#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Программа Akira ransomware была использована для атаки на более чем 16 организаций по всему миру, используя слабые места в системе безопасности, такие как фишинговые письма, эксплуатация RDP и уязвимости программного обеспечения. Злоумышленники также использовали методы уклонения и инструменты эксфильтрации, и есть подозрения, что они скопировали исходный код программы Conti ransomware. Важно принять упреждающие меры, чтобы обезопасить системы от подобных атак в будущем.
-----

Атаки Ransomware стали серьезной проблемой для частных лиц и организаций. С появлением Ransomware-as-a-Service и утечкой исходного кода популярных вымогательских программ, угрожающие стороны принимают эту стратегию. Одной из недавно замеченных программ-вымогателей является Akira, которая начала свою кампанию в конце марта 2023 года и уже заразила более 16 организаций по всему миру. У нее есть свой собственный сайт Tor в ретро-стиле, где она публично раскрывает украденные данные, если жертва не заплатит выкуп.

Операторы программы Akira ransomware нацеливаются на уязвимые системы и используют слабые места в системе безопасности для получения первоначального доступа. Их распространенная тактика включает фишинговые письма, использование протокола удаленного рабочего стола (RDP) и уязвимостей программного обеспечения для проникновения в системы и проведения атак. Кроме того, они используют и другие методы, такие как перебор плохо управляемых серверов MsSQL. В конкретном случае с программой Akira ransomware злоумышленники в первую очередь использовали плохо настроенные соединения Remote Desktop Protocol (RDP), которые были открыты для доступа в Интернет, с обходом MFA и слабыми паролями. Для получения доступа злоумышленники создавали службы Windows для дампа памяти из lsass.exe с целью кражи учетных данных и создавали запланированные задачи для выполнения удаленного листинга каталогов. Они также использовали AdvancedIP Scanner для поиска всех подключенных в сети систем и Radmin для удаленного доступа.

Для уклонения злоумышленники добавили в реестр для обхода сканирования в реальном времени в Windows Defender HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths\C:\ и использовали путь C:\programdata для запуска большинства своих инструментов и финального ransomware. Отмечается, что они также устанавливали шпионские программы, руткиты и майнеры монет и запускали их в течение нескольких дней, прежде чем заразить систему вымогательским ПО. Для утечки данных злоумышленники использовали программы туннелирования, такие как chisel и cloudflare free tunnel, чтобы обойти брандмауэр и скрыть свой IP. Они также использовали AnyDesk для сохранения данных, а в ransomware было три функции, связанные со строковыми операциями, которые были объявлены как Static-функции.

Программа-вымогатель имела три режима шифрования и принимала аргументы командной строки. Она использовала библиотеку Boost.Asio C++ для создания нескольких потоков для асинхронной работы и вызывала API GetLogicalDriveStringsA для заполнения всех логических дисков. Программа-вымогатель также использовала FindFirstFileW и FindNextFileW для анализа всех каталогов и размещения записки о выкупе akira_readme.txt. Она также убивала процессы, зарегистрированные ресурсы в диспетчере перезагрузки windows, чтобы шифровать файлы непрерывно.

При дальнейшем анализе было обнаружено, что участники угрозы скопировали утечку исходного кода программы Conti ransomware, которая имела схожие расширения и список процессов. Это указывает на потенциальный рост числа подобных инцидентов в будущем. Поэтому важно принимать упреждающие меры для повышения безопасности и защиты систем.

#ParsedReport #CompletenessMedium
26-05-2023

BatLoader Impersonates Midjourney, ChatGPT in Drive-by Cyberattacks

https://www.esentire.com/blog/batloader-impersonates-midjourney-chatgpt-in-drive-by-cyberattacks

Report completeness: Medium

Threats:
Batloader
Redline_stealer
More_eggs
Process_hacker_tool

Victims:
Chatgpt, Midjourney

Geo:
Russian, Apac, Emea, America, Africa

ChatGPT TTPs:
do not use without manual check
T1497, T1495, T1496, T1081

IOCs:
Domain: 5
Url: 2
File: 2
Hash: 7
IP: 1

Softs:
midjourney, chatgpt, discord, microsoft edge, windows defender application control

Languages:
php

Platforms:
intel

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Угрожающие субъекты воспользовались ростом популярности технологий генеративного ИИ и чат-ботов в 2023 году, пообещав неограниченный доступ к пользователям, что привело к пику злоупотреблений Google Search Ads. Отдел реагирования на угрозы eSentire (TRU) выявил вредоносную кампанию, начатую в начале мая 2023 года с использованием файлов MSIX Windows App Installer для доставки вредоносной программы Redline Stealer.-----

Отдел реагирования на угрозы eSentire (TRU) недавно обнаружил продолжающуюся кампанию BatLoader, использующую поисковую рекламу Google для доставки самодельных веб-страниц ChatGPT и Midjourney. Эта вредоносная кампания была инициирована в начале мая 2023 года и использует файлы MSIX Windows App Installer для заражения устройств Redline Stealer. Ссылка на загрузку вела на два отдельных сайта с полезной нагрузкой, которые ранее были приписаны BatLoader.

Файл AppXManifest, созданный русскоговорящим человеком с помощью Advanced Installer версии 20.2 с профессиональной лицензией, был проанализирован TRU и определен как содержащий базовый скрипт загрузки PowerShell. Этот скрипт загружает Redline Stealer с сайта adv-pardorudy.ru в память в виде сборки, а также выполняет два запроса к панели C2: Start.php и Install.php. Start.php записывает время начала заражения вместе с IP-адресом жертвы, а Install.php записывает успешную установку полезной нагрузки на adv-pardorudy.ru вместе с временем и IP-адресом жертвы.

Технологии генеративного ИИ и чат-боты становятся все более популярными в 2023 году, что заставляет системных администраторов искать способы контроля доступа к этим платформам. Угрожающие субъекты воспользовались этой ситуацией, пообещав пользователям неограниченный доступ, что привело к пику злоупотреблений поисковой рекламой Google в 4 квартале 2022 года и начале 2023 года. Несмотря на то, что компания Google предприняла шаги по сокращению злоупотреблений своим рекламным сервисом, эта кампания показывает, что вредоносные объявления все еще могут проскользнуть мимо модераторов и доставить жертвам вредоносное ПО.

Деятельность BatLoader, подобная этой кампании, уже была выявлена TRU ранее и обычно имеет ряд сходств. Обычно они включают выдачу себя за крупные бренды и сервисы через поисковую рекламу Google, использование AdvancedInstaller для создания установочных пакетов, сайты полезной нагрузки, ранее приписываемые BatLoader, и полезную нагрузку, похищающую информацию.

#ParsedReport #CompletenessLow
26-05-2023

Analysis of Attack Cases: From Korean VPN Installations to MeshAgent Infections

https://asec.ahnlab.com/en/53267

Report completeness: Low

Threats:
Meshagent
Spark_rat
Meshcentral_tool
Anydesk_tool
Teamviewer_tool
Ammyyrat
Tmate_tool
Netsupportmanager_rat
Dropper/win.agent.c5431031
Sparkrat
Malware/mdp.download.m1197

Victims:
Chinese users who require better access to the internet

Geo:
Korean, Chinese

ChatGPT TTPs:
do not use without manual check
T1036, T1059, T1093, T1090, T1105, T1036, T1097, T1077, T1083

IOCs:
File: 5
Command: 1
Hash: 5
Url: 2

Softs:
task scheduler, macos

Languages:
golang

#ParsedReport #ExtractedSchema

Classified images:
dump: 7, windows: 9, code: 3, schema: 3

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Основная идея текста заключается в том, что угрожающий субъект распространяет вредоносное ПО через программу установки VPN, которая включает дроппер, разработанный с использованием GoLang, SparkRAT и MeshAgent. Пользователям рекомендуется проявлять осторожность при загрузке любого программного обеспечения и обновлять систему безопасности до последней версии, чтобы защититься от заражения вредоносным ПО.
-----

Центр реагирования на чрезвычайные ситуации AhnLab Security Emergency Response Center (ASEC) ранее рассказывал о случае распространения SparkRAT через корейский установщик VPN. Недавно были обнаружены аналогичные случаи, свидетельствующие о возрождении этого агента угроз. Распространение вредоносного ПО на некоторое время приостановилось, но при одинаковом потоке атак и использовании SparkRAT, вероятно, за этими атаками стоит один и тот же агент.

Первоначальный способ распространения, по-видимому, такой же, как и раньше. Агент угроз атаковал веб-сайт компании VPN и заменил установочный файл вредоносным ПО. Таким образом, пользователи, загружающие и выполняющие программу установки VPN, непреднамеренно устанавливают вместе с ней вредоносное ПО. Процесс установки вредоносного ПО включает в себя дроппер, разработанный с помощью GoLang, который загружает SparkRAT из внешнего источника. После этого агент угрозы посылает вредоносные команды SparkRAT, чтобы также установить MeshAgent на зараженную систему. MeshAgent - это бесплатный инструмент управления с открытым исходным кодом, предоставляющий возможности удаленного контроля. Он позволяет контролировать мощность, управлять учетными записями, всплывающими окнами чата/сообщений, загружать/выгружать файлы и выполнять команды.

Одно из наиболее заметных различий между недавними и прошлыми инцидентами - использование в большинстве случаев вредоносного ПО, разработанного на языке GoLang, а не .NET. Замаскированный установщик и вредоносная программа, устанавливающая MeshAgent, - это два дроппера, используемые в атаках, и, хотя они оба являются обфусцированными вредоносными программами GoLang, они имеют схожие формы. Они создают и выполняют вредоносное ПО внутри PE при выполнении. Замаскированный установщик также включает функцию, которая позволяет ему зарегистрировать файл start.exe загрузчика в планировщике задач. Этот файл также разработан на языке GoLang и отвечает за загрузку и выполнение дополнительного вредоносного ПО из внешнего источника.

Пользователям важно соблюдать осторожность при загрузке любого программного обеспечения и обновлять V3 до последней версии, чтобы заранее блокировать заражение вредоносным ПО. Кроме того, рекомендуется проверять официальный сайт любой программы или программного обеспечения, чтобы убедиться в безопасности и легитимности загрузки.

#ParsedReport #CompletenessLow
26-05-2023

Invicta Stealer Spreading Through Phony GoDaddy Refund Invoices

https://blog.cyble.com/2023/05/25/invicta-stealer-spreading-through-phony-godaddy-refund-invoices

Report completeness: Low

Actors/Campaigns:
Dev-0960

Threats:
Invicta
Stop_ransomware
Beacon

Victims:
Godaddy, steam, keypass users

Industry:
Entertainment

TTPs:
Tactics: 6
Technics: 8

IOCs:
File: 4
Path: 3
Hash: 10

Softs:
telegram, discord, electrum-ltc, blisk, torch, 7star, amigo, opera, comodo dragon, chedot, have more...

Wallets:
zcash, wassabi, guarda, coinomi, electrum, jaxx, mainnet

Crypto:
bitcoin, binance, dogecoin, litecoin

Algorithms:
sha256, sha1, zip

#ParsedReport #ExtractedSchema

Classified images:
code: 17, windows: 13, dump: 5, schema: 5, chats: 3

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Invicta Stealer - это вредоносная программа для кражи, разработанная агентом угроз (TA), которая способна собирать системную информацию, данные кошелька, данные браузера и многое другое. Заражение начинается со спам-письма, содержащего обманчивую HTML-страницу. Киберпреступник предлагает бесплатный конструктор стиллера, который предлагает пользователям ввести веб-крючок Discord или URL-адрес сервера для командования и управления (C&C). Стиллер использует множество техник для скрытия процесса реверсирования и осуществляет несколько вредоносных действий одновременно.
-----

Субъекты угроз активно используют платформы социальных сетей для продвижения своих вредоносных инструментов и привлечения потенциальных союзников или клиентов.

Invicta Stealer - это новый стиллер, разработанный субъектом угрозы, который способен собирать системную информацию, данные об аппаратном обеспечении системы, данные кошелька и данные браузера.

Заражение начинается со спам-письма, содержащего обманчивую HTML-страницу, которая после открытия перенаправляет пользователей на URL-адрес Discord, чтобы инициировать загрузку стиллера.

Стиллер использует методы, скрывающие процесс реверсирования, такие как зашифрованные строки и SYSCALLS.

Угонщик собирает обширную системную информацию, информацию об аппаратном обеспечении системы, данные из Discord, криптовалютных кошельков, браузеров, Steam, KeyPass и учетных записей пользователей.

Затем похититель создает сжатый zip-файл, содержащий все украденные файлы, и отправляет его на указанный C&C-сервер.

#ParsedReport #CompletenessLow
26-05-2023

Cisco Talos Intelligence Blog. Mercenary mayhem: A technical analysis of Intellexa's PREDATOR spyware

https://blog.talosintelligence.com/mercenary-intellexa-predator

Report completeness: Low

Threats:
Predator_spyware
Intellexa_framework
Cytrox
Alien
Binder
Xhook_tool

Victims:
Various targets using commercial spyware

Industry:
Government

Geo:
Israeli

CVEs:
CVE-2021-38000 [Vulners]
CVSS V3.1: 6.1,
Vulners: Exploitation: True
X-Force: Risk: 6.5
X-Force: Patch: Official fix
Soft:
- google chrome (<95.0.4638.69)
- fedoraproject fedora (34)
- debian debian linux (10.0, 11.0)

CVE-2021-1048 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 8.4
X-Force: Patch: Official fix
Soft:
- google android (-)

CVE-2021-37976 [Vulners]
CVSS V3.1: 6.5,
Vulners: Exploitation: True
X-Force: Risk: 6.5
X-Force: Patch: Official fix
Soft:
- google chrome (<94.0.4606.71)
- fedoraproject fedora (33, 34, 35)
- debian debian linux (10.0, 11.0)

CVE-2021-37973 [Vulners]
CVSS V3.1: 9.6,
Vulners: Exploitation: True
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- google chrome (<94.0.4606.61)
- fedoraproject fedora (33, 35)
- debian debian linux (10.0, 11.0)

CVE-2021-38003 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: 6.5
X-Force: Patch: Official fix
Soft:
- google chrome (<95.0.4638.69)
- fedoraproject fedora (34)
- debian debian linux (10.0, 11.0)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1486, T1490, T1489, T1492, T1498, T1518, T1511, T1519

IOCs:
File: 2

Softs:
android, google chrome, whatsapp, telegram, selinux, instagram.android, wechat, android.chrome

Functions:
main_exec, dlsym, ioctl, startPy, fork, ptrace, mmap, VOIP-based, InMemoryClassLoader

Languages:
python

Links:
https://github.com/Cisco-Talos/IOCs/tree/main/2023/05
https://github.com/PAGalaxyLab/YAHFA
https://github.com/iqiyi/xHook
https://github.com/iqiyi/xHook/tree/9180bd74098fd41f808d3968e2e52b4f5db92c99

#ParsedReport #ExtractedSchema

Classified images:
code: 10, dump: 3, schema: 2

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Cisco Talos раскрыла подробности о коммерческом шпионском продукте Intellexa, который использует уязвимости нулевого дня для записи звука, сбора информации из приложений обмена сообщениями и скрытия приложений. Он также способен получать доступ к ядру, читать и выполнять код из определенных мест файловой системы.-----

Использование коммерческих шпионских программ растет, и все большее число целей становится мишенью для субъектов, использующих сложные инструменты для проведения операций слежения. Компания Cisco Talos получила новые подробности о коммерческом шпионском продукте, продаваемом фирмой Intellexa (ранее известной как Cytrox). Этот пакет шпионских программ для мобильных устройств состоит из двух компонентов - ALIEN и PREDATOR, которые составляют его основу.

Talos раскрыл внутреннюю работу PREDATOR и ALIEN и механизмы, которые эти два компонента используют для взаимодействия. ALIEN - это гораздо больше, чем просто загрузчик для PREDATOR, как считалось ранее. ALIEN внедряется в адресное пространство привилегированного процесса и проверяет, был ли он загружен в zygote64, прежде чем загрузить компонент PREDATOR с хостингового сайта. ALIEN подключает API ioctl() в libbinder.so и управляет множеством различных команд binder.

Шпионские продукты Intellexa используют пять различных уязвимостей нулевого дня для создания ALIEN и PREDATOR. Эти уязвимости затрагивают системы Google Chrome и Linux/Android, и шпионские программы могут записывать звук телефонных звонков и приложений на базе VOIP, а также собирать информацию из Signal, WhatsApp и Telegram. Она также способна скрывать приложения и предотвращать их выполнение при перезагрузке устройства.

Модуль KMEM предоставляет произвольный доступ на чтение и запись в адресное пространство ядра. Эксплуатация CVE-2021-1048 может привести к получению доступа к ядру и внесению изменений в настройки конфигурации kmem. ALIEN также может читать и выполнять код из указанных мест в файловой системе. Например, имплант может внедрить код, считанный ранее из файла /system/fonts/NotoColorEmoji.ttf, в память процесса system_server для выполнения.

PREDATOR - это pyfrozen ELF-файл, содержащий сериализованные модули Python и нативный код, используемый встроенными или загруженными модулями. PREDATOR отвечает за выдачу команд для запуска или остановки записи. Он также может добавлять сертификаты в текущие доверенные пользователем центры сертификации, записывая публичный сертификат центра сертификации в путь /data/misc/user/0/cacerts-added.

Шпионская программа использует различные источники для сбора информации о системе, например, перечисляет различные каталоги в файловой системе и считывает множество файлов, чтобы извлечь как можно больше статически доступных данных с зараженного устройства. Он также получает имя производителя устройства из системного свойства ro.product.manufacturer и проверяет наличие определенных производителей из жестко заданного списка. Полученное содержимое записывается в файл /data/local/tmp/wd/ и эксфильтрируется.

#ParsedReport #CompletenessMedium
26-05-2023

Executive summary. The Dark Frost Enigma: An Unexpectedly Prevalent Botnet Author Profile

https://www.akamai.com/blog/security-research/dark-frost-botnet-unexpected-author-profile

Report completeness: Medium

Actors/Campaigns:
Ddos-for-hire
Plutonium

Threats:
Dark_frost_botnet
Enigma
Bashlite
Qakbot
Mirai
Udpflood_technique
Darkness_botnet
Lizar

Victims:
Companies and individuals in the gaming industry, including gaming companies, game server hosting providers, online streamers, and members of the gaming community

Industry:
Entertainment, Financial, Iot

Geo:
German, Dutch, Polish

ChatGPT TTPs:
do not use without manual check
T1190, T1064, T1136, T1060, T1095, T1497

IOCs:
Hash: 5
IP: 2

Softs:
hadoop, discord

Platforms:
arm, x86

YARA: Found

#ParsedReport #CompletenessLow
26-05-2023

New Info Stealer Bandit Stealer Targets Browsers, Wallets

https://www.trendmicro.com/en_us/research/23/e/new-info-stealer-bandit-stealer-targets-browsers-wallets.html

Report completeness: Low

Actors/Campaigns:
Dev-0960

Threats:
Bandit_stealer
Creal_stealer
Lunagrabber
Luna
Chrysaor
Trojanspy.win64.banditsteal.theobbc
Trojanspy.win64.banditsteal.thdbgbc
Trojanspy.win64.banditsteal.theoibc
Trojanspy.win64.banditsteal.theafbc
Trojanspy.win64.banditsteal.theahbc
Trojanspy.win64.banditsteal.thebcbc
Trojan.win32.banditsteal.theobbc
Trojan.win32.banditsteal.theoibc

Victims:
Windows users

Industry:
Financial

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036, T1082, T1053, T1098, T1036, T1099, T1218, T1001, T1112, T1071, have more...

IOCs:
Hash: 13
File: 12
Url: 2
Path: 18

Softs:
qemu, virtualbox, curl, telegram, 7star, brave-browser, amigo, torch, google chrome, orbitum, have more...

Wallets:
electrum, clover_wallet, jaxx, wombat, tronlink

Crypto:
bitcoin, litecoin, ethereum

Algorithms:
zip, sha256

Win API:
GetDiskFreeSpaceExW

Languages:
python

Links:
https://github.com/Smug246/Luna-Grabber/blob/main/luna.py
https://github.com/errias/Kyoku-Cookie-Token-Stealer/blob/main/kyoku-main.py

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Bandit Stealer - это недавно обнаруженная вредоносная программа для кражи информации на основе Go, которая использует множество методов для кражи личной или конфиденциальной информации. Он способен постоянно выполнять и отправлять украденную информацию злоумышленнику, и потенциально может использоваться для кражи личных данных, получения финансовой выгоды, утечки данных, атак с подстановкой учетных данных и захвата аккаунтов.
-----

Bandit Stealer - это недавно обнаруженная вредоносная программа для кражи информации на основе Go, которая набирает популярность в сообществе вредоносных программ благодаря своей способности уклоняться от обнаружения, нацеливаясь на множество браузеров и криптовалютных кошельков. Bandit Stealer был разработан с использованием языка программирования Go, что говорит о потенциальной кросс-платформенной совместимости.

Вредоносная программа использует ряд методов для получения несанкционированного доступа к личной или конфиденциальной информации, включая запуск программ с учетными данными или разрешениями, отличными от учетной записи текущего пользователя, проверку определенных атрибутов для определения того, работает ли она в среде "песочницы", а также загрузку содержимого по ссылке Pastebin и сохранение его в файл. Она также использует утилиту командной строки Windows Management Instrumentation Command-line (WMIC) для получения уникального аппаратного идентификатора (UUID) зараженного устройства. Кроме того, вредоносная программа проверяет пути к папкам браузера и криптовалют, чтобы получить несанкционированный доступ к личной или конфиденциальной информации.

Для обеспечения постоянного выполнения и осуществления своей вредоносной деятельности Bandit Stealer создает запись в реестре для автозапуска. Затем он собирает украденную информацию жертвы и хранит ее в папке vicinfo в папке AppData. Чтобы отправить украденную информацию злоумышленнику, вредоносная программа пытается выполнить команду isof -t path of zip file, утилиту в среде Linux для перечисления всех процессов, активно использующих файл.

Вредоносная программа может быть установлена и запущена тремя различными способами. Первый - с помощью дроппера, который представляет собой самораспаковывающийся архив, исполняющий файл hot.exe. Второй - с помощью дроппера, который также представляет собой самораспаковывающийся архив, запускающий файл RUNFIRST.exe. Третий - поддельным установщиком Heartsender, который представляет собой инструмент для распространения спама, автоматизирующий процесс отправки большого количества электронных писем многочисленным получателям. Как только жертва выбирает кнопку "Да", вредоносная программа подбрасывает и выполняет файл Lowkey.exe, который является Bandit Stealer.

Вредоносный агент потенциально может использовать украденную информацию для кражи личных данных, получения финансовой выгоды, утечки данных, атак с подстановкой учетных данных и захвата аккаунтов. Пока не выявлено активных угрожающих групп, использующих эту вредоносную программу, однако по мере роста ее возможностей она может стать более значимой.

#ParsedReport #CompletenessMedium
26-05-2023

Old Wine in the New Bottle: Mirai Variant Targets Multiple IoT Devices

https://unit42.paloaltonetworks.com/mirai-variant-iz1h9

Report completeness: Medium

Threats:
Mirai
Dns_amplification_technique

Victims:
Exposed servers and networking devices running linux

Industry:
Government, Iot, Entertainment

Geo:
China, Japanese

CVEs:
CVE-2023-27076 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: 9.8
X-Force: Patch: Unavailable
Soft:
- tenda g103 firmware (1.0.0.5)

CVE-2023-26802 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: 9.8
X-Force: Patch: Unavailable
Soft:
- dcnglobal dcbi-netlog-lab firmware (1.0)

CVE-2023-26801 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: 7.3
X-Force: Patch: Unavailable
Soft:
- lb-link bl-lte300 firmware (1.0.8)
- lb-link bl-x26 firmware (1.2.5)
- lb-link bl-wr9000 firmware (2.4.9)
- lb-link bl-ac1900 firmware (1.0.1)


ChatGPT TTPs:
do not use without manual check
T1059, T1086, T1090, T1203, T1098, T1035, T1497, T1499

IOCs:
IP: 7
Url: 16
Domain: 1
Hash: 13
File: 1

Softs:
tenda, lb-link, zyxel

Algorithms:
exhibit, xor

#ParsedReport #ExtractedSchema

Classified images:
code: 13, schema: 2

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея этого текста заключается в том, что вариант Mirai IZ1H9 представляет собой значительную угрозу для IoT-устройств и использует четыре уязвимости для своего распространения.
-----

Исследователи Unit 42 наблюдали многочисленные кампании с использованием варианта Mirai IZ1H9 с ноября 2021 года. Этот вариант использует четыре уязвимости для своего распространения и доступа к уязвимым устройствам с целью создания ботнета. Это уязвимости CVE-2023-27076, CVE-2023-26801, CVE-2023-26802 и эксплойт компонента маршрутизатора Zyxel. 10 апреля 2023 года исследователи Unit 42 заметили аномальный трафик в своей системе поиска угроз, который пытался загрузить и выполнить загрузчик сценариев оболочки. Было установлено, что вредоносный трафик является частью кампании IZ1H9.

Программа загрузки сценариев оболочки сначала удаляет журналы, чтобы скрыть свои следы, а затем загружает клиентов ботнета в зависимости от архитектуры Linux. Затем он блокировал сетевое соединение с нескольких портов, включая SSH, telnet и HTTP. Это делалось путем изменения правил iptable устройства, чтобы жертва не смогла подключиться и восстановить взломанное устройство удаленно. Были обнаружены два URL-адреса, на которых размещались программы загрузки сценариев оболочки.

Клиент ботнета IZ1H9 дает о себе знать, выводя на консоль слово "Darknet", а также содержит функцию, которая гарантирует, что на устройстве запущен только один экземпляр этой вредоносной программы. Кроме того, он имеет список имен процессов, принадлежащих другим вариантам Mirai и другим семействам вредоносных программ ботнета, которые он проверяет, чтобы завершить их в случае обнаружения. Он пытается подключиться к жестко заданному адресу C2, а для строк конфигурации использует таблицу зашифрованных строк с ключом 0xBAADF00D. Для каналов SSH и telnet он имеет секцию данных со встроенными учетными данными по умолчанию для целей сканирования и перебора, зашифрованными 1-байтовым XOR-ключом 0x54.

Что касается методов атаки, то вариант IZ1H9 настроен на проведение DDoS-атак, что делает его значительной угрозой для IoT-устройств.

#ParsedReport #CompletenessMedium
26-05-2023

Executive summary. The Dark Frost Enigma: An Unexpectedly Prevalent Botnet Author Profile

https://www.akamai.com/blog/security-research/dark-frost-botnet-unexpected-author-profile

Report completeness: Medium

Actors/Campaigns:
Ddos-for-hire
Plutonium

Threats:
Dark_frost_botnet
Enigma
Bashlite
Qakbot
Mirai
Udpflood_technique
Darkness_botnet
Lizar

Victims:
Companies and individuals in the gaming industry, including gaming companies, game server hosting providers, online streamers, and members of the gaming community

Industry:
Entertainment, Financial, Iot

Geo:
German, Dutch, Polish

ChatGPT TTPs:
do not use without manual check
T1190, T1064, T1136, T1060, T1095, T1497

IOCs:
Hash: 5
IP: 2

Softs:
hadoop, discord

Platforms:
arm, x86

YARA: Found

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея этого текста заключается в том, что ботнет Dark Frost - это новый ботнет, нацеленный на игровую индустрию, созданный с использованием украденного кода из нескольких популярных семейств вредоносных программ. Он разросся до сотен взломанных устройств, а создатель угрозы хвастался своими эксплойтами в социальных сетях. Команда Akamai Security Intelligence Response Team отслеживает подобные угрозы и оповещает сообщество о том, что они заметили, а пользователи должны убедиться, что их системы правильно настроены и защищены для защиты от подобных угроз.
-----

Ботнет Dark Frost - это новый ботнет, нацеленный на игровую индустрию. Он создан по образцу других штаммов вредоносного ПО, таких как Gafgyt, Qbot и Mirai, и разросся до сотен скомпрометированных устройств с оценочным потенциалом атаки в 629,28 Гбит/с с использованием UDP-флуда. Ботнет был создан с использованием украденного кода из множества популярных семейств вредоносных программ, а организаторы угроз, стоящие за ним, хвастались своими эксплойтами в социальных сетях. Ботнет Dark Frost в первую очередь атаковал различные игровые компании, провайдеров хостинга игровых серверов, онлайн-стримеров и других представителей игрового сообщества.

Анализ бинарного образца Dark Frost выявил в ботнете 414 устройств, в основном на архитектуре ARMv4, следующие два наиболее распространенных - MIPSEL и x86. Злоумышленники взяли большую часть своего кода из общедоступных источников на GitHub и успешно вывели из строя ряд онлайн-сервисов.

Угрожающий субъект, ответственный за ботнет Dark Frost, является относительно неискушенным, но успешным, что подчеркивает легкость совершения такого рода преступлений. Очень важно распознавать низкоуровневых субъектов на начальном этапе, пока они не переросли в серьезные угрозы, поскольку последствия их действий могут быть значительными. Группа разведки безопасности Akamai отслеживает подобные угрозы и оповещает сообщество о том, что они замечают. Чтобы защититься от таких угроз, пользователи должны убедиться, что их системы правильно настроены и защищены.

Приятно, когда ты тоже научился выявлять и отслеживать тренды, так как это делают "большие дяди".
https://t.me/aptreports/3920