#ParsedReport
18-03-2023

Chaos Malware Quietly Evolves Persistence and Evasion Techniques

https://sysdig.com/blog/chaos-malware-persistence-evasion-techniques

Threats:
Kaiji

Industry:
Iot

Geo:
Chinese

TTPs:

IOCs:
File: 1
IP: 2
Hash: 19

Softs:
unix, systemd, crontab

Languages:
perl, golang

Platforms:
x64

Links:
https://github.com/ssdeep-project/ssdeep

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Вредоносная программа Chaos - это вариант ботнета Kaiji китайского происхождения, написанный на языке Go и способный атаковать операционные системы Windows и Linux, а также другие аппаратные архитектуры. Команда по исследованию угроз Sysdig наблюдала за атакой на неправильно сконфигурированную среду Apache Tomcat в середине января, а затем снова в конце февраля с некоторыми изменениями. Злоумышленники приложили все усилия, чтобы их вредоносная программа оставалась стойкой на своей цели, и даже применили тактику уклонения от защиты, которая обычно не встречается в Linux-вредоносных программах.

Анализ вредоносной программы показал, что она является развитием ботнета Kaiji и обладает теми же функциями, о которых сообщалось ранее. Она устанавливается через использование неправильно сконфигурированной среды Apache Tomcat, а затем переключается на установку различных механизмов персистенции. Это включает использование crontab для выполнения вредоносной программы каждую минуту, добавление функции shell в /etc/profile.d/, написание службы systemd для выполнения вредоносной программы при загрузке, а также создание копий самой вредоносной программы.

Злоумышленники также пытались скрыть присутствие вредоносной программы, используя sed для удаления имен собственных файлов из команды find. При сравнении с помощью ssdeep для нечеткого хэширования было обнаружено, что две версии вредоносной программы (32676 и 32678) сильно отличаются друг от друга; однако энтропийные графы показали очень схожее расположение двоичных файлов, что говорит о том, что угрожающий агент пытался обфусцировать код, но не вносил существенных изменений в его структуру или функциональность.

Из-за хаотичного именования этой вредоносной программы о ней очень мало информации с сентября 2022 года, что затрудняет выявление дополнительных вариантов вредоносной программы Chaos. Однако исправление начального вектора доступа (вероятно, CVE) должно помочь защитить от заражения, а простая перезагрузка в контейнерной среде избавит вас от этой бот-сети.

Алексей Викторович в своем посте задал хорошие и актуальные вопросы про использование ChatGPT в отечественных продуктах безопасности.
https://t.me/alukatsky/7663

Попробую пройтись по «чеклисту» 😊
1. Как они обошли запрет OpenAI на работу с Россией? И что будет, если такой обман вскроется? Вернут ли вам деньги за неработающий функционал?
То, что OpenAI не хочет получать деньги от отечественных компаний – это проблемы OpenAI, а не отечественных компаний. Есть 1000 способов обхода введенных ограничений. За прошедший год почти все компании, для кого критичны зарубежные сервисы, освоили эти способы.

2. Какие конкретно чувствительные данные о безопасности вашей организации передаются в иностранный облачный сервис?
Надо изначально понять как именно используется ChatGPT. Есть 2 формата:
1. Вы только спрашиваете, не предавая каких-то данных и используете те знания, которая получила моделька в процессе обучения.
2. Вы передаете какие-то данные и на основе своих знаний и ваших данных моделька генерит ответ.
Здесь я соглашусь, Заказчику важно знать как используется ChatGPT и что в него передается. Т.ч. этот вопрос точно надо задавать вендору.

3. Каким образом защищается передаваемая и обрабатываемая в ChatGPT информация?
OpenAI не гарантирует сохранность и безопасность данных на своей стороне. По крайней мере я не нашел никаких гарантий. Однако, если необходимы хоть какие-то гарантии, то OpenAI предлагает использовать сервис из Azure.

4. Кто и как проверяет корректность представляемой ChatGPT в качестве ответа информации?
Все зависит от того как используется ChatGPT. К примеру, если мы используем ChatGPT для генерации саммари по публичным TI-отчетам и снижаем уровень «креатива» модели до минимума, то модель сгенерирует саммари только опираясь на данные из предоставленного отчета.

5. Потребуется ли доработка ответов от ChatGPT?
Доработка потребуется в любом случае. Либо литературная, либо экспертная.

6. Насколько такая передача соответствует законодательству о запрете использования частей информационной системы за пределами РФ (для госов и значимых объектов КИИ)?
Соглашусь, в закрытых сегменах ChatGPT, в ее текущей облачной реализации, не применим.

7. Какие конкретно порты и протоколы должны быть разрешены на МСЭ, чтобы можно было пользоваться API-вызовами ChatGPT?
Ответ есть в документации по API

8. Кто формально будет считаться пользователем сервиса ChatGPT для компании OpenAI - вендор продукта, с ним взаимодействующего, или потребитель этого продукта?
Все зависит от формата взаимодействия (см п.2)

9. Является ли ChatGPT средством защиты информации в случае использования его в рамках какого-либо ИБ-продукта?
Является ли СУБД СЗИ, если она стоит в СЗИ. Является ли C++ СЗИ, если на нем написан СЗИ?

10. Как вендор планирует сертифицировать свой продукт с подключением к неконтролируемому ChatGPT?
А разве в реестре сертифицированных СЗИ нет систем мониторинга Дарк-нета? Проблематика очень схожая, если мы ничего не отправляем в ChatGPT.

11. Почему вендор не развивает собственное ИИ-направление, а пользуется иностранными наработками?
Если подобные языковые модели можно было бы так легко разработать Microsoft не тратил бы миллионы для инвестиции в OpenAI, а просто сделал свою модель.

#technique

Introducing Aladdin, a new tool and technique for red teamers to bypass misconfigured Windows Defender Application Control (WDAC) and AppLocker. Aladdin exploits a deserialisation issue over .NET remoting in order to execute code inside addinprocess.exe, bypassing a 2019 patch released by Microsoft in .NET Framework version 4.8.

https://labs.nettitude.com/blog/introducing-aladdin/

#ParsedReport
20-03-2023

Status of AhnLab Response to Korea-Germany Joint Cyber Security Advisory

https://asec.ahnlab.com/ko/49964

Actors/Campaigns:
Kimsuky (motivation: information_theft)

Threats:
Backdoor/js.agent.sc182439
Backdoor/js.agent.sc182438

Geo:
Korean, Korea, German

IOCs:
Hash: 6

Softs:
chromium, android

#ParsedReport
20-03-2023

ChinaZ DDoS Bot malware targeting Linux SSH servers

https://asec.ahnlab.com/ko/49845

Threats:
Chinaz
Xorddos
Dofloo_botnet
Billgates
Mrblack
Synflood_technique
Udpflood_technique
Trojan/win32.agent.r192331

Industry:
Iot

Geo:
China

TTPs:
Tactics: 1
Technics: 0

IOCs:
IP: 2
Url: 3
File: 2
Hash: 3
Domain: 1

Softs:
ms-sql

Functions:
prctl, uname

Platforms:
x86, x64

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Центр реагирования на чрезвычайные ситуации безопасности AhnLab (ASEC) недавно подтвердил, что вредоносная программа ChinaZ DDoS Bot устанавливается на SSH-серверах Linux, которые управляются плохо. Этот тип вредоносного кода был впервые обнаружен около 2014 года и использовался группой атак ChinaZ для атак на системы Windows и Linux. Различные DDoS-боты, созданные этой группой, включают XorDDoS, AESDDos, BillGates, MrBlack и т.д., при этом ChinaZ или ChinaZ DDoSClient находится в центре внимания данной статьи.

Серверы в основном отвечают за предоставление определенных услуг, и злоумышленники используют другие методы, поскольку распространение вредоносных кодов таким способом ограничено. Атакам подвергаются службы, уязвимые к атакам из-за плохого управления или отсутствия исправлений до последней версии, например, протокол удаленного рабочего стола (RDP) и MS-SQL для ОС Windows, Secure Shell (SSH) и Telnet для ОС Linux. В случае с ChinaZ предполагается, что он был установлен с помощью информации, полученной от сканеров и вредоносного ПО SSH BruteForce. После входа в систему злоумышленники отключают iptables, который является брандмауэром, а затем используют wget для установки ChinaZ DDoSClient, созданного для архитектуры x86 и x64. После запуска и регистрации в rc.local он может продолжать свою работу даже после перезагрузки.

ChinaZ - это вредоносная программа с открытым исходным кодом, которая при выполнении маскируется под процесс под названием declient. Он получает адрес сервера C&C через процедуру дешифровки и собирает основную информацию о зараженной системе перед отправкой ее на сервер C&C. После получения команд от злоумышленника он может выполнять вредоносные действия, такие как атаки SYN, UDP, ICMP и DNS Flood. Что касается версии для Windows, то он копирует себя как Declient.exe по пути %SystemRoot% и регистрирует его в ключе Run, чтобы запускать себя после перезагрузки.

#ParsedReport
20-03-2023

OneNote malware disguised as reward payment (Kimsuky)

https://asec.ahnlab.com/ko/49843

Actors/Campaigns:
Kimsuky

Threats:
Trojan/vbs.generic.sc186657

Industry:
Financial

Geo:
Korean

IOCs:
File: 3
Url: 2
Hash: 2

Softs:
onenote

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Недавно Центр реагирования на чрезвычайные ситуации безопасности AhnLab (ASEC) обнаружил вредоносный код, замаскированный под файл выплаты вознаграждения, распространяемый группой Kimsuky. Вредоносный код выполнен в виде файла OneNote и содержит контент, связанный с выплатой вознаграждения, побуждая пользователей нажать на прикрепленный корейский документ. После выполнения файла OneNote и нажатия пользователем на местоположение корейского документа создается вредоносный VBS-файл с именем personal.vbs, который запускается по временному пути. Вредоносный VBS-файл содержит обфусцированные команды, которые расшифровываются и затем выполняются, нанося потенциальный вред компьютеру или сети.

Вредоносный код в основном распространяется по электронной почте, маскируясь под форму вознаграждения или форму личной информации. Этот вредоносный код является одной из нескольких форм, используемых группой Kimsuky, включая файлы CHM, LNK и OneNote. Поэтому пользователи должны знать об угрозе и проявлять осторожность при получении и выполнении подозрительных вложений. Им следует быть особенно осторожными при работе с электронными письмами, которые, по всей видимости, связаны с выплатой вознаграждений или заполнением анкет с личной информацией.

#ParsedReport
20-03-2023

EvilQuest macOS Ransomware. Mac OS Malware Analysis

https://amr-git-dot.github.io/malware%20analysis/EvilQuest

Threats:
Evilquest

TTPs:
Tactics: 1
Technics: 0

Softs:
macos, mac os, sysctl, unix

Platforms:
x64

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

EvilQuest ransomware ведет себя по-разному на MacOS и Windows OS.

После загрузки образца вредоносной программы она начинает с расшифровки домена C2 с параметром "silent" и сбора информации о зараженном хосте, после чего создает службу в Windows или Launch Agent в MacOS.

Затем он проверяет наличие виртуальной среды, прежде чем продолжить свою деятельность.

Формат файла для исполняемых файлов Mach-O и команды загрузки используются для определения назначения вредоносной программы и ее поведения в обеих операционных системах.

Понимание внутреннего устройства вредоносной программы может помочь исследователям и специалистам по безопасности лучше анализировать вредоносный код и разрабатывать контрмеры для защиты от подобных атак.

#ParsedReport
20-03-2023

ALC SCAREWARE PRETENDS TO BE A RANSOMWARE

https://www.cyfirma.com/outofband/alc-scareware-pretends-to-be-a-ransomware

Threats:
Hostile

Industry:
Financial

Geo:
Ukraine, China, Russia, Rus, Korea, Iran

TTPs:
Tactics: 6
Technics: 7

IOCs:
Hash: 8
File: 3
Coin: 1
Email: 1

Softs:
telegram

Functions:
SetTaskManager

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Исследовательская группа CYFIRMA обнаружила в природе вредоносный образец, который маскируется под ransomware, но на самом деле является программой-пугалкой. ALC Ransomware не шифрует файлы на компьютере жертвы, а отключает диспетчер задач и блокирует экран, отображая записку с требованием выкупа. В записке упоминается, что вредоносная программа нацелена на Россию и ее партнеров, что указывает на то, что группа или злоумышленники, стоящие за этим образцом, могут быть связаны с государством, враждебно настроенным по отношению к России.

Вредоносная программа выполняется быстро, и ей требуется всего несколько секунд, чтобы эффективно заблокировать экран. После выполнения она сбрасывает на целевую машину несколько файлов, включая полезную нагрузку AlcDif.exe, запись в реестре для сохранения и два других файла - Pey и ALCKEY. Записка с выкупом предписывает жертвам заплатить выкуп в размере 554 XMR (эквивалент примерно 83 680 долларов США) на криптокошелек злоумышленников и связаться с ними по адресу Alc@cock.li. В записке также упоминается, что расшифровка невозможна по истечении недели, а через два дня сумма к оплате удваивается.

Несмотря на то, что вредоносное ПО плохо разработано и не обладает достаточной изощренностью, оно все равно может нанести значительный ущерб. Исследовательская группа CYFIRMA постоянно отслеживает и анализирует новые штаммы вредоносных программ и их поведение, чтобы дать киберзащитникам возможность лучше защитить своих клиентов от подобных атак.

Впилили классификатор новостей в прод.
Сделали на CatBoost от Яндекса.
Первая версия пока не отличает новости по стратегическому TI и срезы за период от тактического TI, но уже неплохо отфильтровывает рекламные новости и прочий спам.

Наберем доп. датасет и дообучим модельку.

Kimsuki hacking organization beware of Google browser and app store service abuse attacks

https://www.ncsc.go.kr:4018/main/cop/bbs/selectBoardArticle.do?bbsId=SecurityAdvice_main&nttId=25266&pageIndex=1#LINK

#ParsedReport
21-03-2023

Bad magic: new APT found in the area of Russo-Ukrainian conflict

https://securelist.com/bad-magic-apt/109087

Threats:
Powermagic
Commonmagic_tool

Industry:
Financial, Transport, Government, Foodtech

Geo:
Russian, Russia, Ukraine, Belarus, Crimea

IOCs:
File: 11
Domain: 2
Hash: 13
Path: 4
IP: 1

Softs:
windows installer, task scheduler

Algorithms:
zip, xor

Functions:
ReadAllBytes, GetString

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

В октябре 2022 года в Донецкой, Луганской областях и Крыму произошла серия кибератак. Вредоносная программа, использовавшаяся в атаке, была идентифицирована как CommonMagic, первоначальный вектор компрометации которой, как полагают, осуществлялся через spear phishing или аналогичные методы. Эта вредоносная программа не имела прямого отношения к каким-либо известным кампаниям, а ее методы не отличались особой изощренностью, но были эффективными.

Вредоносный LNK указывает на удаленно размещенный вредоносный MSI-файл, который загружается и запускается исполняемой программой Windows Installer. Этот пакет дроппера содержит зашифрованную полезную нагрузку следующего этапа (service_pack.dat ), скрипт дроппера (runservice_pack.vbs ) и обманный документ, который должен быть показан жертве. Все эти файлы записываются в папку с именем %APPDATA%\WinEventCom.

Сценарий дроппера VBS затем запускает встроенный сценарий PowerShell, который расшифровывает следующий этап с помощью простого однобайтового XOR, запускает его и удаляет с диска. Этим сценарием является manutil.vbs , который служит загрузчиком для ранее неизвестного бэкдора, написанного на PowerShell под названием PowerMagic. При запуске этот бэкдор создает мьютекс WinEventCom, затем входит в бесконечный цикл, связываясь со своим C&C-сервером, получая команды и загружая результаты в ответ. В качестве транспорта он использует папки OneDrive и Dropbox, а в качестве учетных данных - токены OAuth refresh.

Актор использовал не только PowerMagic, но и более сложную, ранее невиданную модульную вредоносную структуру под названием CommonMagic. Этот фреймворк состоит из нескольких исполняемых модулей, все они хранятся в директории C:\ProgramData\CommonCommand . Данные, которыми оператор обменивается через OneDrive, шифруются с помощью библиотеки с открытым исходным кодом RC5Simple.

На данный момент обнаружены два плагина, реализующие вредоносную бизнес-логику, расположенные в каталоге C:\ProgramData\CommonCommand\Other . Прямых связей между образцами и данными, использованными в этой кампании, и какими-либо ранее известными субъектами пока не обнаружено, но расследование продолжается.

#ParsedReport
21-03-2023

ASEC weekly malware statistics (20230313 \~ 20230319)

https://asec.ahnlab.com/ko/50013

Threats:
Redline_stealer
Beamwinhttp_loader
Agent_tesla
Azorult
Formbook
Clipboard_grabbing_technique
Smokeloader
Lockbit
Dharma
Cloudeye
Remcos_rat
Nanocore_rat

Industry:
Financial, Transport

Geo:
Korea

IOCs:
Domain: 8
IP: 4
Email: 3
File: 19
Url: 28

Softs:
telegram, nsis installer, discord

Languages:
visual_basic

#ParsedReport
22-03-2023

Analysis of SideCopy Group's Recent Attacks Using Indian Ministry of Defense Documents as Lures

https://ti.qianxin.com/blog/articles/Analysis-of-SideCopy-Group's-Recent-Attacks-Using-Indian-Ministry-of-Defense-Documents-as-Lures-EN

Actors/Campaigns:
Sidecopy (motivation: cyber_espionage)
Sidewinder

Threats:
Raindrop_tool
Cetarat_rat
Reverserat_rat
Margulasrat_rat
Allakore_rat
Cyrus

Geo:
Asian, India, Indian

IOCs:
File: 8
Hash: 27
Url: 17
Path: 2
IP: 4

Softs:
macos

Algorithms:
zip

Languages:
c_language, delphi