#rstcloud
Начали работы по созданию классификатора изображений в TI-отчетах. Очень хочется научиться вытаскивать картинки с графами атак и кусками кода.

На правах рекламы. Вебминарчик за TI от Позитива.

https://www.ptsecurity.com/ru-ru/research/webinar/pt-feeds-kak-povysit-zashchishchennost-pri-pomoshchi-ti

#technique

HardHat C2
A cross-platform, collaborative, Command & Control framework written in C#, designed for red teaming and ease of use.

https://github.com/DragoQCC/HardHatC2

Contracts Identify Cyber Operations Projects from Russian Company NTC Vulkan

https://www.mandiant.com/resources/blog/cyber-operations-russian-vulkan

#ParsedReport
30-03-2023

SmoothOperator Supply Chain Attack Targeting 3CX VOIP Desktop Client

https://socradar.io/smoothoperator-supply-chain-attack-targeting-3cx-voip-desktop-client

Actors/Campaigns:
Smoothoperator
Lazarus

Threats:
Supply_chain_technique

Industry:
Healthcare

Geo:
American, Korean

IOCs:
File: 2
Domain: 21

Softs:
macos, chrome

Algorithms:
base64

Links:
https://github.com/IconStorages/images

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Организации должны принимать меры по мониторингу и предотвращению инцидентов в цепочке поставок, включая внедрение процессов и технологий для быстрого обнаружения и реагирования, обучение персонала тому, как распознавать угрозы и реагировать на них, а также обеспечение того, чтобы все используемое программное обеспечение и компоненты были из надежных источников и регулярно обновлялись.
-----

Мониторинг и предотвращение инцидентов в цепочке поставок имеет решающее значение для безопасности любой организации. Недавняя атака на настольный клиент 3CX является примером такого инцидента и может иметь значительные потенциальные последствия из-за профиля клиентов 3CX, который включает такие ведущие бренды, как American Express, AirFrance, BMW, Toyota, Mercedes, Национальная служба здравоохранения и Coca-Cola.

Атака работает путем извлечения двух вредоносных DLL-файлов, ffmpeg.dll и d3dcompiler_47.dll. Первая DLL-библиотека, ffmpeg.dll, загружается боковой загрузкой и выполняет зашифрованную полезную нагрузку во втором DLL-файле, d3dcompiler_47.dll. Затем вредоносная программа загружает с GitHub файлы иконок (*.ICO), которые содержат инструкции в виде закодированных в Base64 строк в конце изображений. Вредоносная программа использует эти инструкции для загрузки конечной полезной нагрузки. Конечная полезная нагрузка загружается в виде DLL - новой вредоносной программы для кражи информации, которая нацелена на профили пользователей браузеров Chrome, Edge, Brave и Firefox для поиска сохраненных учетных данных и другой информации.

Исследователи из Crowdstrike предполагают, что атака может быть связана с северокорейской государственной группой угроз под названием Labyrinth Collima, подгруппой Lazarus. Поставщики защитного программного обеспечения, такие как SentinelOne, ESET, Sophos и CrowdStrike, выявили вредоносный код и предупредили пользователей о необходимости исследовать свои системы.

В целом, организациям важно принимать меры по мониторингу и предотвращению инцидентов в цепочке поставок. Это включает в себя внедрение процессов и технологий для быстрого обнаружения и реагирования на инциденты, а также обучение персонала тому, как распознавать угрозы и реагировать на них. Кроме того, организациям следует убедиться, что все программное обеспечение и компоненты, используемые в их системах, получены из надежных источников и регулярно обновляются.

#ParsedReport
30-03-2023

Technical Analysis of Xloaders Code Obfuscation in Version 4.3. Key Points

https://www.zscaler.com/blogs/security-research/technical-analysis-xloaders-code-obfuscation-version-43

Threats:
Formbook
Process_injection_technique

IOCs:
File: 3
Hash: 5
Domain: 65

Algorithms:
xor, rc4, base64

Functions:
RtlGetProcessHeaps

Languages:
python

Links:
https://github.com/threatlabz/tools/tree/main/xloader/custom\_buffer\_decryption\_algorithm.py
https://github.com/threatlabz/tools/tree/main/xloader/custom\_sha1.py
https://github.com/threatlabz/tools/tree/main/xloader/decrypt\_strings.py
https://github.com/threatlabz/tools/tree/main/xloader/custom\_rc4.py
https://github.com/threatlabz/tools/tree/main/xloader

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Xloader - это семейство вредоносных программ для кражи информации, которое с годами совершенствовалось за счет дополнительных слоев обфускации и шифрования. Zscaler ThreatLabz разработала инструменты для расшифровки кода и данных Xloader, а облачная платформа безопасности Zscaler способна обнаруживать индикаторы Xloader и Formbook.
-----

Xloader - это семейство вредоносных программ для кражи информации, которое произошло от семейства Formbook, впервые проданного на криминальных форумах в 2016 году. В начале 2020 года угрожающие субъекты, стоящие за Xloader, провели ребрендинг и перешли на модель "вредоносное ПО как услуга" (MaaS), сдавая инфраструктуру C2 в аренду клиентам. Разработчики продолжают обновлять код, добавляя дополнительные слои обфускации и шифрования с каждой новой выпущенной версией.

Последним вариантом Xloader является версия 4.3, выпущенная в январе 2023 года, которая имеет несколько модификаций, включая дополнительную обфускацию. Xloader реализует различные методы обфускации и несколько уровней шифрования для защиты критических частей кода и данных от анализа. Эти алгоритмы комбинируются различными способами для расшифровки других блоков кода и данных, таких как ключи шифрования и зашифрованные строки. Zscaler ThreatLabz разработал сценарий IDA для расшифровки зашифрованного кода Xloader, а также сценарий Python для расшифровки кода и данных Xloader.

Xloader содержит функции для расшифровки кода, которые защищены двумя уровнями шифрования в версиях 2.9 и 4.3. Алгоритм, используемый для обоих уровней, - это пользовательский алгоритм Xloader RC4 с ключом, хранящимся в структуре ConfigObj. Xloader также шифрует свою конфигурацию, включая список командно-контрольных (C2) серверов. Список C2 сначала декодируется Base64, а затем расшифровывается пользовательским слоем RC4. В версии 4.3 таблица 4-байтовых ключей строится на стеке, и каждая позиция соответствует C2. Ключ для последнего слоя RC4 генерируется путем XORing значения из ConfigObj со значением на стеке.

В целом, семейства вредоносных программ Formbook и Xloader представляют собой заметную угрозу, а угрожающие субъекты, стоящие за ними, постоянно совершенствуют свой код, пытаясь затруднить анализ. Однако исследователи Zscaler смогли разгадать слои обфускации и проанализировать ключевые компоненты кода вредоносного ПО. Многоуровневая платформа облачной безопасности Zscaler обнаруживает индикаторы Xloader и Formbook на различных уровнях.

#ParsedReport
29-03-2023

CrowdStrike Falcon Platform Detects and Prevents Active Intrusion Campaign Targeting 3CXDesktopApp Customers

https://www.crowdstrike.com/blog/crowdstrike-detects-and-prevents-active-intrusion-campaign-targeting-3cxdesktopapp-customers

Actors/Campaigns:
Lazarus

IOCs:
Hash: 8

Softs:
macos

Platforms:
intel

#ParsedReport
29-03-2023

Creal: New Stealer Targeting Cryptocurrency Users Via Phishing Sites

https://blog.cyble.com/2023/03/29/creal-new-stealer-targeting-cryptocurrency-users-via-phishing-sites

Threats:
Creal_stealer
Beacon

Industry:
Entertainment

TTPs:
Tactics: 7
Technics: 14

IOCs:
Url: 38
File: 3
IP: 63
Domain: 1
Hash: 2

Softs:
pyinstaller, curl, coinbase, discord, instagram, tiktok, outlook, telegram

Algorithms:
zip

Functions:
getnode, urlopen

Win API:
gethostname

Languages:
python

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Киберпреступники начали использовать InfoStealers для распространения криптомошенничества через каналы YouTube, от которого можно защититься, приняв определенные меры.
-----

Злоумышленники начали использовать InfoStealers для распространения криптомошенничества через каналы YouTube. Предполагается, что для получения доступа к учетным записям могло использоваться вредоносное ПО Stealer. Cyble Research and Intelligence Labs (CRIL) обнаружила фишинговый сайт, распространяющий Creal Stealer, который компилируется с помощью PyInstaller и написан на языке Python.

Программа проверяет, присутствуют ли имя пользователя, имя хоста, MAC-адрес и публичный IP-адрес жертвы в заранее составленных черных списках, и завершает выполнение, если найдено любое из значений черного списка. Он достигает постоянства, копируя себя в указанное место, и извлекает учетные данные и файлы cookie из браузеров на основе имен, упомянутых в коде. Его целью являются браузеры на базе Chromium, чат и игровые приложения, холодные криптовалютные кошельки и расширения для браузеров.

Creal Stealer также определяет IP-адрес и геолокационные данные жертвы и сохраняет украденные данные в файлах. Для утечки данных он использует веб-крючки Discord и многочисленные платформы для размещения и обмена файлами, такие как Anonfiles и Gofile.

#ParsedReport
30-03-2023

Dissecting AlienFox \| The Cloud Spammer s Swiss Army Knife

https://www.sentinelone.com/labs/dissecting-alienfox-the-cloud-spammers-swiss-army-knife

Threats:
Alienfox
Androxgh0st

Industry:
Financial, Retail

CVEs:
CVE-2022-31279 [Vulners]
CVSS V3.1: 0.0,
Vulners: Exploitation: Unknown
X-Force: Risk: 9.8
X-Force: Patch: Unavailable


IOCs:
File: 2

Softs:
microsoft office 365, telegram, laravel, drupal, joomla, opencart, wordpress, office365, sendgrid, sendinblue, have more...

Languages:
python, php

YARA: Found

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Компания SentinelLabs выявила AlienFox, инструментарий, используемый злоумышленниками для сбора учетных данных у нескольких поставщиков облачных услуг, что может привести к дополнительным расходам на обслуживание, потере доверия клиентов и затратам на устранение последствий. Для защиты от инструментов AlienFox организациям следует использовать передовые методы управления конфигурацией и придерживаться принципа наименьших привилегий.
-----

Компания SentinelLabs выявила AlienFox, инструментарий, используемый злоумышленниками для сбора учетных данных у нескольких поставщиков облачных услуг. Он является модульным, с открытым исходным кодом и постоянно развивается, причем с каждой итерацией разработчики становятся все более изощренными. Для работы инструментария обычно требуется список целей, который может генерироваться различными скриптами, в том числе с использованием API платформ SecurityTrails и LeakIX. На сегодняшний день существует три основные версии AlienFox, причем последняя содержит сценарии, автоматизирующие такие вредоносные действия, как создание постоянных учетных записей Amazon Web Services (AWS) и повышение привилегий, а также сбор квот на отправку и автоматизация спам-кампаний.

Набор инструментов расширился и включает в себя другие виды деятельности, такие как взлом криптовалютных кошельков и проверка того, связан ли адрес электронной почты с учетной записью Amazon. Для защиты от инструментов AlienFox организациям следует использовать лучшие практики управления конфигурацией и придерживаться принципа наименьших привилегий, а также рассмотреть возможность использования платформы Cloud Workload Protection Platform (CWPP) на виртуальных машинах и контейнерах для обнаружения интерактивных действий с ОС. Распространение AlienFox представляет собой незарегистрированную тенденцию к атакам на более минимальные облачные сервисы, непригодные для криптомайнинга, с целью обеспечения и расширения последующих кампаний. Анализируя инструменты и результаты работы инструментов, было установлено, что субъекты используют AlienFox для идентификации и сбора учетных данных сервисов с неправильно сконфигурированных или открытых сервисов. Компрометация может привести к дополнительным расходам на обслуживание, потере доверия клиентов и затратам на устранение последствий.

#ParsedReport
30-03-2023

Moobot Strikes Again - Targeting Cacti And RealTek Vulnerabilities

https://www.fortinet.com/blog/threat-research/moobot-strikes-again-targeting-cacti-and-realtek-vulnerabilities

Threats:
Moobot
Shellbot
Perlbot
Mirai
Powerbots
Gohack
Ircbot

Geo:
Portuguese

CVEs:
CVE-2021-35394 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- realtek realtek jungle sdk (le3.4.14b)

CVE-2022-46169 [Vulners]
CVSS V3.1: 0.0,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- cacti (le1.2.22)


IOCs:
File: 1
Hash: 37
Domain: 8
Url: 1
IP: 9

Languages:
perl

Platforms:
mips

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Лаборатория FortiGuard Labs наблюдала несколько всплесков атак, направленных на уязвимости Cacti и Realtek в январе и марте 2021 года для распространения вредоносного ПО ShellBot и Moobot, при этом полезная нагрузка для каждой атаки была идентифицирована. Антивирус FortiGuard способен обнаружить и блокировать эти атаки, а администраторам следует принять превентивные меры, используя надежные пароли и периодически меняя их.
-----

В январе и марте 2021 года лаборатория FortiGuard Labs наблюдала многочисленные серии атак, направленных на уязвимости Cacti и Realtek. Эти атаки использовались для распространения вредоносных программ ShellBot и Moobot. ShellBot - это вредоносная программа, разработанная на языке Perl, которая использует протокол Internet Relay Chat (IRC) для связи с сервером C2. Moobot - это ботнет-вариант Mirai, который нацелен на открытые сетевые устройства. При выполнении он связывается с сервером C2, troon . dns . army, используя сообщение heartbeat 0x336699, и может быть использован для проведения дальнейших атак.

Были определены полезные нагрузки для этих двух атак. Полезная нагрузка для CVE-2021-35394 состоит из нескольких файлов, а полезная нагрузка для CVE-2022-46169 представляет собой файл сценария для загрузки Moobot. Moobot имеет зашифрованный раздел данных с конфигурацией ботнета и использует команду kill -9, чтобы убедиться, что он единственный запущен на зараженном устройстве. ShellBot имеет три варианта: PowerBots (C) GohacK, LiGhT's Modded perlbot v2, и B0tchZ 0.2a.

#ParsedReport
30-03-2023

Exploitation is a Dish Best Served Cold: Winter Vivern Uses Known Zimbra Vulnerability to Target Webmail Portals of NATO-Aligned Governments in Europe

https://www.proofpoint.com/us/blog/threat-insight/exploitation-dish-best-served-cold-winter-vivern-uses-known-zimbra-vulnerability

Actors/Campaigns:
Winter_vivern
Ta473

Threats:
Credential_harvesting_technique
Follina_vuln

Industry:
Government

Geo:
Russian, Russia, Ukrainian, Belarussian, Ukraine

CVEs:
CVE-2021-35207 [Vulners]
CVSS V3.1: 4.3,
Vulners: Exploitation: Unknown
X-Force: Risk: 6.1
X-Force: Patch: Official fix
Soft:
- zimbra collaboration (9.0.0, 8.8.15)

CVE-2022-30190 [Vulners]
CVSS V3.1: 9.3,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- microsoft windows server 2012 (r2, -)
- microsoft windows 10 (1607, -, 1809, 20h2, 21h1, 21h2)
- microsoft windows 8.1 (-)
- microsoft windows server 2016 (-)
- microsoft windows server 2008 (-, r2)
have more...
CVE-2022-27926 [Vulners]
CVSS V3.1: 4.3,
Vulners: Exploitation: Unknown
X-Force: Risk: 6.1
X-Force: Patch: Official fix
Soft:
- zimbra collaboration (9.0.0)


IOCs:
Url: 7
Domain: 5

Softs:
wordpress, zimbra collaboration suite), zimbra collaboration suite

Algorithms:
base64

Languages:
javascript

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: TA473 является APT, который с 2021 года атакует европейские правительственные, военные и дипломатические организации, а недавно начал атаковать выборных должностных лиц и сотрудников в США. Для защиты от TA473 поставщики систем безопасности рекомендуют установить исправления на все версии Zimbra Collaboration, используемые в публичных порталах веб-почты, особенно среди европейских правительственных организаций, и ограничить ресурсы публичных порталов веб-почты от публичного интернета.
-----

TA473, известный как Winter Vivern, является APT, отслеживаемым компанией Proofpoint с 2021 года. Этот агент был замечен в активных фишинговых кампаниях, направленных на европейские правительственные, военные и дипломатические организации. В конце 2022 года исследователи Proofpoint заметили фишинговые кампании, направленные на выборных должностных лиц и сотрудников в США. TA473 обычно использует однодневные уязвимости, такие как эксплойт CVE-2022-30190 (Follina), и отправляет письма со скомпрометированных адресов электронной почты, часто с доменов, размещенных на WordPress. TA473 также использует непропатченную уязвимость Zimbra в публичных порталах веб-почты, что позволяет им получить доступ к почтовым ящикам правительственных организаций в Европе.

TA473 использует инструменты сканирования, такие как Acunetix, для выявления незапароленных порталов веб-почты. TA473 тратит значительное время на изучение порталов веб-почты и написание специальных полезных нагрузок JavaScript для кражи имен пользователей, паролей, хранения активной сессии и CSRF-токенов из cookies. TA473 перерабатывает вредоносные полезные нагрузки JavaScript, разработанные для портала веб-почты каждого правительственного объекта, которые затем доставляются через фишинговые письма с вредоносными URL-адресами. TA473 использует структурированные пути URI, которые указывают хэшированное значение целевого лица, некодированное указание целевой организации и, в некоторых случаях, кодированные или открытые версии доброкачественного URL.

Исследователи Proofpoint выявили случаи использования CSRF JavaScript полезной нагрузки, доставляемой с помощью эксплуатации CVE-2022-27926 и других более ранних механизмов доставки. TA473 демонстрирует целенаправленность, настойчивость и повторяющийся процесс компрометации геополитически уязвимых целей, хотя по стандартам APT они не отличаются особой изощренностью. Для защиты от TA473 производители систем безопасности рекомендуют установить исправления на все версии Zimbra Collaboration, используемые в публичных порталах веб-почты, особенно среди европейских правительственных организаций, и ограничить доступ к ресурсам публичных порталов веб-почты из публичного интернета.

#ParsedReport
30-03-2023

What You Need to Know About the 3CX Supply Chain Attack

https://cyberint.com/blog/research/3cx-supply-chain-attack

Actors/Campaigns:
Smoothoperator
Lazarus

Threats:
Supply_chain_technique

Geo:
Korean

IOCs:
File: 2
Hash: 2
Domain: 21

Softs:
whatsapp, macos, android

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: VoIP-клиент настольного ПК компании 3CX стал объектом атаки на цепочку поставок, которая, как полагают, была организована северокорейской группой Lazarus Group, в результате чего появилось вредоносное программное обеспечение, способное вызвать кражу данных, бэкдор-приложения и обратные оболочки. Компания 3CX работает над обновлением для уменьшения нанесенного ущерба.
-----

Настольный клиент 3CX Voice Over Internet Protocol (VoIP) стал объектом атаки по цепочке поставок, которая затронула пользователей приложения как Windows, так и macOS. Угрожающим субъектам, стоящим за этой кампанией, удалось скомпрометировать инфраструктуру 3CX и развернуть вредоносное программное обеспечение, подписанное цифровыми подписями. Это вредоносное ПО известно как SmoothOperator и отвечает за загрузку и выполнение полезной нагрузки второго этапа из нескольких источников на GitHub. В результате этой атаки возможна кража данных, использование бэкдоров и обратных оболочек. Считается, что она была организована северокорейской группой Lazarus Group, хотя эта атрибуция не подтверждена. В настоящее время компания 3CX работает над обновлением программного обеспечения, которое позволит уменьшить ущерб, нанесенный этой атакой.

#ParsedReport
29-03-2023

SmoothOperator \| Ongoing Campaign Trojanizes 3CX Software in Software Supply Chain Attack

https://www.sentinelone.com/blog/smoothoperator-ongoing-campaign-trojanizes-3cx-software-in-software-supply-chain-attack

Actors/Campaigns:
Smoothoperator

Threats:
Supply_chain_technique

Industry:
Foodtech, Healthcare

IOCs:
Url: 1
Hash: 3
Email: 2
Domain: 18

Softs:
chrome, macos, android, freepbx

Algorithms:
base64

Win API:
DllGetClassObject

Platforms:
x64

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Недавно компания SentinelOne выявила вредоносную кампанию, направленную на платформы частных автоматических телефонных станций (PABX), и потенциальным жертвам были предоставлены технические индикаторы для охоты на кампанию SmoothOperator. Важно иметь меры безопасности для защиты от таких атак на цепочки поставок.
-----

Недавно компания SentinelOne выявила вредоносную кампанию, направленную на платформы частных автоматических телефонных станций (PABX), в частности на популярное программное обеспечение для голосовых и видеоконференций 3CXDesktopApp. Поведенческие обнаружения предотвратили запуск этих троянских программ установки и привели к немедленному карантину. Многоступенчатая цепочка атак начинается с троянизированного 3CXDesktopApp, после чего для подписи троянизированных двоичных файлов используются вредоносные сертификаты подписи кода. Угрожающий агент зарегистрировал обширную инфраструктуру, начиная с февраля 2022 года.

Вредоносный код использует загрузчик шеллкода для выполнения шеллкода из пространства кучи и рефлексивной загрузки DLL. Затем эта DLL загружает другую DLL-библиотеку, которая, по всей видимости, представляет собой программу для сбора информации о системе и данных браузера из браузеров Chrome, Edge, Brave и Firefox. Сюда входит запрос истории просмотров и данных из таблицы Places для браузеров на базе Firefox и таблицы History для браузеров на базе Chrome.

На данный момент компания SentinelOne выпустила запрос на удаление вредоносного хранилища, и клиентам не нужно предпринимать никаких действий. Потенциальным жертвам были предоставлены технические индикаторы для поиска кампании SmoothOperator. Пока неясно, кто стоит за этой атакой и какова ее конечная цель. Однако эта атака служит напоминанием о важности наличия мер безопасности для защиты от подобных атак на цепочки поставок.