#ParsedReport
24-03-2023

ChinaZ DDoS Bot Malware Distributed to Linux SSH Servers

https://asec.ahnlab.com/en/50316

Threats:
Chinaz
Xorddos
Dofloo_botnet
Billgates
Mrblack
Synflood_technique
Udpflood_technique
Trojan/win32.agent.r192331

Industry:
Iot

Geo:
Chinese

TTPs:
Tactics: 1
Technics: 0

IOCs:
IP: 2
Url: 3
File: 2
Hash: 3
Domain: 1

Softs:
ms-sql

Functions:
prctl, uname

Platforms:
x86, x64

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Центр реагирования на чрезвычайные ситуации AhnLab Security Emergency Response Center (ASEC) недавно обнаружил вредоносное ПО ChinaZ DDoS Bot, установленное на недостаточно управляемых SSH-серверах Linux. Это часть более крупной группы китайских угроз, впервые выявленных около 2014 года, и эта конкретная форма вредоносного ПО классифицируется как вредоносная программа с открытым исходным кодом. Она маскируется под "declient" (для систем Windows) или "Linux32"/"Linux64" (для систем Linux).

Это вредоносное ПО обычно устанавливается через плохое обслуживание или непропатченные серверы, которые уязвимы для атак через протокол удаленного рабочего стола (RDP) и службы MS-SQL для систем Windows или службы Secure Shell (SSH) для серверов Linux. В случае с ChinaZ для получения учетных данных и установки DDoS-клиента используется вредоносная программа SSH brute force. Затем злоумышленник отключает iptables, устанавливает вредоносное ПО в корневой каталог и регистрирует его в rc.local для сохранения.

Вредоносная программа собирает основную информацию с зараженной системы и отправляет ее на C&C-сервер, где по командам, отправленным с C&C-сервера, могут быть выполнены дальнейшие вредоносные действия. К ним относятся различные типы DDoS-атак, такие как SYN, UDP, ICMP и DNS Flood. К сожалению, хотя ChinaZ пока не был обнаружен в атаках на SSH-серверы Linux, его все еще можно найти в атаках на системы Windows на VirusTotal.

#ParsedReport
24-03-2023

The propagation of InfoStealer Malware through fake ChatGPT Facebook Ads

http://blog.nexusguard.com/the-propagation-of-infostealer-malware-through-fake-chatgpt-facebook-ads

Threats:
Redline_stealer

IOCs:
Url: 2
File: 4
IP: 1

Algorithms:
gzip

Platforms:
intel

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Facebook Ads - это эффективный инструмент для продвижения своих продуктов и услуг. Однако киберпреступники используют эту платформу для распространения вредоносных программ, таких как InfoStealers, посредством фишинговых афер. Исследователи Nexusguard столкнулись с одной из таких кампаний 18 февраля 2023 года в виде спонсируемой рекламы, представляющей версию ChatGPT для Windows PC. После запуска исполняемого файла он порождал подпроцессы, добавлял запись в реестр для сохранения, выполнял DNS-запрос и пытался украсть информацию браузера. Это вредоносное ПО было идентифицировано как RedLine Stealer, который известен тем, что крадет имена пользователей, пароли, данные кредитных карт, криптовалюту, системный инвентарь, а также информацию FTP- и IM-клиентов. IntelX.io дает представление о том, насколько широко распространен этот тип вредоносного ПО среди агентств.

#ParsedReport
24-03-2023

UNC961 in the Multiverse of Mandiant: Three Encounters with a Financially Motivated Threat Actor

https://www.mandiant.com/resources/blog/unc961-multiverse-financially-motivated

Actors/Campaigns:
Unc961 (motivation: financially_motivated)
Unc3966 (motivation: financially_motivated)
Prophetspider

Threats:
Log4shell_vuln
Maze
Egregor
Holepunch_tool
Bluebeam_tool
Godzilla_loader
Holerun
Muteput
Txportmap_tool
Barnwork
Lightbunny
Dumplsass_tool
Adfind_tool
Mimikatz_tool
Dcsync_technique
Ntdsutil_tool
Doorway
Powerview

Geo:
America

CVEs:
CVE-2021-22205 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: True
X-Force: Risk: 9.9
X-Force: Patch: Official fix
Soft:
- gitlab (<13.10.3, <13.9.6, <13.8.8)

CVE-2019-19781 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- citrix application delivery controller firmware (10.5, 11.1, 12.0, 12.1, 13.0)
- citrix netscaler gateway firmware (10.5, 11.1, 12.0, 12.1)
- citrix gateway firmware (13.0)

CVE-2021-44228 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: True
X-Force: Risk: 10
X-Force: Patch: Official fix
Soft:
- apache log4j (2.0, <2.15.0, <2.3.1, <2.12.2)
- siemens sppa-t3000 ses3000 firmware (*)
- siemens logo\! soft comfort (*)
- siemens spectrum power 4 (4.70)
- siemens siveillance control pro (*)
have more...
CVE-2020-14750 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- oracle fusion middleware (12.1.3.0, 10.3.6.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0)

CVE-2017-7504 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- redhat jboss enterprise application platform (le4.0)

CVE-2021-26084 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- atlassian confluence server (<7.12.5, <7.4.11, <7.11.6, <6.13.23)
- atlassian confluence data center (<7.12.5, <7.11.6, <7.4.11, <6.13.23)


TTPs:
Tactics: 2
Technics: 38

IOCs:
IP: 16
Command: 9
File: 14
Path: 11
Domain: 5
Url: 2
Registry: 1
Hash: 2

Softs:
confluence, unix, apache log4j, jboss, asp.net, windows service, windows background intelligent transfer service, winscp, active directory, outlook, have more...

Algorithms:
base64

Win Services:
BITS

Languages:
php, java

Links:
https://github.com/darkoperator/Veil-PowerView/blob/master/PowerView/functions/Invoke-ShareFinder.ps1
https://github.com/mattifestation/psreflect
https://github.com/nil-malh/JNDI-Exploit/blob/main/README\_OG.md
https://github.com/BurntSushi/ripgrep

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

UNC961 - это финансово мотивированный агент угроз, который действует по крайней мере с 2016 года, нацеливаясь на жертв в Северной Америке. Известно, что эта группа использует общедоступный код эксплойтов из недавно раскрытых уязвимостей и крадет конфиденциальные данные. Их цели - получить доступ к сетям и обеспечить доступ к кластерам угроз, связанным с выкупными программами.

Недавно команды Mandiant Managed Defense и Incident Response отреагировали на три вторжения UNC961 в различные организации. Эти жертвы либо находились под защитой Managed Defense, либо обратились после того, как UNC961 скомпрометировал их среду. Все вторжения начинались одинаково: злоумышленники активировали CVE-2021-44228, отправив эксплойт на вход в веб-портал приложения. На хосте было запущено несколько командных оболочек bash, в том числе и от других участников угрозы. Атакующий выполнил команду kill -9 вместе с многочисленными PID, чтобы завершить другие установленные оболочки, после чего была развернута утилита туннелирования HOLEPUNCH.

Компания Mandiant обнаружила уязвимость десериализации JBoss MQ Java Message Service (JMS) (CVE-2017-7504). Они наблюдали, как угрожающий агент генерировал HTTP POST-запрос и выполнял команду cmd.exe /c "dir k.txt". Это совпало с развертыванием веб-оболочки PHP с кодировкой Base64. Затем агент развернул вторую веб-оболочку, сгенерированную фреймворком BLUEBEAM. Эта оболочка использовалась для запуска команд для сбора информации о локальной сети. Клиент изолировал сервер, и объект угрозы был уничтожен.

В другом инциденте организация обнаружила файл с запиской о выкупе через 131 день после того, как UNC961 получил первоначальный доступ. В ходе расследования было установлено, что UNC961 передал доступ UNC3966 на 63-й день до сбора и эксфильтрации данных. UNC3966 перемещался по среде через протокол удаленного рабочего стола (RDP) и устанавливал бэкдор BARNWORK и туннельный вредоносный код LIGHTBUNNY в качестве запланированных задач. Агент использовал архивную утилиту 7-zip для сжатия данных, связанных с контрактами и бухгалтерской информацией, хранящихся на сетевом устройстве хранения данных (NAS), и передал данные по протоколу SSH на IP-адреса, контролируемые агентом угрозы. UNC3966 также выполнил несколько команд reg.exe для удаления ключей реестра, содержащих информацию о поиске файлов, работе удаленного рабочего стола служб терминалов и запуске приложений.

Компания Mandiant работала с заказчиком над укреплением среды и ограничением воздействия потенциального развертывания ransomware. В период ликвидации Mandiant помог заказчику подготовить ответные меры на возможные сценарии вымогательства или выкупа. Доступ UNC961 и UNC3966 был отозван, и клиент наконец-то покончил с этим кошмаром.

Организации могут защитить себя от таких субъектов угроз, как UNC961, используя услуги Mandiant по управляемому обнаружению и реагированию (MDR) и поиску угроз. Управление поверхностью атаки также поможет выявить уязвимости, неправильную конфигурацию и другие уязвимости, которые могут открыть путь к угрозам. При наличии таких средств защиты организации могут быть уверены, что их среда безопасна и они не станут жертвами злонамеренных действий UNC961.

#ParsedReport
24-03-2023

Kimsuky group uses ADS to hide malware

https://asec.ahnlab.com/ko/50394

Actors/Campaigns:
Kimsuky

Threats:
Netstat_tool
Magniber
Appleseed

Geo:
Korea

IOCs:
Command: 1
Path: 3
Hash: 2
Domain: 1

Languages:
vbscirpt

Platforms:
x86

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Вредоносный код - это тип вредоносного ПО, который используется для сбора информации с хост-системы. Тип Infostealer характеризуется тем, что содержит реальный код среди множества фиктивных кодов, а также использует VBScript внутри HTML-файла. Декодированный файл представляет собой сценарий, используемый для поддержания устойчивости зараженной системы, что позволяет ей получить доступ к серверу C2 и выполнить дополнительный сценарий.

Весьма интересной техникой, используемой вредоносным кодом, является создание альтернативных потоков данных (Alternate Data Streams, ADS). Эта техника уже использовалась в прошлом программой Magniber ransomware и была впервые представлена ASEC Bloghas.

Использование таких методов, как ADS, подчеркивает растущую изощренность вредоносного кода и необходимость для пользователей сохранять бдительность в отношении потенциальных угроз. Хотя обнаружить вредоносный код и защитить системы от заражения стало сложнее, пользователи по-прежнему могут использовать такие методы, как регулярное обновление программного обеспечения и антивирусных пакетов, а также проявлять осторожность при загрузке файлов или переходе по ссылкам из неизвестных источников. Принимая такие меры, пользователи могут минимизировать риск заражения и помочь предотвратить дальнейшее распространение вредоносного кода.

#ParsedReport
24-03-2023

Exposed: The Shocking Truth About PureCrypter Attack Chain and Its Connections to Pakistan

https://cyberstanc.com/blog/exposed-the-shocking-truth-about-purecrypter-attack-chain-and-its-connections-to-pakistan

Actors/Campaigns:
Eternity

Threats:
Purecryptor
Redline_stealer
Agent_tesla
Krbanker
Purecoder_actor
Purelogs
Process_hollowing_technique

Industry:
Financial

Geo:
Pakistan

IOCs:
Url: 2
File: 2
Email: 1

Softs:
discord

Algorithms:
xor, zip

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

PureCrypter является известным брокером начального доступа (IAB) в темной паутине, предлагающим вредоносный загрузчик и сервер командования и управления (C2) для субъектов угроз. Недавно была выявлена цепочка атак с использованием этого программного обеспечения, которая начиналась с электронного письма, содержащего URL-адрес приложения Discord, указывающий на образец PureCrypter в защищенном паролем ZIP-архиве. Его создатель, @PureCoder, предлагает приобрести программное обеспечение по подписке или на всю жизнь. Злоумышленники используют "впаивание" процессов для внедрения полезной нагрузки AgentTesla в легитимный процесс, чтобы избежать обнаружения антивирусными инструментами. Кроме того, для защиты связи с сервером C2 от средств мониторинга сетевого трафика используется XOR-шифрование.

Подводя итог, можно сказать, что PureCrypter - это поставщик вредоносного ПО в темной паутине, предлагающий загрузчик и сервер C2 для субъектов угроз. Благодаря возможности подписки или единовременной оплаты он стал заметным IAB. Между тем, SEDI - это поставщик решений в области безопасности, предлагающий специализированные исследования и разработки, анализ угроз, обнаружение вредоносных программ и аналитику. Они обеспечивают своим клиентам прочное партнерство и предлагают бесплатную пробную версию своих решений безопасности в течение 31 дня.

#ParsedReport
24-03-2023

Analysis of Microsoft Outlook Elevation of Privilege Vulnerability CVE-2023-23397

https://www.esentire.com/blog/analysis-of-microsoft-outlook-elevation-of-privilege-vulnerability-cve-2023-23397

Actors/Campaigns:
Fancy_bear
Dev-0960
Sandworm

Threats:
More_eggs
Conduit
Batloader

Industry:
Transport, Petroleum, Energy

Geo:
Ukrainian, Africa, Apac, Ukraine, Russia, Russian, Emea, America

CVEs:
CVE-2023-23397 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: True
X-Force: Risk: 9.1
X-Force: Patch: Official fix
Soft:
- microsoft outlook (2016, 2013)
- microsoft office (2019, 2021)
- microsoft 365 apps (-)


TTPs:
Tactics: 1
Technics: 0

IOCs:
IP: 9
File: 2

Softs:
microsoft outlook, active directory

Functions:
SMB

Platforms:
intel

YARA: Found

#ParsedReport
24-03-2023

OneNote Malware Disguised as Compensation Form (Kimsuky)

https://asec.ahnlab.com/en/50303

Actors/Campaigns:
Kimsuky

Threats:
Trojan/vbs.generic.sc186657

IOCs:
File: 4
Url: 2
Hash: 2

Softs:
onenote

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Центр экстренного реагирования на чрезвычайные ситуации безопасности АнЛаб (ASEC) выявил распространение вредоносного файла OneNote, замаскированного под форму компенсации. Было обнаружено, что вредоносный файл содержит файл Visual Basic Script (VBS), который используется для выполнения обфусцированной команды. После выполнения VBS-код создает вредоносный скрипт, который обращается к URL-адресу для выполнения дополнительного кода, скорее всего, в целях кражи информации.

ASEC связала эту вредоносную активность с тем же субъектом угроз, который несет ответственность за вредоносное ПО типа LNK, упомянутое в предыдущем сообщении. Эта вредоносная активность указывает на то, что группа Kimsuky по-прежнему активно распространяет вредоносное ПО в различных формах, таких как CHM, LNK и файлы OneNote.

Учитывая этот потенциальный риск безопасности, ASEC советует пользователям быть осторожными при открытии вложений электронной почты, особенно тех, которые связаны с компенсацией или личной информацией. Кроме того, пользователи должны всегда проверять источник любых отправленных им писем или файлов, прежде чем нажимать на них. Пользователи также должны убедиться, что их антивирусная защита обновлена и работает, чтобы помочь обнаружить и блокировать любые вредоносные действия.

Важно помнить, что киберпреступники постоянно меняют свою тактику нападения на жертв, поэтому организациям и частным лицам крайне важно быть в курсе последних угроз безопасности. Поэтому организации должны иметь комплексную стратегию кибербезопасности для защиты от этих вредоносных угроз. Это включает в себя обучение сотрудников опасностям фишинговых писем, обеспечение защиты устройств и сетей с помощью последних исправлений и обновлений, а также использование надежных решений безопасности.

Принимая эти меры, организации могут помочь защитить свои данные и системы от злоумышленников, которые пытаются получить доступ к конфиденциальной информации. Сохраняя бдительность и осторожность, пользователи могут обезопасить себя от вредоносных действий.

#ParsedReport
24-03-2023

ASEC Weekly Phishing Email Threat Trend (20230312 \~ 20230318)

https://asec.ahnlab.com/ko/50370

Threats:
Smokeloader
Cloudeye
Agent_tesla
Formbook
Variantcrypter

Industry:
Logistic, Transport, Financial, Healthcare

Geo:
Korean

TTPs:

IOCs:
File: 67
Url: 19

Algorithms:
zip

Languages:
php

#ParsedReport
24-03-2023

New loader on the bloc - AresLoader. Intel 471 recommendations

https://intel471.com/blog/new-loader-on-the-bloc-aresloader

Actors/Campaigns:
Phantom_dev (motivation: hacktivism)
Red_hackers (motivation: hacktivism)

Threats:
Aresloader
Binder
Systembc
Amadey
Laplas_clipper
Darkblup
Raccoon_stealer
Stealc
Lumma_stealer
Aurora

Geo:
Russian, Netherlands, Russia, Germany

TTPs:
Tactics: 6
Technics: 8

IOCs:
Url: 15
Hash: 12
File: 3
IP: 10

Softs:
windows defender, telegram

Win API:
ShellExecuteA

Languages:
golang

Platforms:
intel

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

AresLoader - это платформа вредоносного ПО как услуги (MaaS), которая недавно была замечена в дикой природе. Услуга предлагается субъектами угроз, связанными с российским хактивизмом, и рекламируется на подпольных форумах за ежемесячную плату в размере 300 долларов США. Она включает в себя пять сборок, которые упаковываются вручную и имеют инструмент связывания, позволяющий пользователям маскировать свои вредоносные программы под легитимное программное обеспечение.

Панель AresLoader была анонсирована в конце ноября 2021 года субъектом угроз под ником AiD Lock aka DarkBLUP, который ранее был связан с пророссийской хактивистской группой Red Hackers Alliance Russia. Данные свидетельствуют о том, что несколько членов этой группы являются пользователями или администраторами AresLoader MaaS.

Intel 471 впервые обнаружил AresLoader в дикой природе 26 января 2023 года, когда он был сброшен SystemBC, а затем контроллером Amadey версии 3.50. В обоих случаях полезная нагрузка была извлечена из одного и того же места падения - http : //5.75.248 .207/loader.exe. Далее по цепочке заражения с того же IP-адреса устанавливалась полезная нагрузка Raccoon Stealer вместе с клиппером Laplas.

Исследователи вредоносного ПО Роберто Мартинес и Таисия Гаркава также обнаружили кампанию, продвигающую AresLoader. На этот раз было обнаружено несколько образцов Raccoon Stealer, которые сбрасывали загрузчик, маскируясь под установщик легитимного приложения Revo Uninstaller Pro. Это позволило предположить использование службы связывания, доступной через панель управления AresLoader.

На данный момент обнаружены такие полезные нагрузки, как "черный ход" SystemBC и прокси-туннель защищенного интернет-протокола (SOCKS), Lumma Stealer, StealC, Aurora Stealer и Laplas clipper. Инфраструктура C2 была размещена на виртуальных частных серверах (VPS) в Германии, Нидерландах и России.

Учитывая связь между угрожающими субъектами, стоящими за AresLoader, и пророссийской хактивистской группой, а также тот факт, что загрузчик используется для маскировки вредоносной полезной нагрузки под легитимные приложения, вполне вероятно, что это часть более масштабной кампании по поддержке целей государства. Поэтому организациям важно сохранять бдительность и обновлять свои системы последними исправлениями безопасности, чтобы не стать жертвой этого вредоносного ПО.

#ParsedReport
24-03-2023

Phishing Campaign Targets Chinese Nuclear Energy Industry

https://www.intezer.com/blog/research/phishing-campaign-targets-nuclear-energy-industry

Actors/Campaigns:
Bitter (motivation: cyber_espionage)

Industry:
Energy, Government

Geo:
Kyrgyzstan, Chinese, Asian, China, Pakistan, Bangladesh

TTPs:
Tactics: 7
Technics: 11

IOCs:
Hash: 13
Domain: 3

Softs:
microsoft excel, microsoft office, windows installer, curl

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Компания Intezer недавно обнаружила фишинговую кампанию, использующую тактику и процедуры, связанные с Bitter APT, группой угроз из Азиатско-Тихоокеанского региона. Вредоносные электронные письма исходят от посольства Кыргызстана и направлены на получателей, работающих в сфере ядерной энергетики в Китае, а также в научных кругах. Письма содержат замануху в виде социальной инженерии, направленную на то, чтобы заставить адресата скачать и открыть вложения, содержащие либо Microsoft Compiled HTML Help (CHM), либо полезную нагрузку Excel. Эти полезные нагрузки сжимаются внутри файлов RAR, чтобы избежать применения методов статического анализа.

Полезная нагрузка CHM использует низкий уровень взаимодействия с пользователем и сжатие LZX для обхода статического анализа вредоносного ПО, создавая при этом запланированное задание для выполнения удаленной полезной нагрузки MSI с сервера командования и управления (C2). Полезная нагрузка Excel создает две различные запланированные задачи, которые запускаются каждые 15 минут, загружая полезные нагрузки EXE следующей стадии с помощью cURL и отправляя агенту имя зараженной машины.

Использованные приемы социальной инженерии уже встречались в других кампаниях; например, злоумышленник смог создать замануху, получив информацию из LinkedIn и с сайта Министерства иностранных дел Кыргызстана. Организациям, работающим в правительстве, энергетике и машиностроении, особенно в Азиатско-Тихоокеанском регионе, важно сохранять бдительность при получении электронных писем и поддерживать хороший уровень осведомленности о фишинговых письмах. Компании могут автоматизировать процесс расследования фишинговых писем с помощью Intezer, чтобы лучше защитить себя от таких угроз.

#technique

Nidhogg is a multi-functional rootkit for red teams.

https://github.com/Idov31/Nidhogg/

#technique

Chaos-Rootkit is a x64 kernel-mode rootkit that can hide processes or elevate their privileges, work on the latest Windows versions .

https://github.com/ZeroMemoryEx/Chaos-Rootkit

#technique

This post is a sequel to Bypassing LSA Protection in Userland and The End of PPLdump. Here, I will discuss how I was able to bypass the latest mitigation implemented by Microsoft and develop a new Userland exploit for injecting arbitrary code in a PPL with the highest signer type.

https://github.com/ZeroMemoryEx/Chaos-Rootkit