#ParsedReport
18-03-2023

BianLian Ransomware Gang Continues to Evolve

https://redacted.com/blog/bianlian-ransomware-gang-continues-to-evolve

Threats:
Hydra

Industry:
Education, Healthcare, Government, Financial

IOCs:
Hash: 46
IP: 121

Algorithms:
exhibit

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Лорен - старший исследователь угроз в компании redacted, где она с удовольствием охотится за плохими парнями, изучая их методы работы и инфраструктуру. Дэнни Квист - директор по специальным проектам в компании redacted . В течение последних шести месяцев они исследовали группу BianLian, занимающуюся распространением программ-вымогателей. Группа продолжает использовать очень похожие тактику, технику и процедуры (ТТП), подробно описанные в их первом отчете, для осуществления первоначального доступа и латерального перемещения в сети жертвы. BianLian сместила акцент своих атак с выкупа зашифрованных файлов на вымогательство утечки данных в качестве средства получения платежей от жертв. Более того, они пытаются усилить эффективность этих угроз вымогательства, адаптируя сообщения, доставляемые конкретным жертвам, чтобы усилить давление на организации.

BianLian скомпилировал бэкдор, написанный на языке Go, который предоставляет еще одно средство удаленного доступа к взломанной сети и поддержания командно-контрольного (C2) сервера. Каждый месяц группа вводит в строй около 30 новых C2-серверов, а средняя продолжительность жизни C2-сервера составляет около двух недель. По состоянию на 13 марта 2023 года BianLian подробно описала 118 организаций-жертв на своем сайте утечек, причем здравоохранение является самой крупной отраслью, пострадавшей от действий группы. Большинство их жертв находятся в США.

На выпуск компанией Avast инструмента для дешифровки BianLian ответила удалением заметки с признанием этого с их сайта утечки. Они также обещают не сливать украденные данные, если им заплатят. Более того, они публикуют замаскированные данные жертв уже через 10 дней после первоначальной компрометации, иногда в течение 48 часов.

#ParsedReport
18-03-2023

Executive summary. Uncovering HinataBot: A Deep Dive into a Go-Based Threat

https://www.akamai.com/blog/security-research/hinatabot-uncovering-new-golang-ddos-botnet

Threats:
Hinatabot
Gobruteforcer_botnet
Kmsdbot_botnet
Mirai
Httpflood_technique
Udpflood_technique
Netcat_tool

Industry:
Iot

CVEs:
CVE-2014-8361 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: True
X-Force: Risk: 8.3
X-Force: Patch: Official fix
Soft:
- d-link dir-905l firmware (le1.02)
- d-link dir-605l firmware (le1.13, le2.04)
- d-link dir-600l firmware (le1.15, le2.05)
- realtek realtek sdk (-)
- d-link dir-619l firmware (le1.15, le2.03)
have more...
CVE-2017-17215 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Unavailable
Soft:
- huawei hg532 firmware (-)


IOCs:
File: 8
IP: 5
Hash: 20

Softs:
hadoop

Platforms:
amd64, mips

YARA: Found

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Исследователи безопасности компании Akamai недавно обнаружили новый ботнет на базе Go - HinataBot. Это вредоносное программное обеспечение активно обновляется и используется для проведения распределенных атак типа "отказ в обслуживании" (DDoS). HinataBot распространяется в виде двоичных файлов Go, которые могут работать на различных архитектурах и операционных системах. Распространение и командно-контрольные (C2) связи достигаются за счет использования старых уязвимостей и перебора слабых паролей.

HinataBot имеет две возможности атаки - HTTP и UDP-флуд. Он использует статические и рандомизированные поля заголовков в HTTP-атаке и 512 рабочих для UDP-флуда, отправляя 65 549 байт данных в одном пакете. Размер ботнета определяет силу атаки: 1 000 узлов способны на 336 Гбит/с, а 10 000 узлов - на 27 Гбит/с, обеспечивая 20,4 Мр/с.

Авторы вредоносного ПО используют многочисленные соглашения Go, такие как анонимные функции, goroutines, каналы, рабочие пулы и группы ожидания, что усложняет обратную атаку. Однако клиенты Akamai защищены от двух возможностей атак, которые поддерживает эта бот-сеть.

HinataBot - еще один пример растущего списка новых угроз на базе Go, в который входят такие ботнеты, как GoBruteForcer и kmsdbot. Считается, что он был разработан на основе Mirai, семейства вредоносных программ с открытым исходным кодом, которые начали нацеливаться на IoT-устройства. Несмотря на трудности, возникшие при обратной разработке полученных двоичных файлов, исследователи безопасности Akamai смогли создать импровизированный сервер C2, чтобы автоматизировать поддержание соединения и обеспечить быстрое тестирование.

В целом, HinataBot представляет собой растущую угрозу, которая подчеркивает необходимость бдительности в кибербезопасности, особенно когда речь идет о защите от DDoS-атак. К счастью, клиенты Akamai защищены от двух видов атак, которые поддерживает эта бот-сеть. Важно также отметить, что, хотя эта конкретная вредоносная программа все еще находится на стадии разработки и эволюционирует, исследователи безопасности Akamai используют инструменты автоматизированного анализа и методы обратной разработки, чтобы опережать события и защищать своих клиентов.

#ParsedReport
17-03-2023

QakBot eCrime Campaign Leverages Microsoft OneNote Attachments

https://www.crowdstrike.com/blog/qakbot-ecrime-campaign-leverages-microsoft-onenote-for-distribution

Actors/Campaigns:
Lunar_spider
Mallard_spider

Threats:
Qakbot
Motw_bypass_technique
Asyncrat_rat
Quasar_rat
Redline_stealer
Cobalt_strike
Icedid
Bumblebee

Industry:
Education

Geo:
Russian

CVEs:
CVE-2022-41091 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: True
X-Force: Risk: 5.4
X-Force: Patch: Official fix
Soft:
- microsoft windows 10 (1607, -, 1809, 20h2, 21h1, 21h2, 22h2)
- microsoft windows server 2016 (-)
- microsoft windows server 2019 (-)
- microsoft windows server 2022 (-)
- microsoft windows 11 (-, 22h2)
have more...

TTPs:

IOCs:
File: 6
Path: 2
Registry: 2
Hash: 4
Url: 4

Softs:
microsoft onenote, onenote, curl

Algorithms:
base64

Languages:
jscript, javascript

Platforms:
intel

Links:
https://github.com/DidierStevens/Beta/blob/master/onedump.py

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

С 2021 года противники используют вредоносные файлы, встроенные в документы ISO, Excel и OneNote, для распространения вредоносного ПО. В ответ Microsoft исправила уязвимость MOTW в файлах ISO и, вероятно, исправит уязвимости в других типах файлов. В начале января 2023 года противники eCrime начали использовать файлы OneNote для доставки полезной нагрузки. В эти файлы обычно встраиваются файлы приложений HTML (.HTA), командные файлы Windows (.CMD) или двоичные файлы .JSE, способные выполнять обфусцированный код для загрузки полезной нагрузки второго этапа из инфраструктуры злоумышленника. Полезная нагрузка обычно записывается на диск с расширениями .png, .tmp или .jpg и хранится в каталоге C:\ProgramData. Часто встречающиеся полезные нагрузки включают QakBot, AsyncRAT, QuasarRAT, Redline Stealer, LUNAR SPIDERs BokBot, Shindig и MALLARD SPIDERs QakBot.

Для смягчения последствий этих атак организациям следует блокировать файлы .one на шлюзах электронной почты, отслеживать подозрительные процессы, порождаемые OneNote, установить агент обнаружения и реагирования на конечных точках (EDR), проводить обучение конечных пользователей по вопросам фишинга, а также помечать электронные письма предупреждением о внешнем отправителе при получении с внешнего домена. Кроме того, следует помнить, что противники могут продолжать разрабатывать методы выполнения кода и, скорее всего, будут использовать вредоносные файлы, встроенные в другие типы файлов, такие как PDF, документы Word и файлы ZIP. Организациям важно сохранять бдительность и принимать меры по защите от этих вредоносных угроз.

#ParsedReport
17-03-2023

Recent Emotet Spam Campaign Utilizing New Tactics. MITRE ATT&CK Techniques

https://blog.cyble.com/2023/03/17/recent-emotet-spam-campaign-utilizing-new-tactics

Threats:
Emotet
Zipbomb_technique
Qakbot
Hiatusrat

Industry:
Financial

TTPs:
Tactics: 6
Technics: 13

IOCs:
Url: 12
File: 4
Hash: 4

Softs:
onenote

Algorithms:
zip

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Emotet - это сложная банковская вредоносная программа, которая сеет хаос по всему миру. Она распространяется через вложения электронной почты и предназначена для получения конфиденциальной информации, такой как пароли и банковские данные, и отправки их на командно-контрольный сервер (C&C). Cyble Research and Intelligence Labs (CRIL) следит за кампанией Emotet с тех пор, как она вновь появилась 7 марта после трех месяцев бездействия. Если раньше злоумышленники использовали вредоносные ZIP-архивы, содержащие файлы DOC, то в последней кампании Emotet изменил тактику и теперь использует вложения OneNote.

Вредоносное вложение OneNote работает путем отображения поддельной страницы OneNote при открытии. Двойной щелчок по ней запускает процесс заражения, который включает загрузку полезной нагрузки Emotet с заранее определенных URL-адресов. Часто это включает код для создания строк и список URL-адресов для загрузки полезной нагрузки Emotet. Наиболее часто используемые имена файлов для этих вложений OneNote указаны на картинке.

После загрузки полезной нагрузки Emotet незаметно запускается в фоновом режиме и устанавливает соединение с C&C-сервером. В результате злоумышленники получают доступ к конфиденциальным данным и используют их в своих интересах. Чтобы опередить организации, занимающиеся кибербезопасностью, злоумышленники постоянно меняют свою тактику и методы.

CRIL внимательно следит за активностью кампании Emotet и будет информировать читателей по мере ее развития. Ожидается, что после перерыва в несколько месяцев для распространения вредоносного ПО будут использоваться новые ТТП (тактики, методы и процедуры). Для защиты от таких угроз мы рекомендуем придерживаться основных методов обеспечения кибербезопасности, таких как использование надежных паролей, двухфакторная аутентификация и регулярное обновление программного обеспечения.

#ParsedReport
18-03-2023

Chaos Malware Quietly Evolves Persistence and Evasion Techniques

https://sysdig.com/blog/chaos-malware-persistence-evasion-techniques

Threats:
Kaiji

Industry:
Iot

Geo:
Chinese

TTPs:

IOCs:
File: 1
IP: 2
Hash: 19

Softs:
unix, systemd, crontab

Languages:
perl, golang

Platforms:
x64

Links:
https://github.com/ssdeep-project/ssdeep

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Вредоносная программа Chaos - это вариант ботнета Kaiji китайского происхождения, написанный на языке Go и способный атаковать операционные системы Windows и Linux, а также другие аппаратные архитектуры. Команда по исследованию угроз Sysdig наблюдала за атакой на неправильно сконфигурированную среду Apache Tomcat в середине января, а затем снова в конце февраля с некоторыми изменениями. Злоумышленники приложили все усилия, чтобы их вредоносная программа оставалась стойкой на своей цели, и даже применили тактику уклонения от защиты, которая обычно не встречается в Linux-вредоносных программах.

Анализ вредоносной программы показал, что она является развитием ботнета Kaiji и обладает теми же функциями, о которых сообщалось ранее. Она устанавливается через использование неправильно сконфигурированной среды Apache Tomcat, а затем переключается на установку различных механизмов персистенции. Это включает использование crontab для выполнения вредоносной программы каждую минуту, добавление функции shell в /etc/profile.d/, написание службы systemd для выполнения вредоносной программы при загрузке, а также создание копий самой вредоносной программы.

Злоумышленники также пытались скрыть присутствие вредоносной программы, используя sed для удаления имен собственных файлов из команды find. При сравнении с помощью ssdeep для нечеткого хэширования было обнаружено, что две версии вредоносной программы (32676 и 32678) сильно отличаются друг от друга; однако энтропийные графы показали очень схожее расположение двоичных файлов, что говорит о том, что угрожающий агент пытался обфусцировать код, но не вносил существенных изменений в его структуру или функциональность.

Из-за хаотичного именования этой вредоносной программы о ней очень мало информации с сентября 2022 года, что затрудняет выявление дополнительных вариантов вредоносной программы Chaos. Однако исправление начального вектора доступа (вероятно, CVE) должно помочь защитить от заражения, а простая перезагрузка в контейнерной среде избавит вас от этой бот-сети.

Алексей Викторович в своем посте задал хорошие и актуальные вопросы про использование ChatGPT в отечественных продуктах безопасности.
https://t.me/alukatsky/7663

Попробую пройтись по «чеклисту» 😊
1. Как они обошли запрет OpenAI на работу с Россией? И что будет, если такой обман вскроется? Вернут ли вам деньги за неработающий функционал?
То, что OpenAI не хочет получать деньги от отечественных компаний – это проблемы OpenAI, а не отечественных компаний. Есть 1000 способов обхода введенных ограничений. За прошедший год почти все компании, для кого критичны зарубежные сервисы, освоили эти способы.

2. Какие конкретно чувствительные данные о безопасности вашей организации передаются в иностранный облачный сервис?
Надо изначально понять как именно используется ChatGPT. Есть 2 формата:
1. Вы только спрашиваете, не предавая каких-то данных и используете те знания, которая получила моделька в процессе обучения.
2. Вы передаете какие-то данные и на основе своих знаний и ваших данных моделька генерит ответ.
Здесь я соглашусь, Заказчику важно знать как используется ChatGPT и что в него передается. Т.ч. этот вопрос точно надо задавать вендору.

3. Каким образом защищается передаваемая и обрабатываемая в ChatGPT информация?
OpenAI не гарантирует сохранность и безопасность данных на своей стороне. По крайней мере я не нашел никаких гарантий. Однако, если необходимы хоть какие-то гарантии, то OpenAI предлагает использовать сервис из Azure.

4. Кто и как проверяет корректность представляемой ChatGPT в качестве ответа информации?
Все зависит от того как используется ChatGPT. К примеру, если мы используем ChatGPT для генерации саммари по публичным TI-отчетам и снижаем уровень «креатива» модели до минимума, то модель сгенерирует саммари только опираясь на данные из предоставленного отчета.

5. Потребуется ли доработка ответов от ChatGPT?
Доработка потребуется в любом случае. Либо литературная, либо экспертная.

6. Насколько такая передача соответствует законодательству о запрете использования частей информационной системы за пределами РФ (для госов и значимых объектов КИИ)?
Соглашусь, в закрытых сегменах ChatGPT, в ее текущей облачной реализации, не применим.

7. Какие конкретно порты и протоколы должны быть разрешены на МСЭ, чтобы можно было пользоваться API-вызовами ChatGPT?
Ответ есть в документации по API

8. Кто формально будет считаться пользователем сервиса ChatGPT для компании OpenAI - вендор продукта, с ним взаимодействующего, или потребитель этого продукта?
Все зависит от формата взаимодействия (см п.2)

9. Является ли ChatGPT средством защиты информации в случае использования его в рамках какого-либо ИБ-продукта?
Является ли СУБД СЗИ, если она стоит в СЗИ. Является ли C++ СЗИ, если на нем написан СЗИ?

10. Как вендор планирует сертифицировать свой продукт с подключением к неконтролируемому ChatGPT?
А разве в реестре сертифицированных СЗИ нет систем мониторинга Дарк-нета? Проблематика очень схожая, если мы ничего не отправляем в ChatGPT.

11. Почему вендор не развивает собственное ИИ-направление, а пользуется иностранными наработками?
Если подобные языковые модели можно было бы так легко разработать Microsoft не тратил бы миллионы для инвестиции в OpenAI, а просто сделал свою модель.

#technique

Introducing Aladdin, a new tool and technique for red teamers to bypass misconfigured Windows Defender Application Control (WDAC) and AppLocker. Aladdin exploits a deserialisation issue over .NET remoting in order to execute code inside addinprocess.exe, bypassing a 2019 patch released by Microsoft in .NET Framework version 4.8.

https://labs.nettitude.com/blog/introducing-aladdin/

#ParsedReport
20-03-2023

Status of AhnLab Response to Korea-Germany Joint Cyber Security Advisory

https://asec.ahnlab.com/ko/49964

Actors/Campaigns:
Kimsuky (motivation: information_theft)

Threats:
Backdoor/js.agent.sc182439
Backdoor/js.agent.sc182438

Geo:
Korean, Korea, German

IOCs:
Hash: 6

Softs:
chromium, android

#ParsedReport
20-03-2023

ChinaZ DDoS Bot malware targeting Linux SSH servers

https://asec.ahnlab.com/ko/49845

Threats:
Chinaz
Xorddos
Dofloo_botnet
Billgates
Mrblack
Synflood_technique
Udpflood_technique
Trojan/win32.agent.r192331

Industry:
Iot

Geo:
China

TTPs:
Tactics: 1
Technics: 0

IOCs:
IP: 2
Url: 3
File: 2
Hash: 3
Domain: 1

Softs:
ms-sql

Functions:
prctl, uname

Platforms:
x86, x64

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Центр реагирования на чрезвычайные ситуации безопасности AhnLab (ASEC) недавно подтвердил, что вредоносная программа ChinaZ DDoS Bot устанавливается на SSH-серверах Linux, которые управляются плохо. Этот тип вредоносного кода был впервые обнаружен около 2014 года и использовался группой атак ChinaZ для атак на системы Windows и Linux. Различные DDoS-боты, созданные этой группой, включают XorDDoS, AESDDos, BillGates, MrBlack и т.д., при этом ChinaZ или ChinaZ DDoSClient находится в центре внимания данной статьи.

Серверы в основном отвечают за предоставление определенных услуг, и злоумышленники используют другие методы, поскольку распространение вредоносных кодов таким способом ограничено. Атакам подвергаются службы, уязвимые к атакам из-за плохого управления или отсутствия исправлений до последней версии, например, протокол удаленного рабочего стола (RDP) и MS-SQL для ОС Windows, Secure Shell (SSH) и Telnet для ОС Linux. В случае с ChinaZ предполагается, что он был установлен с помощью информации, полученной от сканеров и вредоносного ПО SSH BruteForce. После входа в систему злоумышленники отключают iptables, который является брандмауэром, а затем используют wget для установки ChinaZ DDoSClient, созданного для архитектуры x86 и x64. После запуска и регистрации в rc.local он может продолжать свою работу даже после перезагрузки.

ChinaZ - это вредоносная программа с открытым исходным кодом, которая при выполнении маскируется под процесс под названием declient. Он получает адрес сервера C&C через процедуру дешифровки и собирает основную информацию о зараженной системе перед отправкой ее на сервер C&C. После получения команд от злоумышленника он может выполнять вредоносные действия, такие как атаки SYN, UDP, ICMP и DNS Flood. Что касается версии для Windows, то он копирует себя как Declient.exe по пути %SystemRoot% и регистрирует его в ключе Run, чтобы запускать себя после перезагрузки.

#ParsedReport
20-03-2023

OneNote malware disguised as reward payment (Kimsuky)

https://asec.ahnlab.com/ko/49843

Actors/Campaigns:
Kimsuky

Threats:
Trojan/vbs.generic.sc186657

Industry:
Financial

Geo:
Korean

IOCs:
File: 3
Url: 2
Hash: 2

Softs:
onenote

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Недавно Центр реагирования на чрезвычайные ситуации безопасности AhnLab (ASEC) обнаружил вредоносный код, замаскированный под файл выплаты вознаграждения, распространяемый группой Kimsuky. Вредоносный код выполнен в виде файла OneNote и содержит контент, связанный с выплатой вознаграждения, побуждая пользователей нажать на прикрепленный корейский документ. После выполнения файла OneNote и нажатия пользователем на местоположение корейского документа создается вредоносный VBS-файл с именем personal.vbs, который запускается по временному пути. Вредоносный VBS-файл содержит обфусцированные команды, которые расшифровываются и затем выполняются, нанося потенциальный вред компьютеру или сети.

Вредоносный код в основном распространяется по электронной почте, маскируясь под форму вознаграждения или форму личной информации. Этот вредоносный код является одной из нескольких форм, используемых группой Kimsuky, включая файлы CHM, LNK и OneNote. Поэтому пользователи должны знать об угрозе и проявлять осторожность при получении и выполнении подозрительных вложений. Им следует быть особенно осторожными при работе с электронными письмами, которые, по всей видимости, связаны с выплатой вознаграждений или заполнением анкет с личной информацией.

#ParsedReport
20-03-2023

EvilQuest macOS Ransomware. Mac OS Malware Analysis

https://amr-git-dot.github.io/malware%20analysis/EvilQuest

Threats:
Evilquest

TTPs:
Tactics: 1
Technics: 0

Softs:
macos, mac os, sysctl, unix

Platforms:
x64

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

EvilQuest ransomware ведет себя по-разному на MacOS и Windows OS.

После загрузки образца вредоносной программы она начинает с расшифровки домена C2 с параметром "silent" и сбора информации о зараженном хосте, после чего создает службу в Windows или Launch Agent в MacOS.

Затем он проверяет наличие виртуальной среды, прежде чем продолжить свою деятельность.

Формат файла для исполняемых файлов Mach-O и команды загрузки используются для определения назначения вредоносной программы и ее поведения в обеих операционных системах.

Понимание внутреннего устройства вредоносной программы может помочь исследователям и специалистам по безопасности лучше анализировать вредоносный код и разрабатывать контрмеры для защиты от подобных атак.

#ParsedReport
20-03-2023

ALC SCAREWARE PRETENDS TO BE A RANSOMWARE

https://www.cyfirma.com/outofband/alc-scareware-pretends-to-be-a-ransomware

Threats:
Hostile

Industry:
Financial

Geo:
Ukraine, China, Russia, Rus, Korea, Iran

TTPs:
Tactics: 6
Technics: 7

IOCs:
Hash: 8
File: 3
Coin: 1
Email: 1

Softs:
telegram

Functions:
SetTaskManager

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Исследовательская группа CYFIRMA обнаружила в природе вредоносный образец, который маскируется под ransomware, но на самом деле является программой-пугалкой. ALC Ransomware не шифрует файлы на компьютере жертвы, а отключает диспетчер задач и блокирует экран, отображая записку с требованием выкупа. В записке упоминается, что вредоносная программа нацелена на Россию и ее партнеров, что указывает на то, что группа или злоумышленники, стоящие за этим образцом, могут быть связаны с государством, враждебно настроенным по отношению к России.

Вредоносная программа выполняется быстро, и ей требуется всего несколько секунд, чтобы эффективно заблокировать экран. После выполнения она сбрасывает на целевую машину несколько файлов, включая полезную нагрузку AlcDif.exe, запись в реестре для сохранения и два других файла - Pey и ALCKEY. Записка с выкупом предписывает жертвам заплатить выкуп в размере 554 XMR (эквивалент примерно 83 680 долларов США) на криптокошелек злоумышленников и связаться с ними по адресу Alc@cock.li. В записке также упоминается, что расшифровка невозможна по истечении недели, а через два дня сумма к оплате удваивается.

Несмотря на то, что вредоносное ПО плохо разработано и не обладает достаточной изощренностью, оно все равно может нанести значительный ущерб. Исследовательская группа CYFIRMA постоянно отслеживает и анализирует новые штаммы вредоносных программ и их поведение, чтобы дать киберзащитникам возможность лучше защитить своих клиентов от подобных атак.