#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Wintapix - это драйвер ядра Windows, развернутый иранским агентом угроз, нацеленный на Саудовскую Аравию, Иорданию, Катар и Объединенные Арабские Эмираты. Он защищен VMProtect и использует различные методы обфускации. Драйвер используется для внедрения шеллкода в процессы, установки ключей реестра и запуска прокси-прослушивателей входящих запросов. Он также способен открывать RDP-соединение с целевым сервером.
-----

Wintapix - это драйвер ядра Windows с хэшем SHA-256 8578bff36e3b02cc71495b647db88c67c3c5ca710b5a2bd539148550595d0330.

Впервые он был замечен в дикой природе в декабре 2021 года и в основном в Саудовской Аравии, но также был обнаружен в Иордании, Катаре и Объединенных Арабских Эмиратах.

Он частично защищен программным средством защиты VMProtect.

Его основная цель - создание и выполнение следующего этапа атаки с помощью шеллкода.

Он устанавливается для загрузки в Safe Boot и контролируется с помощью функции ZwNotifyChangeKey().

Шелл-код был создан с помощью проекта Donut, а исполняемый файл был защищен с помощью Smart Assembly и Eazfuscator.

Он ищет характеристики Microsoft Internet Information Services (IIS) для построения URL-адресов и нацелен только на серверы IIS.

Шифрование осуществляется как для входящих, так и для исходящих сообщений.

В настоящее время он приписывается иранскому субъекту угрозы с низкой степенью достоверности.

#ParsedReport #CompletenessMedium
23-05-2023

Android app breaking bad: From legitimate screen recording to file exfiltration within a year

https://www.welivesecurity.com/2023/05/23/android-app-breaking-bad-legitimate-screen-recording-file-exfiltration

Report completeness: Medium

Actors/Campaigns:
Transparenttribe (motivation: cyber_espionage)

Threats:
Ahrat
Ahmyth_rat

Victims:
Android users

Industry:
Government

Geo:
Asia, Ukraine

TTPs:
Tactics: 5
Technics: 6

ChatGPT TTPs:
do not use without manual check
T1193, T1043, T1082

IOCs:
Hash: 4
Domain: 2
IP: 2

Softs:
android

Algorithms:
zip

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Исследователи ESET обнаружили в Google Play Store приложение iRecorder Screen Recorder, которое содержало вредоносный код, основанный на Android RAT AhMyth с открытым исходным кодом. Предполагается, что это приложение является частью кампании по шпионажу и может передавать записи с микрофона и красть файлы с устройства. Важно знать об устанавливаемых приложениях, изучать разработчиков, стоящих за ними, и быть бдительными для обеспечения безопасности.
-----

Недавно исследователи ESET обнаружили в магазине Google Play приложение iRecorder Screen Recorder, которое набрало более 50 000 установок. Версия приложения, присутствовавшая в магазине, содержала вредоносный код, основанный на открытом исходном коде AhMyth Android RAT. Этот вредоносный код был адаптирован в новую версию AhMyth, названную AhRat. Предполагается, что вредоносный код был добавлен в чистую версию iRecorder примерно в августе 2022 года, а затем удален из магазина после предупреждения ESET.

Вредоносный iRecorder может записывать окружающий звук с микрофона устройства и загружать его на командно-контрольный сервер злоумышленника. Кроме того, оно может передавать с устройства файлы с расширениями, представляющими сохраненные веб-страницы, изображения, аудио-, видео- и документальные файлы, а также форматы файлов, используемые для сжатия нескольких файлов. Специфическое вредоносное поведение приложения, заключающееся в эксфильтрации записей с микрофона и краже файлов с определенными расширениями, позволяет предположить, что оно является частью кампании по шпионажу, однако атрибуция конкретной вредоносной группе не была сделана.

Приложение было первоначально выпущено в Google Play Store 19 сентября 2021 года, но к марту 2023 года оно собрало более 50 000 установок. Пользователи Android, установившие более раннюю версию iRecorder до версии 1.3.8, в которой отсутствовали вредоносные функции, могли неосознанно подвергнуть свои устройства воздействию AhRat, если впоследствии обновляли приложение вручную или автоматически, даже не предоставляя никаких дополнительных разрешений. Приложение также можно найти на альтернативных и неофициальных рынках Android. Разработчик iRecorder также предоставляет другие приложения в Google Play, но они не содержат вредоносного кода.

Вредоносное приложение, по-видимому, вписывается в модель разрешений приложений и не требует никаких специальных дополнительных запросов на разрешение. Оно связывается с C&C-сервером и получает ряд команд и конфигурационную информацию для выполнения и установки на целевом устройстве.

AhRat способен перехватывать журналы вызовов, контакты, текстовые сообщения, местоположение устройства, отправлять SMS-сообщения, записывать аудио и делать снимки. В Android 11 и выше были реализованы превентивные меры для защиты от вредоносных действий. Кроме того, авторы вредоносного приложения приложили усилия к тому, чтобы разобраться в коде приложения и бэк-энде.

Исследование AhRat служит примером того, как легитимное приложение может превратиться во вредоносное. Этот инцидент также демонстрирует важность контроля и осведомленности о приложениях, которые устанавливаются на устройство, а также изучения разработчиков, стоящих за ними. Важно также отметить, что вредоносное приложение все еще можно найти на альтернативных и неофициальных рынках Android, поэтому бдительность является ключевым фактором.

#ParsedReport #CompletenessLow
23-05-2023

New Ransomware Wave Engulfs over 200 Corporate Victims

https://blog.cyble.com/2023/05/23/new-ransomware-wave-engulfs-over-200-corporate-victims

Report completeness: Low

Threats:
Crosslock
Blacksuit
Rancoz
Cryptnet
Ra-group
Malaslocker
Rhysida
8base

TTPs:
Tactics: 3
Technics: 6

ChatGPT TTPs:
do not use without manual check
T1036, T1486, T1490, T1566, T1573, T1574

IOCs:
Command: 3
File: 4
Hash: 1

Softs:
telegram, zimbra

Algorithms:
aes, sha256, sha1

Platforms:
x86

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Атаки Ransomware становятся все более опасными, появляются новые методы и группы, которые подвергают жертв риску. Доступность исходного кода и сборщиков позволила менее искушенным участникам атак на программы-выкупы, что создает прибыльный бизнес для преступников. Важно сохранять бдительность, когда речь идет о кибербезопасности.
-----

Атаки Ransomware становятся все более актуальной проблемой в сфере кибербезопасности. Появление множества новых штаммов ransomware и групп ransomware только за последнюю неделю в сочетании с применением новых методов двойного вымогательства поставило под угрозу более 200 жертв по всему миру. Масштабируемость и прибыльность этих преступных операций привлекла к игре с вымогательским ПО ряд новых участников угроз.

Недавно обнаруженная программа MalasLocker ransomware выделяется своим нестандартным подходом, предлагая жертвам сделать пожертвование вместо того, чтобы требовать выкуп. Также была обнаружена программа Rhysida ransomware, использующая уникальный метод доставки записки о выкупе в формате PDF. 8Base ransomware - еще один пример того, как группа ransomware использует двойное вымогательство, похищая данные жертвы перед их шифрованием.

Доступность утечки исходного кода и сборки предыдущих групп ransomware позволила менее искушенным TA участвовать в атаках ransomware. Очевидно, что ransomware становится прибыльным бизнесом, и преступники разрабатывают новые техники и методы для получения максимальной прибыли. Поскольку угроза, исходящая от ransomware, продолжает развиваться, важно сохранять бдительность в вопросах кибербезопасности.

#ParsedReport #CompletenessMedium
23-05-2023

Meet the GoldenJackal APT group. Don t expect any howls

https://securelist.com/goldenjackal-apt-group/109677

Report completeness: Medium

Actors/Campaigns:
Goldenjackal (motivation: information_theft, hacktivism, cyber_espionage, cyber_criminal)
Turla
Blackshadow

Threats:
Jackalcontrol
Jackalworm
Jackalsteal
Jackalperinfo
Jackalscreenwatcher
Follina_vuln
Netstat_tool
Kazuar

Victims:
Government and diplomatic entities in the middle east and south asia

Industry:
Government

Geo:
Azerbaijan, Turkey, Afghanistan, Pakistan, Asia, Iran, Iraq

TTPs:
Tactics: 1
Technics: 0

IOCs:
File: 12
Url: 36
Command: 1
Hash: 10
Path: 3

Softs:
skype for business, psexec, net framework, windows service, windows scheduled task, adguard, windows registry, chrome, opera, wordpress, have more...

Algorithms:
aes, gzip, xor, des, base64

Functions:
GetSysInfo

Win API:
DriveType

Languages:
php

Platforms:
x64, intel

YARA: Found

Links:
https://github.com/thalysonsousa/follina/blob/main/teste.html

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: APT-группа GoldenJackal действует с 2019 года, нацеливаясь на правительственные и дипломатические учреждения на Ближнем Востоке и в Южной Азии. Они используют специфический набор инструментов вредоносного ПО .NET, включая JackalControl, JackalWorm, JackalSteal, JackalPerInfo и JackalScreenWatcher, и были замечены за размещением логики, связанной с C2, на взломанных веб-сайтах WordPress. Жертвы были замечены в нескольких странах. Существует некоторое сходство между GoldenJackal и Turla.
-----

GoldenJackal - это APT-группа, впервые замеченная в середине 2020 года. Считается, что группа активна с 2019 года и нацелена на правительственные и дипломатические структуры на Ближнем Востоке и в Южной Азии. Группа имеет специфический инструментарий вредоносного ПО .NET, включая JackalControl, JackalWorm, JackalSteal, JackalPerInfo и JackalScreenWatcher. В качестве векторов заражения использовались поддельные программы установки Skype и вредоносные документы Word.

Троянец JackalControl позволяет злоумышленникам удаленно контролировать целевую машину и генерирует BOT_ID для идентификации скомпрометированной системы. Он взаимодействует с помощью HTTP POST-запросов и может быть запущен как стандартная программа или служба Windows. Для обеспечения устойчивости вредоносная программа может создать запланированную задачу Windows, ключ запуска в реестре или службу Windows. Для шифрования результатов команд она использует кодировки GZIP, DES и base64.

JackalSteal - это имплант, используемый для поиска интересующих файлов на целевой системе и их эксфильтрации на сервер C2. Он может использоваться для мониторинга съемных USB-накопителей, удаленных общих ресурсов и всех логических дисков. Он сериализует данные в XML, шифрует их с помощью DES и хранит полезную нагрузку в %ApplicationData%\SNMP\cache\%Filename%.

JackalWorm - это вредоносная программа, предназначенная для заражения систем, использующих съемные USB-накопители. При обнаружении съемного USB-накопителя JackalWorm копирует себя в корень диска и создает скрытый каталог с тем же именем. Затем он устанавливает троянскую программу JackalControl. Последующие подключенные съемные накопители будут повторно заражены JackalWorm.

Вредоносная программа perinfo собирает и хранит информацию в двоичном файле, сжатом с помощью GZIP. Она также пытается украсть учетные данные, хранящиеся в базах данных браузера жертвы. Эта же функция была замечена в первых вариантах JackalControl, но была удалена из более новых вариантов.

JackalScreenWatcher используется для сбора скриншотов рабочего стола жертвы и отправки изображений на удаленный, жестко запрограммированный C2-сервер. Он настроен на обработку некоторых аргументов, которые являются необязательными и могут быть предоставлены в качестве входных данных. Когда обнаруживается активность пользователя, он делает снимок экрана и отправляет его на удаленный сервер. Зашифрованная полезная нагрузка аналогична той, что используется JackalSteal, и содержит имя удаленного файла и данные скриншота.

Мы полагаем, что злоумышленники загружают вредоносный PHP-файл на взломанные веб-сайты WordPress в качестве метода размещения логики, связанной с C2. Жертвы были замечены в Афганистане, Азербайджане, Иране, Ираке, Пакистане и Турции. Мы не можем связать GoldenJackal с каким-либо известным агентом, однако есть некоторые сходства между GoldenJackal и Turla.

#ParsedReport #CompletenessMedium
23-05-2023

ASEC weekly malware statistics (20230515 \~ 20230521)

https://asec.ahnlab.com/ko/53144

Report completeness: Medium

Actors/Campaigns:
Ta505

Threats:
Amadey
Smokeloader
Lockbit
Gandcrab
Flawedammyy
Clop
Agent_tesla
Azorult
Formbook
Clipboard_grabbing_technique
Cloudeye
Remcos_rat
Nanocore_rat
Lokibot_stealer
Avemaria_rat

Industry:
Transport

Geo:
Korea, Vietnam

IOCs:
Url: 39
Domain: 2
Email: 3
File: 24

Softs:
telegram, nsis installer, discord

Languages:
visual_basic

#ParsedReport #CompletenessLow
23-05-2023

Lazarus Group Targeting Windows IIS Web Servers

https://asec.ahnlab.com/en/53132

Report completeness: Low

Actors/Campaigns:
Lazarus

Threats:
Dll_sideloading_technique
Mimikatz_tool
Supply_chain_technique
Log4shell_vuln
Lazarloader

Victims:
Windows iis web servers

TTPs:
Tactics: 1
Technics: 1

IOCs:
File: 7
Path: 2
Hash: 4

Algorithms:
salsa20

Functions:
WinAPI

Win API:
FreeLibraryAndExitThread

Links:
https://github.com/nulled666/nppqcp

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Группа Lazarus Group использовала различные векторы атак для эксплуатации веб-серверов Windows IIS и получения доступа к внутренним сетям. Менеджеры по корпоративной безопасности должны знать об этой угрозе и принимать упреждающие меры для предотвращения дальнейшего ущерба.
-----

Группа Lazarus Group была идентифицирована как активный злоумышленник, атакующий веб-серверы Windows IIS. Журнал AhnLab Smart Defense (ASD) выявил вредоносное поведение, осуществляемое через w3wp.exe, процесс веб-сервера IIS. Угроза использовала технику побочной загрузки DLL для запуска вредоносного кода, которая заключалась в размещении вредоносной DLL (msvcr100.dll) в том же пути к папке, что и обычное приложение (Wordconv.exe).

Затем вредоносная DLL используется для расшифровки закодированного PE-файла (msvcr100.dat) и ключа (df2bsr2rob5s1f8788yk6ddi4x0wz1jq) с помощью алгоритма Salsa20. Затем расшифрованный PE-файл выполняется в памяти, очищая вредоносный DLL-модуль перед удалением. Такое поведение аналогично поведению вредоносной программы cylvc.dll, о которой рассказывалось в блоге ASEC от 2022 года и которая использовалась для расшифровки файлов данных с расширением .dat с помощью алгоритма Salsa20 перед выполнением PE-файла в пространстве памяти.

Затем угрожающий агент создал дополнительное вредоносное ПО (diagn.dll), используя плагин с открытым исходным кодом для выбора цвета для Notepad++. Есть основания полагать, что для доступа к системным учетным данным использовался инструмент для кражи учетных данных, такой как Mimikatz, поскольку объект угрозы получил доступ к памяти процесса lsass.exe. Получив доступ к внутренней сети, угрожающий агент осуществил боковое перемещение через удаленный доступ (порт 3389).

Группа Lazarus Group использовала целый ряд векторов атак для осуществления первоначального взлома, включая Log4Shell, уязвимость публичного сертификата, атаку на цепочку поставок 3CX и т.д. Менеджеры по корпоративной безопасности должны быть бдительными, когда речь идет о защите от атак этой группы, используя управление поверхностью атаки и постоянно обновляя последние исправления безопасности. Проактивный мониторинг отношений аномального выполнения процессов и принятие упреждающих мер также могут помочь предотвратить нанесение дальнейшего ущерба этой группой угроз. Продукты компании "АнЛаб" обнаруживают и блокируют вредоносное ПО, использованное в этой атаке, со следующими псевдонимами.

Сорри, сегодня отчетов не будет :(
Втаскиваем классификатор изображений в прод.

В общем есть ряд нюансов в работе API телеги.
Если постить картинку, то размер сообщения сокращается до 1024 символов. У нас первый пост со списком распарсенных объектов часто превышает 1024. Саммари ChatGPT всегда очень близко к максимальному размеру сообщения - 4096.
Придется делать отдельное сообщение :( Т.е. 3 сообщения на отчет.
Вот пример.

#ParsedReport #CompletenessLow
22-05-2023

BlackCat Ransomware Deploys New Signed Kernel Driver. Executive Summary

https://www.trendmicro.com/en_us/research/23/e/blackcat-ransomware-deploys-new-signed-kernel-driver.html

Report completeness: Low

Threats:
Blackcat
Stonestop
Vmprotect_tool
Poortry

Victims:
Microsoft hardware developer accounts

Industry:
Financial

ChatGPT TTPs:
do not use without manual check
T1201.002, T1158.002, T1193.001

IOCs:
Hash: 3
File: 2
Path: 1

Algorithms:
sha256

Win API:
ZwTerminateProcess, ObQueryNameString

#ParsedReport #ExtractedSchema

Classified images:
windows: 27, code: 25, chart: 5, schema: 5

Сообщение со схемой будет добавляться только если схему удалось найти :)
Давайте поживем до конца следующей недели с таким форматом. Потом пообщаюсь с активными пользователями канала (кто использует чат в работе) и решим, оставлять ли эту фичу, или нет.

Будьте бдительны с ChatGPT, у него иногда сносит крышу. Пару раз он выдавал куски из Шекспира, а теперь вот выдал историю США

Ну и вдогонку он решил меня добить гениальной идеей, на основе скормленного текста

#ParsedReport #CompletenessHigh
25-05-2023

People's Republic of China State-Sponsored Cyber Actor Living off the Land to Evade Detection

https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-144a

Report completeness: High

Threats:
Ntdsutil_tool
Earthworm_tool
Impacket_tool
Metasploit_tool
Portproxy_tool
Netstat_tool
Wevtutil_tool
Nltest_tool
Credential_dumping_technique

Victims:
Networks across u.s. critical infrastructure sectors and other sectors worldwide

Industry:
Telco, Government

Geo:
Canadian, Australian, China

CVEs:
CVE-2021-27860 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- fatpipeinc ipvpn firmware (5.2.0, 6.1.2, 7.1.2, 9.1.2, 10.1.2, 10.2.2)
- fatpipeinc warp firmware (5.2.0, 6.1.2, 7.1.2, 9.1.2, 10.1.2, 10.2.2)
- fatpipeinc mpvpn firmware (5.2.0, 6.1.2, 7.1.2, 9.1.2, 10.1.2, 10.2.2)

CVE-2021-40539 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- zohocorp manageengine adselfservice plus (5.7, 5.0, 5.1, 5.2, 5.3, 5.4, 5.5, 5.6, 4.5, 5.8, 6.0, 6.1, 5.0.6)


TTPs:
Tactics: 6
Technics: 19

IOCs:
File: 24
Command: 27
Path: 27
Registry: 11
IP: 1
Hash: 11

Softs:
active directory, windows event viewer, windows firewall, windows powershell, curl, windows security, windows defender firewall

Algorithms:
sha256, zip

YARA: Found

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Органы кибербезопасности выпустили сообщение о вредоносной активности спонсируемого государством субъекта КНР, который использует методы "living off the land" и использует взломанные устройства SOHO в качестве промежуточной инфраструктуры для передачи командно-контрольного трафика. Владельцы устройств SOHO должны убедиться, что интерфейсы управления сетью не выведены в Интернет.
-----

Американские и международные органы кибербезопасности выпустили совместный совет по кибербезопасности, чтобы обратить внимание на злонамеренную деятельность кибероператора, спонсируемого государством Китайская Народная Республика (КНР). Действующее лицо использует технику "living off the land", которая предполагает использование встроенных инструментов сетевого администрирования для выполнения своих задач. Примеры команд агента и сигнатур обнаружения приведены в рекомендации, чтобы помочь защитникам сетей в поиске этой активности. Действующее лицо использовало скомпрометированные сетевые устройства малого офиса/домашнего офиса (SOHO) в качестве промежуточной инфраструктуры, чтобы скрыть свою деятельность, поскольку большая часть командно-контрольного (C2) трафика исходит от местных интернет-провайдеров в географической зоне жертвы. Владельцы устройств SOHO должны убедиться, что интерфейсы управления сетью не выведены в Интернет, чтобы избежать их повторного использования злоумышленниками в качестве перенаправляющих устройств.

Известно, что актер использовал Impacket, Earthworm и пользовательский клиент Fast Reverse Proxy (FRP) с жестко закодированными C2-обратными вызовами на порты 8080, 8443, 8043, 8000 и 10443 с различными именами файлов.

#ParsedReport #CompletenessMedium
24-05-2023

Agrius Deploys Moneybird in Targeted Attacks Against Israeli Organizations. YARA

https://research.checkpoint.com/2023/agrius-deploys-moneybird-in-targeted-attacks-against-israeli-organizations

Report completeness: Medium

Actors/Campaigns:
Agrius
Blackshadow

Threats:
Moneybird
Apostle
Aspxspy_shell
Plink_tool
Dumplsass_tool
Procdump_tool
Cryptopp_tool
ransomware.wins

Victims:
Israeli organizations

Industry:
Education

Geo:
Middle-east, Iranian, Iran, Israel, Israeli

IOCs:
Path: 20
File: 1

Softs:
softperfect network scanner, visual studio

Algorithms:
aes-256, base64, aes-256-gcm

Win API:
GetSystemInfo, GetLogicalDrives, CoCreateGuid

YARA: Found

Links:
https://github.com/ShiftMediaProject/libgcrypt/blob/b2048356d17efd77d10cab1689cf9bd5b2cc4456/src/gcrypt.h.in
https://github.com/ShiftMediaProject/libgcrypt

#ParsedReport #ExtractedSchema

Classified images:
code: 7, schema: 2, dump: 2