CTT Report Hub
#ParsedReport #CompletenessMedium 23-05-2023 Meet the GoldenJackal APT group. Don t expect any howls https://securelist.com/goldenjackal-apt-group/109677 Report completeness: Medium Actors/Campaigns: Goldenjackal (motivation: information_theft, hacktivism…
#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: APT-группа GoldenJackal действует с 2019 года, нацеливаясь на правительственные и дипломатические учреждения на Ближнем Востоке и в Южной Азии. Они используют специфический набор инструментов вредоносного ПО .NET, включая JackalControl, JackalWorm, JackalSteal, JackalPerInfo и JackalScreenWatcher, и были замечены за размещением логики, связанной с C2, на взломанных веб-сайтах WordPress. Жертвы были замечены в нескольких странах. Существует некоторое сходство между GoldenJackal и Turla.
-----
GoldenJackal - это APT-группа, впервые замеченная в середине 2020 года. Считается, что группа активна с 2019 года и нацелена на правительственные и дипломатические структуры на Ближнем Востоке и в Южной Азии. Группа имеет специфический инструментарий вредоносного ПО .NET, включая JackalControl, JackalWorm, JackalSteal, JackalPerInfo и JackalScreenWatcher. В качестве векторов заражения использовались поддельные программы установки Skype и вредоносные документы Word.
Троянец JackalControl позволяет злоумышленникам удаленно контролировать целевую машину и генерирует BOT_ID для идентификации скомпрометированной системы. Он взаимодействует с помощью HTTP POST-запросов и может быть запущен как стандартная программа или служба Windows. Для обеспечения устойчивости вредоносная программа может создать запланированную задачу Windows, ключ запуска в реестре или службу Windows. Для шифрования результатов команд она использует кодировки GZIP, DES и base64.
JackalSteal - это имплант, используемый для поиска интересующих файлов на целевой системе и их эксфильтрации на сервер C2. Он может использоваться для мониторинга съемных USB-накопителей, удаленных общих ресурсов и всех логических дисков. Он сериализует данные в XML, шифрует их с помощью DES и хранит полезную нагрузку в %ApplicationData%\SNMP\cache\%Filename%.
JackalWorm - это вредоносная программа, предназначенная для заражения систем, использующих съемные USB-накопители. При обнаружении съемного USB-накопителя JackalWorm копирует себя в корень диска и создает скрытый каталог с тем же именем. Затем он устанавливает троянскую программу JackalControl. Последующие подключенные съемные накопители будут повторно заражены JackalWorm.
Вредоносная программа perinfo собирает и хранит информацию в двоичном файле, сжатом с помощью GZIP. Она также пытается украсть учетные данные, хранящиеся в базах данных браузера жертвы. Эта же функция была замечена в первых вариантах JackalControl, но была удалена из более новых вариантов.
JackalScreenWatcher используется для сбора скриншотов рабочего стола жертвы и отправки изображений на удаленный, жестко запрограммированный C2-сервер. Он настроен на обработку некоторых аргументов, которые являются необязательными и могут быть предоставлены в качестве входных данных. Когда обнаруживается активность пользователя, он делает снимок экрана и отправляет его на удаленный сервер. Зашифрованная полезная нагрузка аналогична той, что используется JackalSteal, и содержит имя удаленного файла и данные скриншота.
Мы полагаем, что злоумышленники загружают вредоносный PHP-файл на взломанные веб-сайты WordPress в качестве метода размещения логики, связанной с C2. Жертвы были замечены в Афганистане, Азербайджане, Иране, Ираке, Пакистане и Турции. Мы не можем связать GoldenJackal с каким-либо известным агентом, однако есть некоторые сходства между GoldenJackal и Turla.
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: APT-группа GoldenJackal действует с 2019 года, нацеливаясь на правительственные и дипломатические учреждения на Ближнем Востоке и в Южной Азии. Они используют специфический набор инструментов вредоносного ПО .NET, включая JackalControl, JackalWorm, JackalSteal, JackalPerInfo и JackalScreenWatcher, и были замечены за размещением логики, связанной с C2, на взломанных веб-сайтах WordPress. Жертвы были замечены в нескольких странах. Существует некоторое сходство между GoldenJackal и Turla.
-----
GoldenJackal - это APT-группа, впервые замеченная в середине 2020 года. Считается, что группа активна с 2019 года и нацелена на правительственные и дипломатические структуры на Ближнем Востоке и в Южной Азии. Группа имеет специфический инструментарий вредоносного ПО .NET, включая JackalControl, JackalWorm, JackalSteal, JackalPerInfo и JackalScreenWatcher. В качестве векторов заражения использовались поддельные программы установки Skype и вредоносные документы Word.
Троянец JackalControl позволяет злоумышленникам удаленно контролировать целевую машину и генерирует BOT_ID для идентификации скомпрометированной системы. Он взаимодействует с помощью HTTP POST-запросов и может быть запущен как стандартная программа или служба Windows. Для обеспечения устойчивости вредоносная программа может создать запланированную задачу Windows, ключ запуска в реестре или службу Windows. Для шифрования результатов команд она использует кодировки GZIP, DES и base64.
JackalSteal - это имплант, используемый для поиска интересующих файлов на целевой системе и их эксфильтрации на сервер C2. Он может использоваться для мониторинга съемных USB-накопителей, удаленных общих ресурсов и всех логических дисков. Он сериализует данные в XML, шифрует их с помощью DES и хранит полезную нагрузку в %ApplicationData%\SNMP\cache\%Filename%.
JackalWorm - это вредоносная программа, предназначенная для заражения систем, использующих съемные USB-накопители. При обнаружении съемного USB-накопителя JackalWorm копирует себя в корень диска и создает скрытый каталог с тем же именем. Затем он устанавливает троянскую программу JackalControl. Последующие подключенные съемные накопители будут повторно заражены JackalWorm.
Вредоносная программа perinfo собирает и хранит информацию в двоичном файле, сжатом с помощью GZIP. Она также пытается украсть учетные данные, хранящиеся в базах данных браузера жертвы. Эта же функция была замечена в первых вариантах JackalControl, но была удалена из более новых вариантов.
JackalScreenWatcher используется для сбора скриншотов рабочего стола жертвы и отправки изображений на удаленный, жестко запрограммированный C2-сервер. Он настроен на обработку некоторых аргументов, которые являются необязательными и могут быть предоставлены в качестве входных данных. Когда обнаруживается активность пользователя, он делает снимок экрана и отправляет его на удаленный сервер. Зашифрованная полезная нагрузка аналогична той, что используется JackalSteal, и содержит имя удаленного файла и данные скриншота.
Мы полагаем, что злоумышленники загружают вредоносный PHP-файл на взломанные веб-сайты WordPress в качестве метода размещения логики, связанной с C2. Жертвы были замечены в Афганистане, Азербайджане, Иране, Ираке, Пакистане и Турции. Мы не можем связать GoldenJackal с каким-либо известным агентом, однако есть некоторые сходства между GoldenJackal и Turla.
#ParsedReport #CompletenessMedium
23-05-2023
ASEC weekly malware statistics (20230515 \~ 20230521)
https://asec.ahnlab.com/ko/53144
Report completeness: Medium
Actors/Campaigns:
Ta505
Threats:
Amadey
Smokeloader
Lockbit
Gandcrab
Flawedammyy
Clop
Agent_tesla
Azorult
Formbook
Clipboard_grabbing_technique
Cloudeye
Remcos_rat
Nanocore_rat
Lokibot_stealer
Avemaria_rat
Industry:
Transport
Geo:
Korea, Vietnam
IOCs:
Url: 39
Domain: 2
Email: 3
File: 24
Softs:
telegram, nsis installer, discord
Languages:
visual_basic
23-05-2023
ASEC weekly malware statistics (20230515 \~ 20230521)
https://asec.ahnlab.com/ko/53144
Report completeness: Medium
Actors/Campaigns:
Ta505
Threats:
Amadey
Smokeloader
Lockbit
Gandcrab
Flawedammyy
Clop
Agent_tesla
Azorult
Formbook
Clipboard_grabbing_technique
Cloudeye
Remcos_rat
Nanocore_rat
Lokibot_stealer
Avemaria_rat
Industry:
Transport
Geo:
Korea, Vietnam
IOCs:
Url: 39
Domain: 2
Email: 3
File: 24
Softs:
telegram, nsis installer, discord
Languages:
visual_basic
ASEC BLOG
ASEC 주간 악성코드 통계 (20230515 ~ 20230521) - ASEC BLOG
ASEC(AhnLab Security Emergency response Center)에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 본 포스팅에서는 2023년 5월 15일 월요일부터 5월 21일 일요일까지 한 주간 수집된 악성코드의 통계를 정리한다. 대분류 상으로는 인포스틸러가 43.8%로 1위를 차지하였으며, 그 다음으로는 다운로더가 36.9%, 이어서 백도어 15.3%, 랜섬웨어가 3.4%…
#ParsedReport #CompletenessLow
23-05-2023
Lazarus Group Targeting Windows IIS Web Servers
https://asec.ahnlab.com/en/53132
Report completeness: Low
Actors/Campaigns:
Lazarus
Threats:
Dll_sideloading_technique
Mimikatz_tool
Supply_chain_technique
Log4shell_vuln
Lazarloader
Victims:
Windows iis web servers
TTPs:
Tactics: 1
Technics: 1
IOCs:
File: 7
Path: 2
Hash: 4
Algorithms:
salsa20
Functions:
WinAPI
Win API:
FreeLibraryAndExitThread
Links:
23-05-2023
Lazarus Group Targeting Windows IIS Web Servers
https://asec.ahnlab.com/en/53132
Report completeness: Low
Actors/Campaigns:
Lazarus
Threats:
Dll_sideloading_technique
Mimikatz_tool
Supply_chain_technique
Log4shell_vuln
Lazarloader
Victims:
Windows iis web servers
TTPs:
Tactics: 1
Technics: 1
IOCs:
File: 7
Path: 2
Hash: 4
Algorithms:
salsa20
Functions:
WinAPI
Win API:
FreeLibraryAndExitThread
Links:
https://github.com/nulled666/nppqcpASEC
Lazarus Group Targeting Windows IIS Web Servers - ASEC
Lazarus Group Targeting Windows IIS Web Servers ASEC
CTT Report Hub
#ParsedReport #CompletenessLow 23-05-2023 Lazarus Group Targeting Windows IIS Web Servers https://asec.ahnlab.com/en/53132 Report completeness: Low Actors/Campaigns: Lazarus Threats: Dll_sideloading_technique Mimikatz_tool Supply_chain_technique Log4shell_vuln…
#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Группа Lazarus Group использовала различные векторы атак для эксплуатации веб-серверов Windows IIS и получения доступа к внутренним сетям. Менеджеры по корпоративной безопасности должны знать об этой угрозе и принимать упреждающие меры для предотвращения дальнейшего ущерба.
-----
Группа Lazarus Group была идентифицирована как активный злоумышленник, атакующий веб-серверы Windows IIS. Журнал AhnLab Smart Defense (ASD) выявил вредоносное поведение, осуществляемое через w3wp.exe, процесс веб-сервера IIS. Угроза использовала технику побочной загрузки DLL для запуска вредоносного кода, которая заключалась в размещении вредоносной DLL (msvcr100.dll) в том же пути к папке, что и обычное приложение (Wordconv.exe).
Затем вредоносная DLL используется для расшифровки закодированного PE-файла (msvcr100.dat) и ключа (df2bsr2rob5s1f8788yk6ddi4x0wz1jq) с помощью алгоритма Salsa20. Затем расшифрованный PE-файл выполняется в памяти, очищая вредоносный DLL-модуль перед удалением. Такое поведение аналогично поведению вредоносной программы cylvc.dll, о которой рассказывалось в блоге ASEC от 2022 года и которая использовалась для расшифровки файлов данных с расширением .dat с помощью алгоритма Salsa20 перед выполнением PE-файла в пространстве памяти.
Затем угрожающий агент создал дополнительное вредоносное ПО (diagn.dll), используя плагин с открытым исходным кодом для выбора цвета для Notepad++. Есть основания полагать, что для доступа к системным учетным данным использовался инструмент для кражи учетных данных, такой как Mimikatz, поскольку объект угрозы получил доступ к памяти процесса lsass.exe. Получив доступ к внутренней сети, угрожающий агент осуществил боковое перемещение через удаленный доступ (порт 3389).
Группа Lazarus Group использовала целый ряд векторов атак для осуществления первоначального взлома, включая Log4Shell, уязвимость публичного сертификата, атаку на цепочку поставок 3CX и т.д. Менеджеры по корпоративной безопасности должны быть бдительными, когда речь идет о защите от атак этой группы, используя управление поверхностью атаки и постоянно обновляя последние исправления безопасности. Проактивный мониторинг отношений аномального выполнения процессов и принятие упреждающих мер также могут помочь предотвратить нанесение дальнейшего ущерба этой группой угроз. Продукты компании "АнЛаб" обнаруживают и блокируют вредоносное ПО, использованное в этой атаке, со следующими псевдонимами.
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Группа Lazarus Group использовала различные векторы атак для эксплуатации веб-серверов Windows IIS и получения доступа к внутренним сетям. Менеджеры по корпоративной безопасности должны знать об этой угрозе и принимать упреждающие меры для предотвращения дальнейшего ущерба.
-----
Группа Lazarus Group была идентифицирована как активный злоумышленник, атакующий веб-серверы Windows IIS. Журнал AhnLab Smart Defense (ASD) выявил вредоносное поведение, осуществляемое через w3wp.exe, процесс веб-сервера IIS. Угроза использовала технику побочной загрузки DLL для запуска вредоносного кода, которая заключалась в размещении вредоносной DLL (msvcr100.dll) в том же пути к папке, что и обычное приложение (Wordconv.exe).
Затем вредоносная DLL используется для расшифровки закодированного PE-файла (msvcr100.dat) и ключа (df2bsr2rob5s1f8788yk6ddi4x0wz1jq) с помощью алгоритма Salsa20. Затем расшифрованный PE-файл выполняется в памяти, очищая вредоносный DLL-модуль перед удалением. Такое поведение аналогично поведению вредоносной программы cylvc.dll, о которой рассказывалось в блоге ASEC от 2022 года и которая использовалась для расшифровки файлов данных с расширением .dat с помощью алгоритма Salsa20 перед выполнением PE-файла в пространстве памяти.
Затем угрожающий агент создал дополнительное вредоносное ПО (diagn.dll), используя плагин с открытым исходным кодом для выбора цвета для Notepad++. Есть основания полагать, что для доступа к системным учетным данным использовался инструмент для кражи учетных данных, такой как Mimikatz, поскольку объект угрозы получил доступ к памяти процесса lsass.exe. Получив доступ к внутренней сети, угрожающий агент осуществил боковое перемещение через удаленный доступ (порт 3389).
Группа Lazarus Group использовала целый ряд векторов атак для осуществления первоначального взлома, включая Log4Shell, уязвимость публичного сертификата, атаку на цепочку поставок 3CX и т.д. Менеджеры по корпоративной безопасности должны быть бдительными, когда речь идет о защите от атак этой группы, используя управление поверхностью атаки и постоянно обновляя последние исправления безопасности. Проактивный мониторинг отношений аномального выполнения процессов и принятие упреждающих мер также могут помочь предотвратить нанесение дальнейшего ущерба этой группой угроз. Продукты компании "АнЛаб" обнаруживают и блокируют вредоносное ПО, использованное в этой атаке, со следующими псевдонимами.
Сорри, сегодня отчетов не будет :(
Втаскиваем классификатор изображений в прод.
Втаскиваем классификатор изображений в прод.
👍3
В общем есть ряд нюансов в работе API телеги.
Если постить картинку, то размер сообщения сокращается до 1024 символов. У нас первый пост со списком распарсенных объектов часто превышает 1024. Саммари ChatGPT всегда очень близко к максимальному размеру сообщения - 4096.
Придется делать отдельное сообщение :( Т.е. 3 сообщения на отчет.
Вот пример.
Если постить картинку, то размер сообщения сокращается до 1024 символов. У нас первый пост со списком распарсенных объектов часто превышает 1024. Саммари ChatGPT всегда очень близко к максимальному размеру сообщения - 4096.
Придется делать отдельное сообщение :( Т.е. 3 сообщения на отчет.
Вот пример.
Forwarded from RST Cloud Monitoring
#ParsedReport #CompletenessLow
22-05-2023
BlackCat Ransomware Deploys New Signed Kernel Driver. Executive Summary
https://www.trendmicro.com/en_us/research/23/e/blackcat-ransomware-deploys-new-signed-kernel-driver.html
Report completeness: Low
Threats:
Blackcat
Stonestop
Vmprotect_tool
Poortry
Victims:
Microsoft hardware developer accounts
Industry:
Financial
ChatGPT TTPs:
T1201.002, T1158.002, T1193.001
IOCs:
Hash: 3
File: 2
Path: 1
Algorithms:
sha256
Win API:
ZwTerminateProcess, ObQueryNameString
22-05-2023
BlackCat Ransomware Deploys New Signed Kernel Driver. Executive Summary
https://www.trendmicro.com/en_us/research/23/e/blackcat-ransomware-deploys-new-signed-kernel-driver.html
Report completeness: Low
Threats:
Blackcat
Stonestop
Vmprotect_tool
Poortry
Victims:
Microsoft hardware developer accounts
Industry:
Financial
ChatGPT TTPs:
do not use without manual checkT1201.002, T1158.002, T1193.001
IOCs:
Hash: 3
File: 2
Path: 1
Algorithms:
sha256
Win API:
ZwTerminateProcess, ObQueryNameString
Trend Micro
BlackCat Ransomware Deploys New Signed Kernel Driver
In this blog post, we will provide details on a BlackCat ransomware incident that occurred in February 2023, where we observed a new capability, mainly used for the defense evasion phase.
Forwarded from RST Cloud Monitoring
RST Cloud Monitoring
#ParsedReport #CompletenessLow 22-05-2023 BlackCat Ransomware Deploys New Signed Kernel Driver. Executive Summary https://www.trendmicro.com/en_us/research/23/e/blackcat-ransomware-deploys-new-signed-kernel-driver.html Report completeness: Low Threats:…
Сообщение со схемой будет добавляться только если схему удалось найти :)
Давайте поживем до конца следующей недели с таким форматом. Потом пообщаюсь с активными пользователями канала (кто использует чат в работе) и решим, оставлять ли эту фичу, или нет.
Давайте поживем до конца следующей недели с таким форматом. Потом пообщаюсь с активными пользователями канала (кто использует чат в работе) и решим, оставлять ли эту фичу, или нет.
👍2
#ParsedReport #CompletenessHigh
25-05-2023
People's Republic of China State-Sponsored Cyber Actor Living off the Land to Evade Detection
https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-144a
Report completeness: High
Threats:
Ntdsutil_tool
Earthworm_tool
Impacket_tool
Metasploit_tool
Portproxy_tool
Netstat_tool
Wevtutil_tool
Nltest_tool
Credential_dumping_technique
Victims:
Networks across u.s. critical infrastructure sectors and other sectors worldwide
Industry:
Telco, Government
Geo:
Canadian, Australian, China
CVEs:
CVE-2021-27860 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- fatpipeinc ipvpn firmware (5.2.0, 6.1.2, 7.1.2, 9.1.2, 10.1.2, 10.2.2)
- fatpipeinc warp firmware (5.2.0, 6.1.2, 7.1.2, 9.1.2, 10.1.2, 10.2.2)
- fatpipeinc mpvpn firmware (5.2.0, 6.1.2, 7.1.2, 9.1.2, 10.1.2, 10.2.2)
CVE-2021-40539 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- zohocorp manageengine adselfservice plus (5.7, 5.0, 5.1, 5.2, 5.3, 5.4, 5.5, 5.6, 4.5, 5.8, 6.0, 6.1, 5.0.6)
TTPs:
Tactics: 6
Technics: 19
IOCs:
File: 24
Command: 27
Path: 27
Registry: 11
IP: 1
Hash: 11
Softs:
active directory, windows event viewer, windows firewall, windows powershell, curl, windows security, windows defender firewall
Algorithms:
sha256, zip
YARA: Found
25-05-2023
People's Republic of China State-Sponsored Cyber Actor Living off the Land to Evade Detection
https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-144a
Report completeness: High
Threats:
Ntdsutil_tool
Earthworm_tool
Impacket_tool
Metasploit_tool
Portproxy_tool
Netstat_tool
Wevtutil_tool
Nltest_tool
Credential_dumping_technique
Victims:
Networks across u.s. critical infrastructure sectors and other sectors worldwide
Industry:
Telco, Government
Geo:
Canadian, Australian, China
CVEs:
CVE-2021-27860 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- fatpipeinc ipvpn firmware (5.2.0, 6.1.2, 7.1.2, 9.1.2, 10.1.2, 10.2.2)
- fatpipeinc warp firmware (5.2.0, 6.1.2, 7.1.2, 9.1.2, 10.1.2, 10.2.2)
- fatpipeinc mpvpn firmware (5.2.0, 6.1.2, 7.1.2, 9.1.2, 10.1.2, 10.2.2)
CVE-2021-40539 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- zohocorp manageengine adselfservice plus (5.7, 5.0, 5.1, 5.2, 5.3, 5.4, 5.5, 5.6, 4.5, 5.8, 6.0, 6.1, 5.0.6)
TTPs:
Tactics: 6
Technics: 19
IOCs:
File: 24
Command: 27
Path: 27
Registry: 11
IP: 1
Hash: 11
Softs:
active directory, windows event viewer, windows firewall, windows powershell, curl, windows security, windows defender firewall
Algorithms:
sha256, zip
YARA: Found
Vulners Database
CVE-2021-27860- vulnerability database |...
A vulnerability in the web management interface of FatPipe WARP, IPVPN, and MPVPN software prior to versions 10.1.2r60p92 and 10.2.2r44p1 allows a remote, unauthenticated attacker to upload a file to any location on the filesystem. The FatPipe...
CTT Report Hub
#ParsedReport #CompletenessHigh 25-05-2023 People's Republic of China State-Sponsored Cyber Actor Living off the Land to Evade Detection https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-144a Report completeness: High Threats: Ntdsutil_tool…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Органы кибербезопасности выпустили сообщение о вредоносной активности спонсируемого государством субъекта КНР, который использует методы "living off the land" и использует взломанные устройства SOHO в качестве промежуточной инфраструктуры для передачи командно-контрольного трафика. Владельцы устройств SOHO должны убедиться, что интерфейсы управления сетью не выведены в Интернет.
-----
Американские и международные органы кибербезопасности выпустили совместный совет по кибербезопасности, чтобы обратить внимание на злонамеренную деятельность кибероператора, спонсируемого государством Китайская Народная Республика (КНР). Действующее лицо использует технику "living off the land", которая предполагает использование встроенных инструментов сетевого администрирования для выполнения своих задач. Примеры команд агента и сигнатур обнаружения приведены в рекомендации, чтобы помочь защитникам сетей в поиске этой активности. Действующее лицо использовало скомпрометированные сетевые устройства малого офиса/домашнего офиса (SOHO) в качестве промежуточной инфраструктуры, чтобы скрыть свою деятельность, поскольку большая часть командно-контрольного (C2) трафика исходит от местных интернет-провайдеров в географической зоне жертвы. Владельцы устройств SOHO должны убедиться, что интерфейсы управления сетью не выведены в Интернет, чтобы избежать их повторного использования злоумышленниками в качестве перенаправляющих устройств.
Известно, что актер использовал Impacket, Earthworm и пользовательский клиент Fast Reverse Proxy (FRP) с жестко закодированными C2-обратными вызовами на порты 8080, 8443, 8043, 8000 и 10443 с различными именами файлов.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Органы кибербезопасности выпустили сообщение о вредоносной активности спонсируемого государством субъекта КНР, который использует методы "living off the land" и использует взломанные устройства SOHO в качестве промежуточной инфраструктуры для передачи командно-контрольного трафика. Владельцы устройств SOHO должны убедиться, что интерфейсы управления сетью не выведены в Интернет.
-----
Американские и международные органы кибербезопасности выпустили совместный совет по кибербезопасности, чтобы обратить внимание на злонамеренную деятельность кибероператора, спонсируемого государством Китайская Народная Республика (КНР). Действующее лицо использует технику "living off the land", которая предполагает использование встроенных инструментов сетевого администрирования для выполнения своих задач. Примеры команд агента и сигнатур обнаружения приведены в рекомендации, чтобы помочь защитникам сетей в поиске этой активности. Действующее лицо использовало скомпрометированные сетевые устройства малого офиса/домашнего офиса (SOHO) в качестве промежуточной инфраструктуры, чтобы скрыть свою деятельность, поскольку большая часть командно-контрольного (C2) трафика исходит от местных интернет-провайдеров в географической зоне жертвы. Владельцы устройств SOHO должны убедиться, что интерфейсы управления сетью не выведены в Интернет, чтобы избежать их повторного использования злоумышленниками в качестве перенаправляющих устройств.
Известно, что актер использовал Impacket, Earthworm и пользовательский клиент Fast Reverse Proxy (FRP) с жестко закодированными C2-обратными вызовами на порты 8080, 8443, 8043, 8000 и 10443 с различными именами файлов.
#ParsedReport #CompletenessMedium
24-05-2023
Agrius Deploys Moneybird in Targeted Attacks Against Israeli Organizations. YARA
https://research.checkpoint.com/2023/agrius-deploys-moneybird-in-targeted-attacks-against-israeli-organizations
Report completeness: Medium
Actors/Campaigns:
Agrius
Blackshadow
Threats:
Moneybird
Apostle
Aspxspy_shell
Plink_tool
Dumplsass_tool
Procdump_tool
Cryptopp_tool
ransomware.wins
Victims:
Israeli organizations
Industry:
Education
Geo:
Middle-east, Iranian, Iran, Israel, Israeli
IOCs:
Path: 20
File: 1
Softs:
softperfect network scanner, visual studio
Algorithms:
aes-256, base64, aes-256-gcm
Win API:
GetSystemInfo, GetLogicalDrives, CoCreateGuid
YARA: Found
Links:
24-05-2023
Agrius Deploys Moneybird in Targeted Attacks Against Israeli Organizations. YARA
https://research.checkpoint.com/2023/agrius-deploys-moneybird-in-targeted-attacks-against-israeli-organizations
Report completeness: Medium
Actors/Campaigns:
Agrius
Blackshadow
Threats:
Moneybird
Apostle
Aspxspy_shell
Plink_tool
Dumplsass_tool
Procdump_tool
Cryptopp_tool
ransomware.wins
Victims:
Israeli organizations
Industry:
Education
Geo:
Middle-east, Iranian, Iran, Israel, Israeli
IOCs:
Path: 20
File: 1
Softs:
softperfect network scanner, visual studio
Algorithms:
aes-256, base64, aes-256-gcm
Win API:
GetSystemInfo, GetLogicalDrives, CoCreateGuid
YARA: Found
Links:
https://github.com/ShiftMediaProject/libgcrypt/blob/b2048356d17efd77d10cab1689cf9bd5b2cc4456/src/gcrypt.h.inhttps://github.com/ShiftMediaProject/libgcryptCheck Point Research
Agrius Deploys Moneybird in Targeted Attacks Against Israeli Organizations - Check Point Research
Key Points Introduction While responding to a ransomware attack against an Israeli organization, the Check Point Incident Response Team (CPIRT) and CPR identified a new strain of ransomware called Moneybird. Although the payload itself was unique, the TTPs…
CTT Report Hub
#ParsedReport #CompletenessMedium 24-05-2023 Agrius Deploys Moneybird in Targeted Attacks Against Israeli Organizations. YARA https://research.checkpoint.com/2023/agrius-deploys-moneybird-in-targeted-attacks-against-israeli-organizations Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Agrius - это угроза, связанная с Министерством разведки и безопасности Ирана (MOIS), которая была связана с несколькими атаками вымогательского ПО и wiper, направленными на израильские учреждения. Последний штамм, Moneybird, написан на C++ и использует AES-256 с режимом GCM для шифрования.
-----
Agrius - угрожающий агент, связанный с Министерством разведки и безопасности Ирана (MOIS), который действует в основном на Ближнем Востоке, атакуя израильские учреждения. В 2021 году команды Check Point Incident Response Team (CPIRT) и CPR выявили новый штамм вымогательского ПО под названием Moneybird, который был развернут Agrius. Moneybird был написан на C++ и использовал для шифрования AES-256 с режимом GCM. Она имеет 194 расширения файлов, на которые нацелена, хотя может быть настроена на безразборное шифрование всех файлов в целевых путях. После шифрования в конец файла добавляется зашифрованная структура meta_info.
Agrius известен тем, что использует публичные веб-серверы и узлы VPN-сервисов, в частности, узлы ProtonVPN в Израиле. После получения доступа группа использует несколько общедоступных инструментов для проведения разведки, перемещения в стороны, сбора учетных данных и утечки информации. Среди этих инструментов - SoftPerfect Network Scanner, Plink, Procdump, FileZilla, а также Ufile.io и Easyupload.io для загрузки вредоносных файлов.
Agrius был связан с несколькими атаками с использованием ransomware и wiper, в основном на израильские учреждения, такие как Ширбит и Университет Бар-Илан. Использование Moneybird заслуживает внимания, поскольку оно демонстрирует расширение возможностей группировки и ее постоянные усилия по разработке новых инструментов. Однако группа продолжает следовать своему обычному поведению и использовать те же инструменты и методы, что и раньше.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Agrius - это угроза, связанная с Министерством разведки и безопасности Ирана (MOIS), которая была связана с несколькими атаками вымогательского ПО и wiper, направленными на израильские учреждения. Последний штамм, Moneybird, написан на C++ и использует AES-256 с режимом GCM для шифрования.
-----
Agrius - угрожающий агент, связанный с Министерством разведки и безопасности Ирана (MOIS), который действует в основном на Ближнем Востоке, атакуя израильские учреждения. В 2021 году команды Check Point Incident Response Team (CPIRT) и CPR выявили новый штамм вымогательского ПО под названием Moneybird, который был развернут Agrius. Moneybird был написан на C++ и использовал для шифрования AES-256 с режимом GCM. Она имеет 194 расширения файлов, на которые нацелена, хотя может быть настроена на безразборное шифрование всех файлов в целевых путях. После шифрования в конец файла добавляется зашифрованная структура meta_info.
Agrius известен тем, что использует публичные веб-серверы и узлы VPN-сервисов, в частности, узлы ProtonVPN в Израиле. После получения доступа группа использует несколько общедоступных инструментов для проведения разведки, перемещения в стороны, сбора учетных данных и утечки информации. Среди этих инструментов - SoftPerfect Network Scanner, Plink, Procdump, FileZilla, а также Ufile.io и Easyupload.io для загрузки вредоносных файлов.
Agrius был связан с несколькими атаками с использованием ransomware и wiper, в основном на израильские учреждения, такие как Ширбит и Университет Бар-Илан. Использование Moneybird заслуживает внимания, поскольку оно демонстрирует расширение возможностей группировки и ее постоянные усилия по разработке новых инструментов. Однако группа продолжает следовать своему обычному поведению и использовать те же инструменты и методы, что и раньше.
#ParsedReport #CompletenessMedium
25-05-2023
Buhti: New Ransomware Operation Relies on Repurposed Payloads
https://symantec-enterprise-blogs.security.com/threat-intelligence/buhti-ransomware
Report completeness: Medium
Actors/Campaigns:
Syrphid
Threats:
Buhti
Babuk
Lockbit
Meterpreter_tool
Cobalt_strike
Sliver_tool
Anydesk_tool
Connectwise_rat
Beacon
Victims:
Windows and linux systems
Industry:
Financial
CVEs:
CVE-2023-27350 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- papercut papercut ng (<20.1.7, <21.2.11, <22.0.9)
- papercut papercut mf (<22.0.9, <21.2.11, <20.1.7)
CVE-2022-47986 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- ibm aspera faspex (le4.4.1, 4.4.2)
TTPs:
Tactics: 1
Technics: 0
IOCs:
Hash: 27
IP: 2
Softs:
papercut, esxi
Algorithms:
zip, sha256
Languages:
golang
Links:
25-05-2023
Buhti: New Ransomware Operation Relies on Repurposed Payloads
https://symantec-enterprise-blogs.security.com/threat-intelligence/buhti-ransomware
Report completeness: Medium
Actors/Campaigns:
Syrphid
Threats:
Buhti
Babuk
Lockbit
Meterpreter_tool
Cobalt_strike
Sliver_tool
Anydesk_tool
Connectwise_rat
Beacon
Victims:
Windows and linux systems
Industry:
Financial
CVEs:
CVE-2023-27350 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- papercut papercut ng (<20.1.7, <21.2.11, <22.0.9)
- papercut papercut mf (<22.0.9, <21.2.11, <20.1.7)
CVE-2022-47986 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- ibm aspera faspex (le4.4.1, 4.4.2)
TTPs:
Tactics: 1
Technics: 0
IOCs:
Hash: 27
IP: 2
Softs:
papercut, esxi
Algorithms:
zip, sha256
Languages:
golang
Links:
https://github.com/alexmullins/zipSecurity
Buhti: New Ransomware Operation Relies on Repurposed Payloads
Attackers use rebranded variants of leaked LockBit and Babuk ransomware payloads but use own custom exfiltration tool.
CTT Report Hub
#ParsedReport #CompletenessMedium 25-05-2023 Buhti: New Ransomware Operation Relies on Repurposed Payloads https://symantec-enterprise-blogs.security.com/threat-intelligence/buhti-ransomware Report completeness: Medium Actors/Campaigns: Syrphid Threats:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея текста заключается в том, что Buhti - это новое ransomware, которое выделяется на фоне других ransomware-существ благодаря использованию утечек семейств LockBit и Babuk ransomware, а также способности быстро использовать недавно обнаруженные уязвимости.
-----
Buhti, также известная как Blacktail, является относительно новой операцией по распространению ransomware, которая впервые стала достоянием общественности в феврале 2023 года. Группа отличается от других производителей вымогательского ПО тем, что не разрабатывает собственные полезные нагрузки, а использует варианты семейств вымогательского ПО LockBit и Babuk для атак на системы Windows и Linux. Команда Threat Hunter Team компании Symantec обнаружила попытки атак на компьютеры Windows во взломанных сетях, и, похоже, группа быстро использует недавно раскрытые уязвимости, такие как недавно исправленная уязвимость PaperCut.
Анализ полезной нагрузки, использованной Buhti против компьютеров Windows, показал, что это была минимально модифицированная версия просочившейся в сеть программы LockBit 3.0 (она же LockBit Black). Эта программа включает функцию, которая сбрасывает файл .bmp с логотипом LockBit и делает его обоями Windows, но эта функция была отключена злоумышленниками. Программа также способна отправлять системную информацию о зараженном компьютере на командно-контрольный (C&C) сервер, но эта функция также отключена, и C&C сервер не указан. Все Linux-варианты этой программы-вымогателя были вариантами просочившегося в сеть Babuk ransomware.
В дополнение к полезной нагрузке ransomware, Buhti, похоже, также разработал один пользовательский инструмент - инструмент для кражи информации, предназначенный для поиска и архивирования файлов определенных типов. Этот инструмент написан на языке Golang и предназначен для кражи следующих типов файлов: .pdf, .php, .png, .ppt, .psd, .rar, .raw, .rtf, .sql, .svg, .swf, .tar, .txt, .wav, .wma, .wmv, .xls, .xml, .yml, .zip, .aiff, .aspx, .docx, .epub, .json, .mpeg, .pptx, .xlsx, .yaml. Скопированные файлы помещаются в архив .zip, который создается с помощью.
Последние атаки Buhti также использовали недавно обнаруженную уязвимость в PaperCut NG и MF (CVE-2023-27350) и уязвимость в приложении обмена файлами Aspera Faspex от IBM (CVE-2022-47986). Эти инструменты использовались для кражи данных и доставки полезной нагрузки ransomware на несколько компьютеров в целевой сети.
Хотя повторное использование утечек полезной нагрузки часто является отличительной чертой менее квалифицированных операций с выкупными программами, общая компетентность Blacktail в проведении атак в сочетании с его способностью распознавать полезность недавно обнаруженных уязвимостей позволяет предположить, что его не стоит недооценивать. Благодаря быстрому использованию недавно обнаруженных уязвимостей и применению инструментов, разработанных на заказ, Buhti относится к тем видам вымогательского ПО, к которым не стоит относиться легкомысленно.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея текста заключается в том, что Buhti - это новое ransomware, которое выделяется на фоне других ransomware-существ благодаря использованию утечек семейств LockBit и Babuk ransomware, а также способности быстро использовать недавно обнаруженные уязвимости.
-----
Buhti, также известная как Blacktail, является относительно новой операцией по распространению ransomware, которая впервые стала достоянием общественности в феврале 2023 года. Группа отличается от других производителей вымогательского ПО тем, что не разрабатывает собственные полезные нагрузки, а использует варианты семейств вымогательского ПО LockBit и Babuk для атак на системы Windows и Linux. Команда Threat Hunter Team компании Symantec обнаружила попытки атак на компьютеры Windows во взломанных сетях, и, похоже, группа быстро использует недавно раскрытые уязвимости, такие как недавно исправленная уязвимость PaperCut.
Анализ полезной нагрузки, использованной Buhti против компьютеров Windows, показал, что это была минимально модифицированная версия просочившейся в сеть программы LockBit 3.0 (она же LockBit Black). Эта программа включает функцию, которая сбрасывает файл .bmp с логотипом LockBit и делает его обоями Windows, но эта функция была отключена злоумышленниками. Программа также способна отправлять системную информацию о зараженном компьютере на командно-контрольный (C&C) сервер, но эта функция также отключена, и C&C сервер не указан. Все Linux-варианты этой программы-вымогателя были вариантами просочившегося в сеть Babuk ransomware.
В дополнение к полезной нагрузке ransomware, Buhti, похоже, также разработал один пользовательский инструмент - инструмент для кражи информации, предназначенный для поиска и архивирования файлов определенных типов. Этот инструмент написан на языке Golang и предназначен для кражи следующих типов файлов: .pdf, .php, .png, .ppt, .psd, .rar, .raw, .rtf, .sql, .svg, .swf, .tar, .txt, .wav, .wma, .wmv, .xls, .xml, .yml, .zip, .aiff, .aspx, .docx, .epub, .json, .mpeg, .pptx, .xlsx, .yaml. Скопированные файлы помещаются в архив .zip, который создается с помощью.
Последние атаки Buhti также использовали недавно обнаруженную уязвимость в PaperCut NG и MF (CVE-2023-27350) и уязвимость в приложении обмена файлами Aspera Faspex от IBM (CVE-2022-47986). Эти инструменты использовались для кражи данных и доставки полезной нагрузки ransomware на несколько компьютеров в целевой сети.
Хотя повторное использование утечек полезной нагрузки часто является отличительной чертой менее квалифицированных операций с выкупными программами, общая компетентность Blacktail в проведении атак в сочетании с его способностью распознавать полезность недавно обнаруженных уязвимостей позволяет предположить, что его не стоит недооценивать. Благодаря быстрому использованию недавно обнаруженных уязвимостей и применению инструментов, разработанных на заказ, Buhti относится к тем видам вымогательского ПО, к которым не стоит относиться легкомысленно.
#ParsedReport #CompletenessLow
24-05-2023
Updates to Legion: A Cloud Credential Harvester and SMTP Hijacker
https://www.cadosecurity.com/updates-to-legion-a-cloud-credential-harvester-and-smtp-hijacker
Report completeness: Low
Threats:
Legion
Credential_harvesting_technique
Log4shell_vuln
ChatGPT TTPs:
T1078, T1543.003, T1552.003, T1098, T1555.003, T1090, T1543.001
IOCs:
File: 1
Hash: 1
Softs:
telegram, laravel, dynamodb, mac os, android, unix, macos
Languages:
python, php
Platforms:
x64, intel
Links:
24-05-2023
Updates to Legion: A Cloud Credential Harvester and SMTP Hijacker
https://www.cadosecurity.com/updates-to-legion-a-cloud-credential-harvester-and-smtp-hijacker
Report completeness: Low
Threats:
Legion
Credential_harvesting_technique
Log4shell_vuln
ChatGPT TTPs:
do not use without manual checkT1078, T1543.003, T1552.003, T1098, T1555.003, T1090, T1543.001
IOCs:
File: 1
Hash: 1
Softs:
telegram, laravel, dynamodb, mac os, android, unix, macos
Languages:
python, php
Platforms:
x64, intel
Links:
https://github.com/cado-securityhttps://github.com/ab/aws-owlhttps://github.com/pagevamp/laravel-cloudwatch-logs/tree/masterCadosecurity
Updates to Legion: A Cloud Credential Harvester and SMTP Hijacker
Cado Labs have encountered an updated version of a cloud-focused hacktool named Legion with some additional functionality.
CTT Report Hub
#ParsedReport #CompletenessLow 24-05-2023 Updates to Legion: A Cloud Credential Harvester and SMTP Hijacker https://www.cadosecurity.com/updates-to-legion-a-cloud-credential-harvester-and-smtp-hijacker Report completeness: Low Threats: Legion Credenti…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Legion - это активно разрабатываемый хакерский инструмент, предназначенный для эксплуатации уязвимых веб-приложений и облачных сервисов в попытке сбора учетных данных. Пользователи облачных сервисов должны предпринимать шаги по защите, регулярно проверяя неправильную конфигурацию веб-приложений, альтернативы хранению секретов в файлах окружения и ища индикаторы компрометации вредоносным ПО.
-----
Компания Cado Labs недавно обнаружила и сообщила о появлении хакерского инструмента, ориентированного на облачные технологии, под названием Legion, который распространялся и продавался в различных публичных группах и каналах в службе обмена сообщениями Telegram. В образце Legion, ранее проанализированном Cado, разработчики включили код в класс под названием legion для анализа списка учетных данных базы данных и извлечения пар имен пользователей и паролей. Кроме того, вредоносная программа искала файлы переменных окружения в неправильно настроенных веб-серверах, работающих на PHP-фреймворках, таких как Laravel.
Теперь исследователи столкнулись с обновленной версией этого вредоносного ПО с некоторыми дополнительными функциями, представляющими интерес для специалистов по облачной безопасности. В обновленной версии Legion был включен импорт Paramiko (реализация протокола SSHv2 на языке Python), что позволяет вредоносной программе пытаться войти на хост через SSH, используя собранные учетные данные. Кроме того, вредоносная программа теперь ищет учетные данные, специфичные для определенных облачных сервисов, таких как AWS CloudWatch, и изменила тему тестовых электронных писем, отправляемых вредоносной программой, включив в них ссылку на King Forza - имя, которое также используется на канале YouTube, связанном с операторами вредоносной программы.
Legion - это активно разрабатываемый инструмент взлома, специально предназначенный для эксплуатации уязвимых веб-приложений в попытке сбора учетных данных. Поскольку с каждой итерацией разработчики нацеливаются на облачные сервисы, следует регулярно пересматривать рекомендации по обнаружению и предотвращению. Ошибки в конфигурации веб-приложений по-прежнему являются основным методом, используемым Legion для получения учетных данных, поэтому разработчикам и администраторам веб-приложений следует регулярно проверять доступ к ресурсам в самих приложениях и искать альтернативы хранению секретов в файлах окружения.
Кроме того, пользователи AWS должны знать, что вредоносная программа создает пользователя IAM и устанавливает тег Owner на значение ms.boharas, что является сильным индикатором компрометации вредоносной программой. Это может быть использовано для инженерных разработок и расследований. Следуя этим простым советам, пользователи облачных вычислений могут защитить себя от вредоносной деятельности Legion и других подобных хактул.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Legion - это активно разрабатываемый хакерский инструмент, предназначенный для эксплуатации уязвимых веб-приложений и облачных сервисов в попытке сбора учетных данных. Пользователи облачных сервисов должны предпринимать шаги по защите, регулярно проверяя неправильную конфигурацию веб-приложений, альтернативы хранению секретов в файлах окружения и ища индикаторы компрометации вредоносным ПО.
-----
Компания Cado Labs недавно обнаружила и сообщила о появлении хакерского инструмента, ориентированного на облачные технологии, под названием Legion, который распространялся и продавался в различных публичных группах и каналах в службе обмена сообщениями Telegram. В образце Legion, ранее проанализированном Cado, разработчики включили код в класс под названием legion для анализа списка учетных данных базы данных и извлечения пар имен пользователей и паролей. Кроме того, вредоносная программа искала файлы переменных окружения в неправильно настроенных веб-серверах, работающих на PHP-фреймворках, таких как Laravel.
Теперь исследователи столкнулись с обновленной версией этого вредоносного ПО с некоторыми дополнительными функциями, представляющими интерес для специалистов по облачной безопасности. В обновленной версии Legion был включен импорт Paramiko (реализация протокола SSHv2 на языке Python), что позволяет вредоносной программе пытаться войти на хост через SSH, используя собранные учетные данные. Кроме того, вредоносная программа теперь ищет учетные данные, специфичные для определенных облачных сервисов, таких как AWS CloudWatch, и изменила тему тестовых электронных писем, отправляемых вредоносной программой, включив в них ссылку на King Forza - имя, которое также используется на канале YouTube, связанном с операторами вредоносной программы.
Legion - это активно разрабатываемый инструмент взлома, специально предназначенный для эксплуатации уязвимых веб-приложений в попытке сбора учетных данных. Поскольку с каждой итерацией разработчики нацеливаются на облачные сервисы, следует регулярно пересматривать рекомендации по обнаружению и предотвращению. Ошибки в конфигурации веб-приложений по-прежнему являются основным методом, используемым Legion для получения учетных данных, поэтому разработчикам и администраторам веб-приложений следует регулярно проверять доступ к ресурсам в самих приложениях и искать альтернативы хранению секретов в файлах окружения.
Кроме того, пользователи AWS должны знать, что вредоносная программа создает пользователя IAM и устанавливает тег Owner на значение ms.boharas, что является сильным индикатором компрометации вредоносной программой. Это может быть использовано для инженерных разработок и расследований. Следуя этим простым советам, пользователи облачных вычислений могут защитить себя от вредоносной деятельности Legion и других подобных хактул.
#ParsedReport #CompletenessMedium
25-05-2023
Operation "Total Exchange": New PowerExchange Backdoor Discovered in the UAE
https://www.fortinet.com/blog/threat-research/operation-total-exchange-backdoor-discovered
Report completeness: Medium
Actors/Campaigns:
Total_exchange
Cobalt_katana
Oilrig
Threats:
Powerexchange
Adkoob
Exchangeleech
Beacon
Incontroller_tool
Trifive
Victims:
Government agency in the united arab emirates
Industry:
Government
Geo:
Kuwait, Emirates, Iranian
IOCs:
File: 5
Path: 14
Coin: 1
Url: 1
Hash: 7
Softs:
microsoft exchange server, microsoft exchange, microsoft edge, microsoft edge update
Algorithms:
sha1, base64, zip
Links:
25-05-2023
Operation "Total Exchange": New PowerExchange Backdoor Discovered in the UAE
https://www.fortinet.com/blog/threat-research/operation-total-exchange-backdoor-discovered
Report completeness: Medium
Actors/Campaigns:
Total_exchange
Cobalt_katana
Oilrig
Threats:
Powerexchange
Adkoob
Exchangeleech
Beacon
Incontroller_tool
Trifive
Victims:
Government agency in the united arab emirates
Industry:
Government
Geo:
Kuwait, Emirates, Iranian
IOCs:
File: 5
Path: 14
Coin: 1
Url: 1
Hash: 7
Softs:
microsoft exchange server, microsoft exchange, microsoft edge, microsoft edge update
Algorithms:
sha1, base64, zip
Links:
https://github.com/Kevin-Robertson/Invoke-TheHash