентов.

#ParsedReport
17-03-2023

QakBot eCrime Campaign Leverages Microsoft OneNote Attachments

https://www.crowdstrike.com/blog/qakbot-ecrime-campaign-leverages-microsoft-onenote-for-distribution

Actors/Campaigns:
Lunar_spider
Mallard_spider

Threats:
Qakbot
Motw_bypass_technique
Asyncrat_rat
Quasar_rat
Redline_stealer
Cobalt_strike
Icedid
Bumblebee

Industry:
Education

Geo:
Russian

CVEs:
CVE-2022-41091 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: True
X-Force: Risk: 5.4
X-Force: Patch: Official fix
Soft:
- microsoft windows 10 (1607, -, 1809, 20h2, 21h1, 21h2, 22h2)
- microsoft windows server 2016 (-)
- microsoft windows server 2019 (-)
- microsoft windows server 2022 (-)
- microsoft windows 11 (-, 22h2)
have more...

TTPs:

IOCs:
File: 6
Path: 2
Registry: 2
Hash: 4
Url: 4

Softs:
microsoft onenote, onenote, curl

Algorithms:
base64

Languages:
jscript, javascript

Platforms:
intel

Links:
https://github.com/DidierStevens/Beta/blob/master/onedump.py

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

С 2021 года противники используют вредоносные файлы, встроенные в документы ISO, Excel и OneNote, для распространения вредоносного ПО. В ответ Microsoft исправила уязвимость MOTW в файлах ISO и, вероятно, исправит уязвимости в других типах файлов. В начале января 2023 года противники eCrime начали использовать файлы OneNote для доставки полезной нагрузки. В эти файлы обычно встраиваются файлы приложений HTML (.HTA), командные файлы Windows (.CMD) или двоичные файлы .JSE, способные выполнять обфусцированный код для загрузки полезной нагрузки второго этапа из инфраструктуры злоумышленника. Полезная нагрузка обычно записывается на диск с расширениями .png, .tmp или .jpg и хранится в каталоге C:\ProgramData. Часто встречающиеся полезные нагрузки включают QakBot, AsyncRAT, QuasarRAT, Redline Stealer, LUNAR SPIDERs BokBot, Shindig и MALLARD SPIDERs QakBot.

Для смягчения последствий этих атак организациям следует блокировать файлы .one на шлюзах электронной почты, отслеживать подозрительные процессы, порождаемые OneNote, установить агент обнаружения и реагирования на конечных точках (EDR), проводить обучение конечных пользователей по вопросам фишинга, а также помечать электронные письма предупреждением о внешнем отправителе при получении с внешнего домена. Кроме того, следует помнить, что противники могут продолжать разрабатывать методы выполнения кода и, скорее всего, будут использовать вредоносные файлы, встроенные в другие типы файлов, такие как PDF, документы Word и файлы ZIP. Организациям важно сохранять бдительность и принимать меры по защите от этих вредоносных угроз.

#ParsedReport
17-03-2023

Recent Emotet Spam Campaign Utilizing New Tactics. MITRE ATT&CK Techniques

https://blog.cyble.com/2023/03/17/recent-emotet-spam-campaign-utilizing-new-tactics

Threats:
Emotet
Zipbomb_technique
Qakbot
Hiatusrat

Industry:
Financial

TTPs:
Tactics: 6
Technics: 13

IOCs:
Url: 12
File: 4
Hash: 4

Softs:
onenote

Algorithms:
zip

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Emotet - это сложная банковская вредоносная программа, которая сеет хаос по всему миру. Она распространяется через вложения электронной почты и предназначена для получения конфиденциальной информации, такой как пароли и банковские данные, и отправки их на командно-контрольный сервер (C&C). Cyble Research and Intelligence Labs (CRIL) следит за кампанией Emotet с тех пор, как она вновь появилась 7 марта после трех месяцев бездействия. Если раньше злоумышленники использовали вредоносные ZIP-архивы, содержащие файлы DOC, то в последней кампании Emotet изменил тактику и теперь использует вложения OneNote.

Вредоносное вложение OneNote работает путем отображения поддельной страницы OneNote при открытии. Двойной щелчок по ней запускает процесс заражения, который включает загрузку полезной нагрузки Emotet с заранее определенных URL-адресов. Часто это включает код для создания строк и список URL-адресов для загрузки полезной нагрузки Emotet. Наиболее часто используемые имена файлов для этих вложений OneNote указаны на картинке.

После загрузки полезной нагрузки Emotet незаметно запускается в фоновом режиме и устанавливает соединение с C&C-сервером. В результате злоумышленники получают доступ к конфиденциальным данным и используют их в своих интересах. Чтобы опередить организации, занимающиеся кибербезопасностью, злоумышленники постоянно меняют свою тактику и методы.

CRIL внимательно следит за активностью кампании Emotet и будет информировать читателей по мере ее развития. Ожидается, что после перерыва в несколько месяцев для распространения вредоносного ПО будут использоваться новые ТТП (тактики, методы и процедуры). Для защиты от таких угроз мы рекомендуем придерживаться основных методов обеспечения кибербезопасности, таких как использование надежных паролей, двухфакторная аутентификация и регулярное обновление программного обеспечения.

#ParsedReport
18-03-2023

Chaos Malware Quietly Evolves Persistence and Evasion Techniques

https://sysdig.com/blog/chaos-malware-persistence-evasion-techniques

Threats:
Kaiji

Industry:
Iot

Geo:
Chinese

TTPs:

IOCs:
File: 1
IP: 2
Hash: 19

Softs:
unix, systemd, crontab

Languages:
perl, golang

Platforms:
x64

Links:
https://github.com/ssdeep-project/ssdeep

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Вредоносная программа Chaos - это вариант ботнета Kaiji китайского происхождения, написанный на языке Go и способный атаковать операционные системы Windows и Linux, а также другие аппаратные архитектуры. Команда по исследованию угроз Sysdig наблюдала за атакой на неправильно сконфигурированную среду Apache Tomcat в середине января, а затем снова в конце февраля с некоторыми изменениями. Злоумышленники приложили все усилия, чтобы их вредоносная программа оставалась стойкой на своей цели, и даже применили тактику уклонения от защиты, которая обычно не встречается в Linux-вредоносных программах.

Анализ вредоносной программы показал, что она является развитием ботнета Kaiji и обладает теми же функциями, о которых сообщалось ранее. Она устанавливается через использование неправильно сконфигурированной среды Apache Tomcat, а затем переключается на установку различных механизмов персистенции. Это включает использование crontab для выполнения вредоносной программы каждую минуту, добавление функции shell в /etc/profile.d/, написание службы systemd для выполнения вредоносной программы при загрузке, а также создание копий самой вредоносной программы.

Злоумышленники также пытались скрыть присутствие вредоносной программы, используя sed для удаления имен собственных файлов из команды find. При сравнении с помощью ssdeep для нечеткого хэширования было обнаружено, что две версии вредоносной программы (32676 и 32678) сильно отличаются друг от друга; однако энтропийные графы показали очень схожее расположение двоичных файлов, что говорит о том, что угрожающий агент пытался обфусцировать код, но не вносил существенных изменений в его структуру или функциональность.

Из-за хаотичного именования этой вредоносной программы о ней очень мало информации с сентября 2022 года, что затрудняет выявление дополнительных вариантов вредоносной программы Chaos. Однако исправление начального вектора доступа (вероятно, CVE) должно помочь защитить от заражения, а простая перезагрузка в контейнерной среде избавит вас от этой бот-сети.

Алексей Викторович в своем посте задал хорошие и актуальные вопросы про использование ChatGPT в отечественных продуктах безопасности.
https://t.me/alukatsky/7663

Попробую пройтись по «чеклисту» 😊
1. Как они обошли запрет OpenAI на работу с Россией? И что будет, если такой обман вскроется? Вернут ли вам деньги за неработающий функционал?
То, что OpenAI не хочет получать деньги от отечественных компаний – это проблемы OpenAI, а не отечественных компаний. Есть 1000 способов обхода введенных ограничений. За прошедший год почти все компании, для кого критичны зарубежные сервисы, освоили эти способы.

2. Какие конкретно чувствительные данные о безопасности вашей организации передаются в иностранный облачный сервис?
Надо изначально понять как именно используется ChatGPT. Есть 2 формата:
1. Вы только спрашиваете, не предавая каких-то данных и используете те знания, которая получила моделька в процессе обучения.
2. Вы передаете какие-то данные и на основе своих знаний и ваших данных моделька генерит ответ.
Здесь я соглашусь, Заказчику важно знать как используется ChatGPT и что в него передается. Т.ч. этот вопрос точно надо задавать вендору.

3. Каким образом защищается передаваемая и обрабатываемая в ChatGPT информация?
OpenAI не гарантирует сохранность и безопасность данных на своей стороне. По крайней мере я не нашел никаких гарантий. Однако, если необходимы хоть какие-то гарантии, то OpenAI предлагает использовать сервис из Azure.

4. Кто и как проверяет корректность представляемой ChatGPT в качестве ответа информации?
Все зависит от того как используется ChatGPT. К примеру, если мы используем ChatGPT для генерации саммари по публичным TI-отчетам и снижаем уровень «креатива» модели до минимума, то модель сгенерирует саммари только опираясь на данные из предоставленного отчета.

5. Потребуется ли доработка ответов от ChatGPT?
Доработка потребуется в любом случае. Либо литературная, либо экспертная.

6. Насколько такая передача соответствует законодательству о запрете использования частей информационной системы за пределами РФ (для госов и значимых объектов КИИ)?
Соглашусь, в закрытых сегменах ChatGPT, в ее текущей облачной реализации, не применим.

7. Какие конкретно порты и протоколы должны быть разрешены на МСЭ, чтобы можно было пользоваться API-вызовами ChatGPT?
Ответ есть в документации по API

8. Кто формально будет считаться пользователем сервиса ChatGPT для компании OpenAI - вендор продукта, с ним взаимодействующего, или потребитель этого продукта?
Все зависит от формата взаимодействия (см п.2)

9. Является ли ChatGPT средством защиты информации в случае использования его в рамках какого-либо ИБ-продукта?
Является ли СУБД СЗИ, если она стоит в СЗИ. Является ли C++ СЗИ, если на нем написан СЗИ?

10. Как вендор планирует сертифицировать свой продукт с подключением к неконтролируемому ChatGPT?
А разве в реестре сертифицированных СЗИ нет систем мониторинга Дарк-нета? Проблематика очень схожая, если мы ничего не отправляем в ChatGPT.

11. Почему вендор не развивает собственное ИИ-направление, а пользуется иностранными наработками?
Если подобные языковые модели можно было бы так легко разработать Microsoft не тратил бы миллионы для инвестиции в OpenAI, а просто сделал свою модель.

#technique

Introducing Aladdin, a new tool and technique for red teamers to bypass misconfigured Windows Defender Application Control (WDAC) and AppLocker. Aladdin exploits a deserialisation issue over .NET remoting in order to execute code inside addinprocess.exe, bypassing a 2019 patch released by Microsoft in .NET Framework version 4.8.

https://labs.nettitude.com/blog/introducing-aladdin/

#ParsedReport
20-03-2023

Status of AhnLab Response to Korea-Germany Joint Cyber Security Advisory

https://asec.ahnlab.com/ko/49964

Actors/Campaigns:
Kimsuky (motivation: information_theft)

Threats:
Backdoor/js.agent.sc182439
Backdoor/js.agent.sc182438

Geo:
Korean, Korea, German

IOCs:
Hash: 6

Softs:
chromium, android

#ParsedReport
20-03-2023

ChinaZ DDoS Bot malware targeting Linux SSH servers

https://asec.ahnlab.com/ko/49845

Threats:
Chinaz
Xorddos
Dofloo_botnet
Billgates
Mrblack
Synflood_technique
Udpflood_technique
Trojan/win32.agent.r192331

Industry:
Iot

Geo:
China

TTPs:
Tactics: 1
Technics: 0

IOCs:
IP: 2
Url: 3
File: 2
Hash: 3
Domain: 1

Softs:
ms-sql

Functions:
prctl, uname

Platforms:
x86, x64

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Центр реагирования на чрезвычайные ситуации безопасности AhnLab (ASEC) недавно подтвердил, что вредоносная программа ChinaZ DDoS Bot устанавливается на SSH-серверах Linux, которые управляются плохо. Этот тип вредоносного кода был впервые обнаружен около 2014 года и использовался группой атак ChinaZ для атак на системы Windows и Linux. Различные DDoS-боты, созданные этой группой, включают XorDDoS, AESDDos, BillGates, MrBlack и т.д., при этом ChinaZ или ChinaZ DDoSClient находится в центре внимания данной статьи.

Серверы в основном отвечают за предоставление определенных услуг, и злоумышленники используют другие методы, поскольку распространение вредоносных кодов таким способом ограничено. Атакам подвергаются службы, уязвимые к атакам из-за плохого управления или отсутствия исправлений до последней версии, например, протокол удаленного рабочего стола (RDP) и MS-SQL для ОС Windows, Secure Shell (SSH) и Telnet для ОС Linux. В случае с ChinaZ предполагается, что он был установлен с помощью информации, полученной от сканеров и вредоносного ПО SSH BruteForce. После входа в систему злоумышленники отключают iptables, который является брандмауэром, а затем используют wget для установки ChinaZ DDoSClient, созданного для архитектуры x86 и x64. После запуска и регистрации в rc.local он может продолжать свою работу даже после перезагрузки.

ChinaZ - это вредоносная программа с открытым исходным кодом, которая при выполнении маскируется под процесс под названием declient. Он получает адрес сервера C&C через процедуру дешифровки и собирает основную информацию о зараженной системе перед отправкой ее на сервер C&C. После получения команд от злоумышленника он может выполнять вредоносные действия, такие как атаки SYN, UDP, ICMP и DNS Flood. Что касается версии для Windows, то он копирует себя как Declient.exe по пути %SystemRoot% и регистрирует его в ключе Run, чтобы запускать себя после перезагрузки.

#ParsedReport
20-03-2023

OneNote malware disguised as reward payment (Kimsuky)

https://asec.ahnlab.com/ko/49843

Actors/Campaigns:
Kimsuky

Threats:
Trojan/vbs.generic.sc186657

Industry:
Financial

Geo:
Korean

IOCs:
File: 3
Url: 2
Hash: 2

Softs:
onenote

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Недавно Центр реагирования на чрезвычайные ситуации безопасности AhnLab (ASEC) обнаружил вредоносный код, замаскированный под файл выплаты вознаграждения, распространяемый группой Kimsuky. Вредоносный код выполнен в виде файла OneNote и содержит контент, связанный с выплатой вознаграждения, побуждая пользователей нажать на прикрепленный корейский документ. После выполнения файла OneNote и нажатия пользователем на местоположение корейского документа создается вредоносный VBS-файл с именем personal.vbs, который запускается по временному пути. Вредоносный VBS-файл содержит обфусцированные команды, которые расшифровываются и затем выполняются, нанося потенциальный вред компьютеру или сети.

Вредоносный код в основном распространяется по электронной почте, маскируясь под форму вознаграждения или форму личной информации. Этот вредоносный код является одной из нескольких форм, используемых группой Kimsuky, включая файлы CHM, LNK и OneNote. Поэтому пользователи должны знать об угрозе и проявлять осторожность при получении и выполнении подозрительных вложений. Им следует быть особенно осторожными при работе с электронными письмами, которые, по всей видимости, связаны с выплатой вознаграждений или заполнением анкет с личной информацией.

#ParsedReport
20-03-2023

EvilQuest macOS Ransomware. Mac OS Malware Analysis

https://amr-git-dot.github.io/malware%20analysis/EvilQuest

Threats:
Evilquest

TTPs:
Tactics: 1
Technics: 0

Softs:
macos, mac os, sysctl, unix

Platforms:
x64