#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Компания Intezer недавно обнаружила фишинговую кампанию, использующую тактику и процедуры, связанные с Bitter APT, группой угроз из Азиатско-Тихоокеанского региона. Вредоносные электронные письма исходят от посольства Кыргызстана и направлены на получателей, работающих в сфере ядерной энергетики в Китае, а также в научных кругах. Письма содержат замануху в виде социальной инженерии, направленную на то, чтобы заставить адресата скачать и открыть вложения, содержащие либо Microsoft Compiled HTML Help (CHM), либо полезную нагрузку Excel. Эти полезные нагрузки сжимаются внутри файлов RAR, чтобы избежать применения методов статического анализа.

Полезная нагрузка CHM использует низкий уровень взаимодействия с пользователем и сжатие LZX для обхода статического анализа вредоносного ПО, создавая при этом запланированное задание для выполнения удаленной полезной нагрузки MSI с сервера командования и управления (C2). Полезная нагрузка Excel создает две различные запланированные задачи, которые запускаются каждые 15 минут, загружая полезные нагрузки EXE следующей стадии с помощью cURL и отправляя агенту имя зараженной машины.

Использованные приемы социальной инженерии уже встречались в других кампаниях; например, злоумышленник смог создать замануху, получив информацию из LinkedIn и с сайта Министерства иностранных дел Кыргызстана. Организациям, работающим в правительстве, энергетике и машиностроении, особенно в Азиатско-Тихоокеанском регионе, важно сохранять бдительность при получении электронных писем и поддерживать хороший уровень осведомленности о фишинговых письмах. Компании могут автоматизировать процесс расследования фишинговых писем с помощью Intezer, чтобы лучше защитить себя от таких угроз.

#technique

Nidhogg is a multi-functional rootkit for red teams.

https://github.com/Idov31/Nidhogg/

#technique

Chaos-Rootkit is a x64 kernel-mode rootkit that can hide processes or elevate their privileges, work on the latest Windows versions .

https://github.com/ZeroMemoryEx/Chaos-Rootkit

#technique

This post is a sequel to Bypassing LSA Protection in Userland and The End of PPLdump. Here, I will discuss how I was able to bypass the latest mitigation implemented by Microsoft and develop a new Userland exploit for injecting arbitrary code in a PPL with the highest signer type.

https://github.com/ZeroMemoryEx/Chaos-Rootkit

#technique

How I bypassed AMSI and compromised a Windows 11 in 2023

https://medium.com/@sharonms3377/how-i-bypassed-amsi-in-2023-ff2cd81bda6c

#ParsedReport
24-03-2023

Guidance for investigating attacks using CVE-2023-23397

https://www.microsoft.com/en-us/security/blog/2023/03/24/guidance-for-investigating-attacks-using-cve-2023-23397

Threats:
Passthehash_technique

CVEs:
CVE-2023-23397 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: True
X-Force: Risk: 9.1
X-Force: Patch: Official fix
Soft:
- microsoft outlook (2016, 2013)
- microsoft office (2019, 2021)
- microsoft 365 apps (-)


TTPs:
Tactics: 1
Technics: 0

IOCs:
File: 3
Path: 2
IP: 10

Softs:
outlook, microsoft exchange server, microsoft outlook, smb server, android, azure active directory, microsoft defender for endpoint, microsoft defender, azure data explorer, office 365, have more...

Functions:
InternetZone, GetFolder, FindFolder, GetItem

Win Services:
WebClient

Links:
https://github.com/stephenegriffin/mfcmapi

#ParsedReport
27-03-2023

Fork in the Ice: The New Era of IcedID

https://www.proofpoint.com/us/blog/threat-insight/fork-ice-new-era-icedid

Actors/Campaigns:
Mummyspider
Ta581
Ta578
Shathak
Ta577

Threats:
Icedid
Emotet
Bumblebee
Svcready_loader
Gozi
Qakbot
Toad_technique
Html_smuggling_technique
Seatbelt_tool
Aitm_technique

Industry:
Financial, Foodtech

Geo:
Italy, Japan

IOCs:
File: 12
Domain: 13
Url: 11
IP: 2
Hash: 6

Softs:
microsoft onenote, onenote, office 365

Algorithms:
zip, xor, base64

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Компания Proofpoint выявила три варианта вредоносного ПО IcedID, впервые замеченного в 2017 году. Standard IcedID, Lite IcedID и Forked IcedID используются как минимум пятью субъектами угроз и несколькими кластерами неатрибутированной угрожающей активности. Стандартный IcedID содержит начальный загрузчик, который связывается с сервером Loader C2 и доставляет стандартного бота IcedID. Lite IcedID был замечен после заражения Emotet, он не эксфильтрирует данные хоста при проверке загрузчика и поставляет бота с минимальной функциональностью. Forked IcedID отличается от двух других вариантов, поскольку не содержит банковской функциональности, такой как веб-инъекции или backconnect. Между этими тремя вариантами было выявлено несколько ключевых различий, включая удаление банковской функциональности и добавление вредоносного кода для пользовательской загрузки license.dat в DLL-загрузчике.

Исследователи Proofpoint предполагают, что оригинальные операторы, стоящие за Emotet, используют вариант IcedID с другой функциональностью. Форкированный вариант был замечен в распространении только TA581 и одним неатрибутированным кластером угроз, использующим различные вложения электронной почты. Вполне вероятно, что этот кластер угроз использует модифицированные варианты, чтобы переориентировать вредоносное ПО с типичных банковских троянов и банковского мошенничества на доставку полезной нагрузки, что, вероятно, включает в себя приоритетную доставку программ-выкупов.

Сотни кампаний IcedID были замечены с 2022 года по март 2023 года, когда Proofpoint обнаружил кампанию с более чем 2 800 сообщениями. Эта кампания началась с захвата нитей электронной почты, которые содержали HTML-вложения, вложения .URL и пакетный файл, который загружал и выполнял загрузчик IcedID. Два домена, tourdeworldsport.com и handsinworld.com, были расшифрованы в конфигурации, а путь URI был расшифрован в функции, выполняющей HTTP-запрос.

Lite Loader предназначен для загрузки следующей стадии вредоносной программы из жестко заданного домена и URI-пути; Forked Loader функционирует аналогично Standard Loader, но отличается бинарной структурой и обфускацией. Оба загрузчика используются для блокировки загрузки бота. Исследователи заметили, что стандартный бот IcedID содержит больше функциональных возможностей, чем вариант Forked.

Похоже, что за этими кампаниями стоит та же группа, которая распространила IcedID через Emotet. Proofpoint ожидает, что, хотя многие угрозы продолжат использовать стандартный вариант, новые варианты, вероятно, будут и дальше использоваться для дополнительных атак вредоносного ПО.

#ParsedReport
27-03-2023

How scammers employ IPFS for email phishing

https://securelist.com/ipfs-phishing/109158

Industry:
Financial

Softs:
bittorrent

Languages:
javascript

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

По мере развития технологий преступники и мошенники приспосабливаются к новым технологиям, чтобы продолжать свою гнусную деятельность. В 2022 году злоумышленники начали использовать IPFS (InterPlanetary File System), распределенную файловую систему, которая позволяет хранить данные в сети, подобной блокчейну, для фишинговых атак по электронной почте. Это позволило им сократить расходы, связанные с размещением фишинговых страниц, поскольку файлы не могут быть удалены третьими лицами.

Использование IPFS не ограничивается кампаниями массовой рассылки, но также применяется для более сложных целевых атак. Мошенники направляют свои усилия на конкретных лиц в компаниях, а не на случайных пользователей, часто фокусируясь на отделах закупок. Эффект замены логотипа на фишинговой форме достигается с помощью простого кода JavaScript.

Количество фишинговых писем IPFS, наблюдавшихся в ноябре и декабре 2022 года, составляло около 215 тысяч в день, но с тех пор оно постоянно увеличивалось. В феврале 2023 года было зафиксировано самое большое количество фишинговых атак IPFS, почти 400 000 писем - на 100 000 больше, чем в ноябре и декабре 2022 года.

#ParsedReport
27-03-2023

Emotet malware spreading through OneNote

https://asec.ahnlab.com/ko/50238

Threats:
Emotet
Malware/win.generic.c5398625

IOCs:
File: 2
Hash: 9
Url: 5

Softs:
onenote

#ParsedReport
26-03-2023

MacStealer: New macOS-based Stealer Malware Identified

https://www.uptycs.com/blog/macstealer-command-and-control-c2-malware

Threats:
Macstealer
Titanstealer
Parallax_rat
Hookspoofer

IOCs:
Hash: 19
Url: 3
Domain: 1
IP: 1

Softs:
telegram, macos, google chrome, keychain, "macos

Algorithms:
exhibit, zip, base64

Languages:
python

Platforms:
intel

YARA: Found

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Команда исследователей угроз Uptycs недавно обнаружила новый похититель macOS, получивший название MacStealer. Эта вредоносная программа распространяется через файл .DMG, содержащий код Python, и используется для сбора учетных данных и других данных с компьютеров жертв. Собрав информацию, вредоносная программа сжимает ее в ZIP-файл и отправляет его на командно-контрольный (C2) сервер через POST-запрос. Затем сервер C2 передает файл личному Telegram-боту угрожающего субъекта.

Платформа Uptycs EDR оснащена функциями сканирования процессов YARA, расширенными возможностями обнаружения и корреляции событий файлов, процессов и сокетов, что позволило успешно выявить множество тактик, техник и процедур, которые MacStealer использует в своей цепочке уничтожения атак. В ходе дальнейшего расследования исследователи обнаружили, что распространитель вредоносного ПО получил заказы на массовое производство MacStealer от других субъектов угроз - признак того, что вредоносная программа может получить более широкое распространение.

В этой статье представлен обзор функций и возможностей MacStealer, а также платформы C2, используемой злоумышленниками. В ней также объясняется, как платформа Uptycs EDR может обнаружить TTP, используемые крадущим, и предоставить дополнительные сведения о вредоносном ПО. Наконец, в статье дается представление о планах распространителя вредоносного ПО, который намерен в будущем добавить новые функции к MacStealer.

#ParsedReport
25-03-2023

REF2924: how to maintain persistence as an (advanced?) threat. Preamble

https://www.elastic.co/security-labs/ref2924-howto-maintain-persistence-as-an-advanced-threat

Actors/Campaigns:
Ref2924

Threats:
Remcos_rat
Adfind_tool
Behinder
Godzilla_loader
Impacket_tool
Secretsdump_tool
Naplistener
Doorme
Siestagraph
Somnirecord

TTPs:
Tactics: 1
Technics: 0

IOCs:
File: 7
Hash: 2
Path: 1

Softs:
microsoft exchange outlook, active directory, visual studio

Functions:
CreateInstance, GetType

Languages:
golang, python

YARA: Found

Links:
https://github.com/zcgonvh/NTDSDumpEx
https://github.com/fortra/impacket/blob/master/examples/secretsdump.py
https://github.com/3gstudent/Pentest-and-Development-Tips
https://github.com/BeichenDream/Godzilla
https://github.com/rebeyond/Behinder

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

В последние месяцы наблюдается заметный сдвиг в способах атак, отслеживаемых в рамках REF2924. Изначально злоумышленники использовали специально разработанное вредоносное ПО, предназначенное для осуществления вредоносной деятельности. Однако по мере развития атаки та же группа начала использовать инструменты с открытым исходным кодом и общедоступный исходный код в качестве основы для разработки новых возможностей.

Злоумышленник применил несколько техник для поддержания постоянства в среде жертвы. 16 февраля 2023 года специалисты Elastic Security Labs заметили, что компилятор Microsoft .NET (csc.exe ) используется для компиляции DLL-файла с именем App_Web_lgntop.aspx.ec688436.pkx46see.dll (a50ca8df4181918fe0636272f31e19815f1b97cce6d871e15e03b0ee0e3da17b). Выходной файл был идентифицирован как вредоносный и подвергнут анализу. Данный код предназначен для выполнения набора заранее определенных команд; если сегодня понедельник или четверг в 5 утра, то будут выполнены определенные команды.

Ключ "e45e329feb5d925b" был обнаружен в ходе анализа и оказался результатом взятия первой половины MD5-хэша строки "rebeyond". Строка rebeyond относится к разработчику фреймворка веб-оболочки Behinder. Этот ключ также является значением по умолчанию при генерации шаблона оболочки с использованием фреймворков Behinder или Godzilla webshell. Кроме того, 13 февраля 2023 года была замечена новая постоянная вредоносная программа под названием kavUpdate.exe, написанная на .NET и имеющая небольшой след.

2 января 2023 года в среде жертвы были развернуты TFirewall и AdFind. Nat.exe был замечен 6 марта 2023 года и был определен как упакованная версия инструмента Impacket secretsdump. Техника, использованная для развертывания NAPLISTENER, описана здесь, а метод развертывания вредоносных модулей IIS, таких как DOORME, можно найти в этой записи блога. Запись о веб-оболочках Godzilla и Behinder в серверах exchange близко отражает то, как эти возможности были реализованы в целевых средах.

Elastic Security Labs также выявила репозитории с открытым исходным кодом, которые в минимальной степени послужили источником вдохновения для полезных нагрузок, как описано в других публикациях компании. Очевидно, что злоумышленник перешел от использования собственных вредоносных программ к инструментам с открытым исходным кодом или общедоступным исходным кодам для разработки новых возможностей. Угрожающий субъект, по-видимому, хорошо разбирается в использовании различных техник и инструментов, что свидетельствует о его техническом мастерстве.

В целом, сообщество безопасности должно сохранять бдительность в отношении такого рода деятельности и продолжать отслеживать угрозы на предмет изменений в тактике и методах. Знание того, какие тактики и методы используются, дает организациям возможность проактивно разрабатывать стратегии обнаружения и защиты от потенциальных угроз.

#ParsedReport
27-03-2023

Rhadamanthys: The Everything Bagel Infostealer. Key Takeaways

https://research.checkpoint.com/2023/rhadamanthys-the-everything-bagel-infostealer

Threats:
Rhadamanthys
Lockbit
Emotet
Teamviewer_tool
Tron

Industry:
Government, Energy

Geo:
Canada, India, Russian

IOCs:
File: 7
Path: 1

Softs:
google chrome, pale moon, winscp, coreftp, outlook, foxmail, authy, keepass, pidgin, discord, have more...

Functions:
OpenVPN

Win API:
RegQueryValueExW

Links:
https://github.com/LordNoteworthy/al-khaser
https://github.com/mpx/lua-cjson/blob/e8972ac754788d3ef10a57a36016d6c3e85ba20d/lua\_cjson.c

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Rhadamanthys - это продвинутый похититель информации, дебютировавший в темной паутине в сентябре прошлого года. Он был создан человеком под псевдонимом kingcrete2022, и с тех пор о нем говорят в мире киберпреступников. Вредоносная программа продается как готовое решение для тех, у кого нет технических знаний для организации собственных операций. Она оснащена множеством функций, которые позволяют ей красть информацию из таких программ, как KMeleon и Pale Moon, а также криптовалюту из расширения для браузера Firefox Auvitas Wallet.

Кампании Rhadamanthys носят неизбирательный характер и направлены на страны по всему миру. Это типично для такого рода вредоносных программ, однако это может привести к тому, что крупные организации могут подвергнуться атакам типа "drive-by", которые имеют потенциал к эскалации. Поэтому важно понимать возможности этой вредоносной программы, чтобы снизить риски, которые она представляет.

Чтобы проанализировать Rhadamanthys, Эли Салем прошел шесть этапов выполнения, через которые проходит вредоносная программа, прежде чем достигнет своей функции кражи информации. Эти этапы включают дропперы, шеллкоды, инсталляторы, дампы памяти и другой вредоносный код. Адреса в памяти обеспечивают способ криминалистического разрешения вызовов API доморощенных таблиц функций в бесхозных дампах памяти. Этот метод позволил Салему преобразовать дамп памяти в пригодную для работы интерактивную базу данных дизассемблирования. Отсюда они смогли представить пошаговое описание того, как вредоносная программа собирает собственную базу данных украденной информации Google Chrome.

Авторы вредоносных программ полагаются на доверие и особенности, чтобы привлечь жертв, и они должны постоянно быть бдительными, чтобы опережать появляющиеся вредоносные инструменты. Rhadamanthys является хорошим примером того, на что некоторые идут, чтобы создать эффективный продукт, а также рисков, которые представляют эти продукты, если их не проанализировать должным образом. Те, кто хочет защитить себя от подобных угроз, должны быть в курсе последних разработок в области анализа вредоносных программ и защитных стратегий.

#ParsedReport
27-03-2023

Earth Preta s Cyberespionage Campaign Hits Over 200

https://www.trendmicro.com/en_us/research/23/c/earth-preta-cyberespionage-campaign-hits-over-200.html

Actors/Campaigns:
Earth_preta (motivation: cyber_espionage)
Red_delta (motivation: cyber_espionage)

Threats:
Plugx_rat
Dll_sideloading_technique

Industry:
Transport, Government, Foodtech, Maritime, Ngo, Energy, Financial

Geo:
Vietnam, Africa, Guinea, Netherlands, Ghana, France, Asian, Singapore, Togo, Australia, Myanmar

IOCs:
File: 4
Hash: 70

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Earth Preta - это группа передовых постоянных угроз (APT), осуществляющая серию кибершпионских операций с 2022 года. Мы выявили более 200 жертв и провели глубокий анализ структуры, целей и требований Earth Preta. Наши результаты показывают, что в Earth Preta существует централизованное подразделение по разработке, ответственное за производство имплантатов и инструментов, которые затем распространяются среди других оперативных групп для внедрения и имплантации. Это демонстрирует высокий уровень экспертизы и специализации внутри каждой группы.

Earth Preta сменила свои цели с академических учреждений на морские, судоходные, пограничные и иммиграционные службы. Анализ их тактики, техники и процедур (ТТП) показывает наличие иерархической структуры, управление опытом и изменение целей. Мы выявили две оперативные группы, Группа 5171 и Группа 1358, преследующие схожие цели. Группа 5171 использует сложные методы, чтобы избежать обнаружения, а группа 1358 использует вредоносные USB-накопители для компрометации. Группа 724 нацелена на такие отрасли, как финансы, правительство, производство, изготовление, строительство, энергетика, транспорт, авиаперевозки и производство продуктов питания.

Эти сведения о возможностях, целях и влиянии Earth Preta на международную безопасность и интеллектуальную собственность могут помочь в разработке эффективных контрмер. Для защиты критически важной инфраструктуры и интеллектуальной собственности необходимо скоординированное реагирование частного сектора, научных кругов и гражданского общества. Международное сотрудничество, осведомленность и обмен информацией имеют решающее значение в борьбе с этой серьезной угрозой.

#ParsedReport
27-03-2023

DBatLoader: Actively Distributing Malwares Targeting European Businesses. Introduction:

https://www.zscaler.com/blogs/security-research/dbatloader-actively-distributing-malwares-targeting-european-businesses

Threats:
Dbat_loader
Remcos_rat
Formbook
Dll_sideloading_technique
Process_injection_technique
Timestomp_technique
Netwire_rat
Avemaria_rat
Steganography_technique
Dll_hijacking_technique

Industry:
Financial

TTPs:
Tactics: 7
Technics: 27

IOCs:
File: 7
IP: 2
Registry: 1
Url: 7
Hash: 35
Domain: 3

Softs:
wordpress, onenote, microsoft defender, windows explorer

Algorithms:
base64, zip

Functions:
Oncreate

Win API:
VirtualAlloc

Languages:
javascript, python, delphi

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Исследовательская группа ThreatLabz компании Zscaler выявила новую кампанию с участием DBatLoader/ModiLoader, которая активно нацелена на производственные компании и предприятия в европейских странах посредством фишинговых электронных писем. Вредоносная полезная нагрузка распространяется через веб-сайты WordPress, имеющие авторизованные SSL-сертификаты, - тактика, обычно используемая субъектами угроз для обхода систем обнаружения. В фишинговых письмах злоумышленники используют различные приемы, чтобы обманом заставить пользователей загрузить полезную нагрузку, например, используют схемы на курьерскую тематику и маскируют PDF-вложения под документы пересмотренного заказа, счета на оплату, расценки, заказы на продажу и другие подобные документы. Полезная нагрузка вредоносного ПО, проанализированная в ходе данного расследования, использует имитацию доверенных каталогов для обхода системы контроля учетных записей пользователей Windows (UAC) и повышения уровня привилегий без отображения запроса UAC.

Для дальнейшего изучения поведения DBatLoader исследователи из Zscaler ThreatLabz отобразили многочисленные методы из MITRE ATT&CK framework и присвоили баллы угрозы на основе полученных результатов. Они также определили несколько ключевых индикаторов компрометации, связанных с вредоносной программой, включая LNK-файлы, сценарии PowerShell и закодированные данные в разделе ресурсов файла. Команда разработала сценарий на языке python для декодирования зашифрованной секции ресурсов и извлечения DLL второго этапа, которая выполняет дополнительные вредоносные действия, такие как сброс пакетных файлов и создание ключей реестра для сохранения.

DBatLoader - это сложная, но скрытная вредоносная программа, которая постоянно адаптируется к новым механизмам распространения, что затрудняет ее идентификацию и обнаружение. Для защиты от таких угроз организации должны использовать передовые методы, такие как обучение по вопросам безопасности, внедрение многоуровневых средств защиты и мониторинг почтовых кампаний на наличие признаков вредоносной активности. Команда Zscaler ThreatLabz ведет постоянный мониторинг кампании и сообщит обо всех новых результатах, которые они обнаружат.