#ParsedReport #CompletenessLow
26-05-2023

Cisco Talos Intelligence Blog. Mercenary mayhem: A technical analysis of Intellexa's PREDATOR spyware

https://blog.talosintelligence.com/mercenary-intellexa-predator

Report completeness: Low

Threats:
Predator_spyware
Intellexa_framework
Cytrox
Alien
Binder
Xhook_tool

Victims:
Various targets using commercial spyware

Industry:
Government

Geo:
Israeli

CVEs:
CVE-2021-38000 [Vulners]
CVSS V3.1: 6.1,
Vulners: Exploitation: True
X-Force: Risk: 6.5
X-Force: Patch: Official fix
Soft:
- google chrome (<95.0.4638.69)
- fedoraproject fedora (34)
- debian debian linux (10.0, 11.0)

CVE-2021-1048 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 8.4
X-Force: Patch: Official fix
Soft:
- google android (-)

CVE-2021-37976 [Vulners]
CVSS V3.1: 6.5,
Vulners: Exploitation: True
X-Force: Risk: 6.5
X-Force: Patch: Official fix
Soft:
- google chrome (<94.0.4606.71)
- fedoraproject fedora (33, 34, 35)
- debian debian linux (10.0, 11.0)

CVE-2021-37973 [Vulners]
CVSS V3.1: 9.6,
Vulners: Exploitation: True
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- google chrome (<94.0.4606.61)
- fedoraproject fedora (33, 35)
- debian debian linux (10.0, 11.0)

CVE-2021-38003 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: 6.5
X-Force: Patch: Official fix
Soft:
- google chrome (<95.0.4638.69)
- fedoraproject fedora (34)
- debian debian linux (10.0, 11.0)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1486, T1490, T1489, T1492, T1498, T1518, T1511, T1519

IOCs:
File: 2

Softs:
android, google chrome, whatsapp, telegram, selinux, instagram.android, wechat, android.chrome

Functions:
main_exec, dlsym, ioctl, startPy, fork, ptrace, mmap, VOIP-based, InMemoryClassLoader

Languages:
python

Links:
https://github.com/Cisco-Talos/IOCs/tree/main/2023/05
https://github.com/PAGalaxyLab/YAHFA
https://github.com/iqiyi/xHook
https://github.com/iqiyi/xHook/tree/9180bd74098fd41f808d3968e2e52b4f5db92c99

#ParsedReport #ExtractedSchema

Classified images:
code: 10, dump: 3, schema: 2

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Cisco Talos раскрыла подробности о коммерческом шпионском продукте Intellexa, который использует уязвимости нулевого дня для записи звука, сбора информации из приложений обмена сообщениями и скрытия приложений. Он также способен получать доступ к ядру, читать и выполнять код из определенных мест файловой системы.-----

Использование коммерческих шпионских программ растет, и все большее число целей становится мишенью для субъектов, использующих сложные инструменты для проведения операций слежения. Компания Cisco Talos получила новые подробности о коммерческом шпионском продукте, продаваемом фирмой Intellexa (ранее известной как Cytrox). Этот пакет шпионских программ для мобильных устройств состоит из двух компонентов - ALIEN и PREDATOR, которые составляют его основу.

Talos раскрыл внутреннюю работу PREDATOR и ALIEN и механизмы, которые эти два компонента используют для взаимодействия. ALIEN - это гораздо больше, чем просто загрузчик для PREDATOR, как считалось ранее. ALIEN внедряется в адресное пространство привилегированного процесса и проверяет, был ли он загружен в zygote64, прежде чем загрузить компонент PREDATOR с хостингового сайта. ALIEN подключает API ioctl() в libbinder.so и управляет множеством различных команд binder.

Шпионские продукты Intellexa используют пять различных уязвимостей нулевого дня для создания ALIEN и PREDATOR. Эти уязвимости затрагивают системы Google Chrome и Linux/Android, и шпионские программы могут записывать звук телефонных звонков и приложений на базе VOIP, а также собирать информацию из Signal, WhatsApp и Telegram. Она также способна скрывать приложения и предотвращать их выполнение при перезагрузке устройства.

Модуль KMEM предоставляет произвольный доступ на чтение и запись в адресное пространство ядра. Эксплуатация CVE-2021-1048 может привести к получению доступа к ядру и внесению изменений в настройки конфигурации kmem. ALIEN также может читать и выполнять код из указанных мест в файловой системе. Например, имплант может внедрить код, считанный ранее из файла /system/fonts/NotoColorEmoji.ttf, в память процесса system_server для выполнения.

PREDATOR - это pyfrozen ELF-файл, содержащий сериализованные модули Python и нативный код, используемый встроенными или загруженными модулями. PREDATOR отвечает за выдачу команд для запуска или остановки записи. Он также может добавлять сертификаты в текущие доверенные пользователем центры сертификации, записывая публичный сертификат центра сертификации в путь /data/misc/user/0/cacerts-added.

Шпионская программа использует различные источники для сбора информации о системе, например, перечисляет различные каталоги в файловой системе и считывает множество файлов, чтобы извлечь как можно больше статически доступных данных с зараженного устройства. Он также получает имя производителя устройства из системного свойства ro.product.manufacturer и проверяет наличие определенных производителей из жестко заданного списка. Полученное содержимое записывается в файл /data/local/tmp/wd/ и эксфильтрируется.

#ParsedReport #CompletenessMedium
26-05-2023

Executive summary. The Dark Frost Enigma: An Unexpectedly Prevalent Botnet Author Profile

https://www.akamai.com/blog/security-research/dark-frost-botnet-unexpected-author-profile

Report completeness: Medium

Actors/Campaigns:
Ddos-for-hire
Plutonium

Threats:
Dark_frost_botnet
Enigma
Bashlite
Qakbot
Mirai
Udpflood_technique
Darkness_botnet
Lizar

Victims:
Companies and individuals in the gaming industry, including gaming companies, game server hosting providers, online streamers, and members of the gaming community

Industry:
Entertainment, Financial, Iot

Geo:
German, Dutch, Polish

ChatGPT TTPs:
do not use without manual check
T1190, T1064, T1136, T1060, T1095, T1497

IOCs:
Hash: 5
IP: 2

Softs:
hadoop, discord

Platforms:
arm, x86

YARA: Found

#ParsedReport #CompletenessLow
26-05-2023

New Info Stealer Bandit Stealer Targets Browsers, Wallets

https://www.trendmicro.com/en_us/research/23/e/new-info-stealer-bandit-stealer-targets-browsers-wallets.html

Report completeness: Low

Actors/Campaigns:
Dev-0960

Threats:
Bandit_stealer
Creal_stealer
Lunagrabber
Luna
Chrysaor
Trojanspy.win64.banditsteal.theobbc
Trojanspy.win64.banditsteal.thdbgbc
Trojanspy.win64.banditsteal.theoibc
Trojanspy.win64.banditsteal.theafbc
Trojanspy.win64.banditsteal.theahbc
Trojanspy.win64.banditsteal.thebcbc
Trojan.win32.banditsteal.theobbc
Trojan.win32.banditsteal.theoibc

Victims:
Windows users

Industry:
Financial

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036, T1082, T1053, T1098, T1036, T1099, T1218, T1001, T1112, T1071, have more...

IOCs:
Hash: 13
File: 12
Url: 2
Path: 18

Softs:
qemu, virtualbox, curl, telegram, 7star, brave-browser, amigo, torch, google chrome, orbitum, have more...

Wallets:
electrum, clover_wallet, jaxx, wombat, tronlink

Crypto:
bitcoin, litecoin, ethereum

Algorithms:
zip, sha256

Win API:
GetDiskFreeSpaceExW

Languages:
python

Links:
https://github.com/Smug246/Luna-Grabber/blob/main/luna.py
https://github.com/errias/Kyoku-Cookie-Token-Stealer/blob/main/kyoku-main.py

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Bandit Stealer - это недавно обнаруженная вредоносная программа для кражи информации на основе Go, которая использует множество методов для кражи личной или конфиденциальной информации. Он способен постоянно выполнять и отправлять украденную информацию злоумышленнику, и потенциально может использоваться для кражи личных данных, получения финансовой выгоды, утечки данных, атак с подстановкой учетных данных и захвата аккаунтов.
-----

Bandit Stealer - это недавно обнаруженная вредоносная программа для кражи информации на основе Go, которая набирает популярность в сообществе вредоносных программ благодаря своей способности уклоняться от обнаружения, нацеливаясь на множество браузеров и криптовалютных кошельков. Bandit Stealer был разработан с использованием языка программирования Go, что говорит о потенциальной кросс-платформенной совместимости.

Вредоносная программа использует ряд методов для получения несанкционированного доступа к личной или конфиденциальной информации, включая запуск программ с учетными данными или разрешениями, отличными от учетной записи текущего пользователя, проверку определенных атрибутов для определения того, работает ли она в среде "песочницы", а также загрузку содержимого по ссылке Pastebin и сохранение его в файл. Она также использует утилиту командной строки Windows Management Instrumentation Command-line (WMIC) для получения уникального аппаратного идентификатора (UUID) зараженного устройства. Кроме того, вредоносная программа проверяет пути к папкам браузера и криптовалют, чтобы получить несанкционированный доступ к личной или конфиденциальной информации.

Для обеспечения постоянного выполнения и осуществления своей вредоносной деятельности Bandit Stealer создает запись в реестре для автозапуска. Затем он собирает украденную информацию жертвы и хранит ее в папке vicinfo в папке AppData. Чтобы отправить украденную информацию злоумышленнику, вредоносная программа пытается выполнить команду isof -t path of zip file, утилиту в среде Linux для перечисления всех процессов, активно использующих файл.

Вредоносная программа может быть установлена и запущена тремя различными способами. Первый - с помощью дроппера, который представляет собой самораспаковывающийся архив, исполняющий файл hot.exe. Второй - с помощью дроппера, который также представляет собой самораспаковывающийся архив, запускающий файл RUNFIRST.exe. Третий - поддельным установщиком Heartsender, который представляет собой инструмент для распространения спама, автоматизирующий процесс отправки большого количества электронных писем многочисленным получателям. Как только жертва выбирает кнопку "Да", вредоносная программа подбрасывает и выполняет файл Lowkey.exe, который является Bandit Stealer.

Вредоносный агент потенциально может использовать украденную информацию для кражи личных данных, получения финансовой выгоды, утечки данных, атак с подстановкой учетных данных и захвата аккаунтов. Пока не выявлено активных угрожающих групп, использующих эту вредоносную программу, однако по мере роста ее возможностей она может стать более значимой.

#ParsedReport #CompletenessMedium
26-05-2023

Old Wine in the New Bottle: Mirai Variant Targets Multiple IoT Devices

https://unit42.paloaltonetworks.com/mirai-variant-iz1h9

Report completeness: Medium

Threats:
Mirai
Dns_amplification_technique

Victims:
Exposed servers and networking devices running linux

Industry:
Government, Iot, Entertainment

Geo:
China, Japanese

CVEs:
CVE-2023-27076 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: 9.8
X-Force: Patch: Unavailable
Soft:
- tenda g103 firmware (1.0.0.5)

CVE-2023-26802 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: 9.8
X-Force: Patch: Unavailable
Soft:
- dcnglobal dcbi-netlog-lab firmware (1.0)

CVE-2023-26801 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: 7.3
X-Force: Patch: Unavailable
Soft:
- lb-link bl-lte300 firmware (1.0.8)
- lb-link bl-x26 firmware (1.2.5)
- lb-link bl-wr9000 firmware (2.4.9)
- lb-link bl-ac1900 firmware (1.0.1)


ChatGPT TTPs:
do not use without manual check
T1059, T1086, T1090, T1203, T1098, T1035, T1497, T1499

IOCs:
IP: 7
Url: 16
Domain: 1
Hash: 13
File: 1

Softs:
tenda, lb-link, zyxel

Algorithms:
exhibit, xor

#ParsedReport #ExtractedSchema

Classified images:
code: 13, schema: 2

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея этого текста заключается в том, что вариант Mirai IZ1H9 представляет собой значительную угрозу для IoT-устройств и использует четыре уязвимости для своего распространения.
-----

Исследователи Unit 42 наблюдали многочисленные кампании с использованием варианта Mirai IZ1H9 с ноября 2021 года. Этот вариант использует четыре уязвимости для своего распространения и доступа к уязвимым устройствам с целью создания ботнета. Это уязвимости CVE-2023-27076, CVE-2023-26801, CVE-2023-26802 и эксплойт компонента маршрутизатора Zyxel. 10 апреля 2023 года исследователи Unit 42 заметили аномальный трафик в своей системе поиска угроз, который пытался загрузить и выполнить загрузчик сценариев оболочки. Было установлено, что вредоносный трафик является частью кампании IZ1H9.

Программа загрузки сценариев оболочки сначала удаляет журналы, чтобы скрыть свои следы, а затем загружает клиентов ботнета в зависимости от архитектуры Linux. Затем он блокировал сетевое соединение с нескольких портов, включая SSH, telnet и HTTP. Это делалось путем изменения правил iptable устройства, чтобы жертва не смогла подключиться и восстановить взломанное устройство удаленно. Были обнаружены два URL-адреса, на которых размещались программы загрузки сценариев оболочки.

Клиент ботнета IZ1H9 дает о себе знать, выводя на консоль слово "Darknet", а также содержит функцию, которая гарантирует, что на устройстве запущен только один экземпляр этой вредоносной программы. Кроме того, он имеет список имен процессов, принадлежащих другим вариантам Mirai и другим семействам вредоносных программ ботнета, которые он проверяет, чтобы завершить их в случае обнаружения. Он пытается подключиться к жестко заданному адресу C2, а для строк конфигурации использует таблицу зашифрованных строк с ключом 0xBAADF00D. Для каналов SSH и telnet он имеет секцию данных со встроенными учетными данными по умолчанию для целей сканирования и перебора, зашифрованными 1-байтовым XOR-ключом 0x54.

Что касается методов атаки, то вариант IZ1H9 настроен на проведение DDoS-атак, что делает его значительной угрозой для IoT-устройств.

#ParsedReport #CompletenessMedium
26-05-2023

Executive summary. The Dark Frost Enigma: An Unexpectedly Prevalent Botnet Author Profile

https://www.akamai.com/blog/security-research/dark-frost-botnet-unexpected-author-profile

Report completeness: Medium

Actors/Campaigns:
Ddos-for-hire
Plutonium

Threats:
Dark_frost_botnet
Enigma
Bashlite
Qakbot
Mirai
Udpflood_technique
Darkness_botnet
Lizar

Victims:
Companies and individuals in the gaming industry, including gaming companies, game server hosting providers, online streamers, and members of the gaming community

Industry:
Entertainment, Financial, Iot

Geo:
German, Dutch, Polish

ChatGPT TTPs:
do not use without manual check
T1190, T1064, T1136, T1060, T1095, T1497

IOCs:
Hash: 5
IP: 2

Softs:
hadoop, discord

Platforms:
arm, x86

YARA: Found

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея этого текста заключается в том, что ботнет Dark Frost - это новый ботнет, нацеленный на игровую индустрию, созданный с использованием украденного кода из нескольких популярных семейств вредоносных программ. Он разросся до сотен взломанных устройств, а создатель угрозы хвастался своими эксплойтами в социальных сетях. Команда Akamai Security Intelligence Response Team отслеживает подобные угрозы и оповещает сообщество о том, что они заметили, а пользователи должны убедиться, что их системы правильно настроены и защищены для защиты от подобных угроз.
-----

Ботнет Dark Frost - это новый ботнет, нацеленный на игровую индустрию. Он создан по образцу других штаммов вредоносного ПО, таких как Gafgyt, Qbot и Mirai, и разросся до сотен скомпрометированных устройств с оценочным потенциалом атаки в 629,28 Гбит/с с использованием UDP-флуда. Ботнет был создан с использованием украденного кода из множества популярных семейств вредоносных программ, а организаторы угроз, стоящие за ним, хвастались своими эксплойтами в социальных сетях. Ботнет Dark Frost в первую очередь атаковал различные игровые компании, провайдеров хостинга игровых серверов, онлайн-стримеров и других представителей игрового сообщества.

Анализ бинарного образца Dark Frost выявил в ботнете 414 устройств, в основном на архитектуре ARMv4, следующие два наиболее распространенных - MIPSEL и x86. Злоумышленники взяли большую часть своего кода из общедоступных источников на GitHub и успешно вывели из строя ряд онлайн-сервисов.

Угрожающий субъект, ответственный за ботнет Dark Frost, является относительно неискушенным, но успешным, что подчеркивает легкость совершения такого рода преступлений. Очень важно распознавать низкоуровневых субъектов на начальном этапе, пока они не переросли в серьезные угрозы, поскольку последствия их действий могут быть значительными. Группа разведки безопасности Akamai отслеживает подобные угрозы и оповещает сообщество о том, что они замечают. Чтобы защититься от таких угроз, пользователи должны убедиться, что их системы правильно настроены и защищены.

Приятно, когда ты тоже научился выявлять и отслеживать тренды, так как это делают "большие дяди".
https://t.me/aptreports/3920

Еще одна интересная тенденция.
Тренды строятся только по данным, полученным из twitter, отчетов и online-песка

hmmm

Hello.

This is a message to the many up and coming ransomware groups we see.

STOP. USING. BABUK.

It is buggy. It fails decrypting large files and other edge cases. If you're going to be a criminal group, do it correctly. Your victims won't be able to recover files, dumbie.

#ParsedReport #CompletenessLow
28-05-2023

Threat Brief: Attacks on Critical Infrastructure Attributed to Volt Typhoon

https://unit42.paloaltonetworks.com/volt-typhoon-threat-brief

Report completeness: Low

Threats:
Earthworm_tool
Impacket_tool
Portproxy_tool
Ntdsutil_tool

Industry:
Transport, Maritime, Education, Government

Geo:
Japanese, Apac, Japan, China, Guam, America, Emea

IOCs:
File: 6
Registry: 1
Hash: 29

#ParsedReport #CompletenessLow
29-05-2023

DogeRAT: The Android Malware Campaign Targeting Users Across Multiple Industries. Overview of the Campaign

https://cloudsek.com/blog/dogerat-the-android-malware-campaign-targeting-users-across-multiple-industries

Report completeness: Low

Threats:
Sms_stealer

Industry:
Entertainment, Financial

Geo:
India

ChatGPT TTPs:
do not use without manual check
T1486, T1547, T1566, T1119, T1113, T1056, T1573, T1036, T1082

IOCs:
File: 1
Hash: 56

Softs:
android, telegram, opera, chatgpt, instagram

Languages:
java

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Недавнее обнаружение вредоносной программы DogeRAT для Android с открытым исходным кодом служит напоминанием о финансовой мотивации, заставляющей мошенников постоянно совершенствовать свою тактику, и подчеркивает необходимость повышения бдительности при обеспечении безопасности в Интернете. Важно принимать превентивные меры для защиты наших цифровых активов и оставаться в безопасности в Интернете.
-----

Недавнее обнаружение вредоносной программы DogeRAT (троян удаленного доступа) для Android с открытым исходным кодом подчеркивает необходимость повышения бдительности при обеспечении безопасности в Интернете. Вредоносная программа маскируется под легитимное приложение и распространяется через социальные сети и приложения для обмена сообщениями. Она может похищать контакты, сообщения, банковские реквизиты и получать контроль над устройством жертвы для выполнения вредоносных действий.

DogeRAT создан автором вредоносного ПО и рекламируется в двух Telegram-каналах. На изображении ниже автор RAT предлагает премиум-версию DogeRAT, которая обладает дополнительными возможностями: делает скриншоты, крадет изображения из галереи, работает как кейлоггер, крадет информацию из буфера обмена, а также имеет новый файловый менеджер наряду с большей стойкостью и плавным соединением бота с зараженным устройством. В комплект также входит учебник на GitHub, который поможет злоумышленникам организовать собственную кампанию.

После установки троянец получает множество разрешений, включая, помимо прочего, доступ к журналам вызовов, аудиозаписи, чтению SMS-сообщений, медиафайлов, фотографий и т. д. Для создания видимости легитимности вредоносная программа постоянно отображает URL-адрес целевого объекта в веб-виде внутри приложения, который может быть изменен агентом угрозы, управляющим RAT.

Telegram-бот действует как командно-контрольный пульт для RAT, вступая в коммуникацию с кодом сервера, которым можно манипулировать через бота. При дальнейшем расследовании исследователи CloudSEK обнаружили более тысячи поддельных приложений, предназначенных для атак на приложения Android в различных секторах, включая банковское дело, игры и развлечения.

Эта кампания служит ярким напоминанием о финансовой мотивации, заставляющей мошенников постоянно совершенствовать свою тактику. Они не ограничиваются созданием фишинговых веб-сайтов, но и распространяют модифицированные RAT или переработанные вредоносные приложения для проведения мошеннических кампаний, которые не требуют больших затрат и просты в установке, но приносят высокую прибыль.

Очень важно сохранять бдительность и принимать превентивные меры для защиты наших цифровых активов. Быть внимательным к тому, на какие ссылки мы нажимаем и какие вложения открываем, поддерживать программное обеспечение в актуальном состоянии, использовать решения для обеспечения безопасности, знать признаки мошенничества и получать информацию о вредоносном ПО - все это важные шаги, которые необходимо предпринять, чтобы оставаться в безопасности в Интернете.

#ParsedReport #CompletenessMedium
29-05-2023

JPCERT/CC Eyes

https://blogs.jpcert.or.jp/en/2023/05/gobrat.html

Report completeness: Medium

Threats:
Upx_tool
Frpc_tool

Victims:
Linux routers

Geo:
Japan

ChatGPT TTPs:
do not use without manual check
T1566.003, T1219.001, T1059.003

IOCs:
File: 1
Hash: 21
Url: 4
Domain: 3

Softs:
crontab, redis, mysql, postgresql

Algorithms:
aes-128

Languages:
javascript

Platforms:
mips, arm, x86

Links:
https://github.com/JPCERTCC/aa-tools/tree/master/GobRAT-Analysis

#ParsedReport #ExtractedSchema

Classified images:
schema: 4, dump: 1, code: 3, windows: 1