#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: GobRAT - это троян удаленного доступа (RAT), написанный на языке программирования Go, который использовался для заражения Linux-маршрутизаторов в Японии. Важно оставаться в курсе вредоносных угроз и использовать доступный инструмент эмуляции C2 для помощи в анализе GobRAT.
-----

Исследователи кибербезопасности из JPCERT/CC подтвердили атаки, в результате которых маршрутизаторы Linux были заражены вредоносным ПО в Японии примерно в феврале 2023 года. Вредоносное ПО, используемое в этих атаках, известно как GobRAT, троян удаленного доступа (RAT), написанный на языке программирования Go.

Процесс атаки вплоть до выполнения вредоносной программы GobRAT состоит из нескольких этапов, как показано на рисунке 1. Скрипт Loader Script используется в качестве загрузчика, содержащего такие функции, как генерация различных скриптов и загрузка вредоносной программы GobRAT. Этот скрипт также содержит жестко закодированный открытый ключ SSH, который, как предполагается, будет использоваться для бэкдора. Кроме того, этот сценарий использует crontab для регистрации пути к файлу Start Script для сохранения.

GobRAT - это RAT, написанный на языке Go, который связывается со своим C2-сервером через TLS и выполняет различные команды. Он упакован в UPX версии 4 серии, и были подтверждены образцы для различных архитектур, таких как ARM, MIPS, x86 и x86-64. При запуске GobRAT выполняет определенные проверки и сохраняет информацию в самом образце.

GobRAT использует TLS для отправки и получения данных со своим C2-сервером. Он использует gob, протокол сериализации данных, доступный только в языке Go, для получения команд и отправки результатов их выполнения. Строки, такие как команды C2 и Linux, шифруются и хранятся в образце. Для расшифровки строк используется режим AES128 CTR, а ключ и IV жестко закодированы в образце.

GobRAT имеет 22 команды, которые выполняются по командам с сервера C2. Эти команды в основном связаны с коммуникациями, такими как frpc, socks5 и реконфигурация C2. Кроме того, он может получать информацию о машине, выполнять обратный shell, читать/писать файлы, пытаться войти в службы sshd, Telnet, Redis, MySQL и PostgreSQL, запущенные на другой машине.

В последние годы были подтверждены различные типы вредоносных программ, использующих язык Go, и GobRAT является одной из них. Поскольку GobRAT использует gob для связи, если кто-то хочет эмулировать его связь с C2 для проверки команд, ему необходимо создать программу на языке Go. Чтобы помочь в анализе GobRAT, на GitHub доступен инструмент эмуляции C2, который поддерживает анализ GobRAT.

Важно отметить, что вредоносные программы, заражающие маршрутизаторы, не ограничиваясь GobRAT, трудно обнаружить, и они могут представлять серьезную угрозу. Поэтому люди должны сохранять бдительность в отношении этих типов вредоносных угроз и должны обратиться к Приложению B для C2 вредоносной программы, Приложению C для хэш-значения скрипта и Приложению D для хэш-значения вредоносной программы.

#ParsedReport #CompletenessLow
29-05-2023

Mysterious Team Bangladesh Targets Multiple UAE Government Websites with DDoS Attacks Under #OpUAE Campaign. References

https://cloudsek.com/threatintelligence/mysterious-team-bangladesh-targets-multiple-uae-government-websites-with-ddos-attacks-under-opuae-campaign

Report completeness: Low

Actors/Campaigns:
Anonymous_sudans (motivation: hacktivism)
Dragonforce

Victims:
Multiple uae government websites

Industry:
Energy, Government, Financial, Healthcare

Geo:
Indian, Bangladesh

TTPs:
Tactics: 1
Technics: 0

Softs:
telegram

Algorithms:
exhibit

Languages:
python, golang

Links:
https://github.com/Tmpertor/Raven-Storm
https://github.com/grafov/hulk
https://github.com/XCHADXFAQ77X/XERXES

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Платформа цифровых рисков XVigil AI компании CloudSEK обнаружила сообщение, в котором утверждалось, что на несколько правительственных сайтов ОАЭ была проведена DDoS-атака, вероятно, хактивистскими группами из-за политической озабоченности конфликтом в Судане. Атака, вероятно, была проведена с помощью HTTP Flooding и DDoS-скриптов, которые могут нанести серьезный ущерб инфраструктуре сайта.
-----

20 мая 2023 года платформа цифровых рисков XVigil AI компании CloudSEK обнаружила сообщение, сделанное хактивистской группой Mysterious Team Bangladesh, в котором утверждалось, что она провела DDoS-атаку на несколько правительственных сайтов ОАЭ. Вместе с постом было выложено доказательство в виде ссылки на сайт Check-host.net, который в режиме реального времени предоставляет информацию о доступности и работоспособности домена или IP-адреса.

Anonymous Sudan и другие хактивистские группы атаковали ОАЭ в связи с политическими проблемами, связанными с конфликтом в Судане и предполагаемым участием ОАЭ. Они неоднократно атаковали одни и те же правительственные, банковские и финтех-организации, вероятно, чтобы получить огласку и поддержать ход своих кампаний. Эти группы обычно используют базовые инструменты, такие как DDOS и массовое сканирование, чтобы раскрыть конфиденциальную информацию, например, резервные копии и файлы SQL.

Хактивистской группе приписывают злоупотребление методом атаки HTTP Flooding и DDoS с использованием нескольких скриптов. Считается, что в этой атаке использовался инструмент ./404found.my, который группа DragonForce применяла в прошлом для атак на сайт ветеранов индийской армии, сайт BJP и другие.

DDoS-атаки могут нанести серьезный ущерб инфраструктуре веб-сайтов, делая их уязвимыми для дальнейших атак. Это может привести к краху услуг, предоставляемых веб-сайтом, и к неувязкам для пользователей, обращающихся к пострадавшим веб-сайтам и ресурсам.

#ParsedReport #CompletenessLow
28-05-2023

DeltaBoys : Black Hats On The Rise

https://www.cyfirma.com/outofband/deltaboys-black-hats-on-the-rise

Report completeness: Low

Victims:
Government, manufacturing and financial services

Industry:
Government, Financial

Geo:
Israeli, Kurdistan, China, Spain, Vietnam, Taiwan, India, Israel

TTPs:
Tactics: 2
Technics: 1

IOCs:
Domain: 1

Softs:
telegram

#ParsedReport #ExtractedSchema

Classified images:
windows: 5, chart: 1, dump: 1, schema: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: DeltaBoys - это группа угроз, которая быстро набирает известность благодаря своим передовым хакерским навыкам и ориентации на финансовые и геополитические мотивы. Организациям в Израиле следует принять дополнительные меры безопасности для защиты от потенциальных атак этой растущей, способной и пагубной группы.
-----

DeltaBoys - группа угроз, которая быстро приобретает известность благодаря своим продвинутым хакерским навыкам и ориентации на финансовые и геополитические мотивы. Эта группа действует с декабря 2021 года, первоначально она начинала как брокеры баз данных и кардеры, но затем перешла к массовой порче и посредничеству в предоставлении первоначального доступа. DeltaBoys предоставляют услугу подписки, которая дает доступ к разнообразным эксплойтам и методологиям, включающим нулевые дни, веб-шеллы и учебники по взлому.

Их основной целью является инфраструктура Израиля, но они также нацелились на США, Индию, Китай, Вьетнам, Курдистан и Испанию. Среди отраслей, на которые они нацелились, - государственные, производственные и финансовые услуги. Известно, что DeltaBoys используют утилиту bashupload, которая позволяет пользователю загружать файлы для последующего доступа, а также облегчает утечку данных. Также было замечено, что они продают веб-оболочки в течение минуты, что свидетельствует о востребованности таких данных.

В связи с их растущим потенциалом, изощренностью и возможностями, организациям в Израиле, особенно в секторах критической инфраструктуры, следует рассмотреть возможность внедрения усиленных мер безопасности для защиты от потенциальных атак и снижения рисков со стороны этой растущей, способной и пагубной группы. Такие меры могут включать регулярные оценки безопасности, управление исправлениями, обучение сотрудников и многофакторную аутентификацию.

#ParsedReport #CompletenessMedium
29-05-2023

Volt Typhoon targets US critical infrastructure with living-off-the-land techniques

https://www.microsoft.com/en-us/security/blog/2023/05/24/volt-typhoon-targets-us-critical-infrastructure-with-living-off-the-land-techniques

Report completeness: Medium

Threats:
Lolbin_technique
Dumplsass_tool
Portproxy_tool
Impacket_tool
Credential_stealing_technique
Win32/wmisuspprocexec.j!se
Ntdsutil_tool

Victims:
Critical infrastructure organizations in the united states and guam

Industry:
Government, Maritime, Transport, Education

Geo:
China, Asia, Guam

TTPs:
Tactics: 6
Technics: 0

IOCs:
File: 3
Hash: 19

Softs:
microsoft defender, microsoft defender for endpoint, microsoft 365 defender, active directory, zyxel, windows local security authority, psexec, windows defender credential guard

Algorithms:
base64, sha256

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 2

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Компания Microsoft обнаружила скрытную и целенаправленную вредоносную деятельность, осуществляемую Volt Typhoon, спонсируемым государством субъектом, базирующимся в Китае, который придает большое значение скрытности и полагается на методы "Living-of-the-Land" и работу с клавиатурой. Снижение риска от таких противников, как Volt Typhoon, требует поведенческого мониторинга, закрытия или изменения учетных данных скомпрометированных учетных записей, а также других мер безопасности.
-----

Недавно компания Microsoft обнаружила скрытую и целенаправленную вредоносную деятельность, осуществляемую Volt Typhoon, спонсируемым государством субъектом, базирующимся в Китае. Microsoft с умеренной уверенностью оценивает, что эта кампания направлена на организации критической инфраструктуры в США и может быть разработана для нарушения критической инфраструктуры связи между США и Азиатским регионом во время будущих кризисов.

В этой кампании угрожающий субъект делает упор на скрытность, полагаясь почти исключительно на методы "Living-of-the-Land" и работу с клавиатурой. Они отдают команды через командную строку для сбора данных, включая учетные данные из локальных и сетевых систем. Для повышения скрытности своих операций Volt Typhoon проксирует весь сетевой трафик к своим целям через взломанные пограничные сетевые устройства SOHO, включая устройства производства ASUS, Cisco, D-Link, NETGEAR и Zyxel.

Volt Typhoon редко использует вредоносное ПО в своей деятельности после компрометации. Вместо этого они полагаются на "живые" команды для поиска информации о системе, обнаружения дополнительных устройств в сети и эксфильтрации данных. Агентство национальной безопасности (АНБ) выпустило совет по кибербезопасности, содержащий руководство по тактике, технике и процедурам (TTPs), используемым Volt Typhoon.

Наиболее опасные действия Volt Typhoon включают доступ к учетным данным и обнаружение сетевых систем. В большинстве случаев они получают доступ к взломанным системам, входя в систему с действительными учетными данными. Однако в небольшом количестве случаев они создают прокси на взломанных системах для облегчения доступа с помощью команды netsh portproxy, Impacket или Fast Reverse Proxy (FRP). Скомпрометированные организации могут наблюдать доступ C2 в виде успешных входов в систему с необычных IP-адресов.

Снижение риска от таких противников, как Volt Typhoon, требует поведенческого мониторинга и закрытия или изменения учетных данных скомпрометированных учетных записей. Рекомендуется применять строгие политики многофакторной аутентификации (MFA), внедрять беспарольный вход, правила истечения срока действия пароля и деактивировать неиспользуемые учетные записи. Кроме того, следует блокировать кражу учетных данных с помощью LSASS, создание процессов с помощью команд PSExec и WMI, выполнение потенциально обфусцированных сценариев, а также включить Windows Defender Credential Guard.

Microsoft продолжит отслеживать активность и инструментарий Volt Typhoon и будет предупреждать о любых связанных с ним предупреждениях. Эти предупреждения могут включать конфигурацию машины для пересылки трафика на нелокальный адрес, Ntdsutil собирает информацию о Active Directory, хэши паролей сбрасываются из памяти LSASS, подозрительное использование wmic.exe для выполнения кода и инструментарий Impacket.

Важно отметить, что эти предупреждения также могут быть вызваны угрозами, не связанными с Volt Typhoon, и организациям следует проверить подозреваемые скомпрометированные учетные записи или затронутые системы, чтобы выявить любые вредоносные действия или открытые данные. Принятие необходимых мер безопасности для предотвращения такого рода атак - лучший способ обеспечить безопасность вашей организации.

#technique

badger-builder is an AI-assisted tool for generating dynamic Brute Ratel C4 profiles. Simply provide badger-builder a flavor for your desired profile and it will prompt OpenAI for fitting configurations.

https://github.com/Tw1sm/badger-builder

#technique

kill anti-malware protected processes (BYOVD)

https://github.com/ZeroMemoryEx/Blackout

#technique

Hidden Desktop (often referred to as HVNC) is a tool that allows operators to interact with a remote desktop session without the user knowing. The VNC protocol is not involved, but the result is a similar experience. This Cobalt Strike BOF implementation was created as an alternative to TinyNuke/forks that are written in C++.

https://github.com/WKL-Sec/HiddenDesktop

Threat Analysis Report An APT37 attack case impersonating a North Korean human rights organization

https://www.genians.co.kr/hubfs/blogfile/threat_intelligence_report_apt37.pdf

Fata Morgana: Watering hole attack on shipping and logistics websites

https://www.clearskysec.com/wp-content/uploads/2023/05/Fata-Morgana-Israeli-Websites-Infected-by-Iranian-Group-1.8.pdf

Простите, не удержался.
https://www.youtube.com/shorts/CtYXI9igMhk

#ParsedReport #CompletenessHigh
30-05-2023

HiddenEyeZ cybercrime group: identity card

https://www.stormshield.com/news/hiddeneyez-cybercrime-group-identity-card-malware

Report completeness: High

Actors/Campaigns:
Hiddeneyez (motivation: cyber_criminal)

Threats:
Redline_stealer
Hiddeneyez_hvnc
Hvnc_tool
Icarus
Highlander_tool
R77rk_tool
Prynt_stealer
Stormkitty_stealer
Process_hollowing_technique
Hiddenvnc_tool
Putty_tool
Uac_bypass_technique
Stealerium_stealer

Victims:
Victims worldwide, including us banking information

Industry:
Financial

Geo:
Canada, Mexico, France

ChatGPT TTPs:
do not use without manual check
T1014, T1179, T1060, T1027, T1055, T1074, T1036, T1140, T1043

IOCs:
Registry: 4
Coin: 1
File: 10
IP: 3
Url: 7
Domain: 1
Path: 5
Hash: 17
Command: 5

Softs:
telegram, windows defender, discord, winlogon, outlook, pidgin, net framework, windows explorer, chrome, chromium, have more...

Algorithms:
zip, base64, sha256, sha1

Win API:
NtQuerySystemInformation, ZwQueryDirectoryFile

Win Services:
bits

Links:
github.com/microsoft/detours
github.com/Stealerium/Stealerium
github.com/bytecode77/r77-rootkit

#ParsedReport #ExtractedSchema

Classified images:
code: 14, windows: 4, chart: 1, schema: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Наш анализ кампании RedLine позволил обнаружить информацию о HiddenEyeZ, киберпреступной группе, специализирующейся на краже конфиденциальных данных. Мы изучили ее дроппер, особенности, методы сохранения, руткит, кражу и защиту от обнаружения, чтобы понять, какую угрозу представляет эта группа и как ее уменьшить.
-----

Наш анализ кампании RedLine выявил образцы вредоносного ПО от HiddenEyeZ, киберпреступной группы, специализирующейся на краже конфиденциальных данных. Они предлагают различные услуги и продукты, такие как лицензирование их вредоносного ПО HiddenEyeZ HVNC (RAT/stealer), HiddenCrypt, Botnet Log Packs, распространение вредоносного ПО, учебники и многое другое. Цены варьируются от нескольких сотен долларов за одно использование вредоносной программы HiddenEyeZ HVNC в месяц до 1 500 долларов за пожизненную лицензию. Группа использует традиционные маркетинговые методы, такие как временные акции, а продажи осуществляются напрямую через бота Telegram или с sellix.io, платежной платформы, принимающей криптовалюты.

Группа публикует образцы логов жертв в своем лаунчере Telegram для демонстрации потенциальным клиентам. Информация, полученная из этих журналов, показывает, что жертвы разбросаны по всему миру, но нет жертв из Франции или США - хотя сообщения на канале Telegram показывают особый интерес к банковской информации США.

HiddenEyeZ HVNC - это RAT/кража, разработанная, используемая и продаваемая группой HiddenEyeZ. Он предназначен для кражи конфиденциальной информации у жертв, включая пароли, личные файлы, криптовалютные кошельки и т.д. Он может развернуть Icarus stealer, который автоматически извлекает конфиденциальные данные у жертвы. Для обеспечения хорошего уровня скрытности образец имеет возможность развертывать руткит в пользовательском режиме под названием r77.

AddStartupTask забрасывается в местоположение %TEMP%\proclog.exe и запускается через сценарий %TEMP%\drive.bat. После выполнения оба файла удаляются с диска. Этот инструмент позволяет вредоносной программе добиться стойкости и запускать программное обеспечение на скрытом рабочем столе, невидимом для жертвы.

Образец также содержит защиту от обнаружения продуктами безопасности, например, переименован в Icarus в найденных образцах, путь PDB в бинарном файле указывает на то, что это Stealerium или его вариант. Код декомпилированного образца и код, присутствующий в репозитории Stealerium, демонстрируют сильное сходство.

В целом, наш анализ выявил большое количество информации о работе группы HiddenEyeZ и ее основного продукта - вредоносной программы HiddenEyeZ HVNC. Мы изучили его дроппер, его функции и возможности, его методы достижения стойкости, его руткит и стеллер, а также его способы защиты от обнаружения. Эта информация важна для понимания угрозы, исходящей от этой киберпреступной группы, и способов ее снижения.

#ParsedReport #CompletenessHigh
30-05-2023

Void Rabisu s Use of RomCom Backdoor Shows a Growing Shift in Threat Actors Goals

https://www.trendmicro.com/en_us/research/23/e/void-rabisu-s-use-of-romcom-backdoor-shows-a-growing-shift-in-th.html

Report completeness: High

Actors/Campaigns:
Tropical_scorpius (motivation: cyber_criminal, cyber_espionage, hacktivism, financially_motivated, politically_motivated)
Astrachat
Fancy_bear (motivation: hacktivism, cyber_criminal)
Voidbalaur (motivation: hacktivism, cyber_criminal)
Duke (motivation: hacktivism, cyber_criminal)
Killnet (motivation: hacktivism, cyber_criminal)

Threats:
Romcom_rat
Conti
Cuba
Vmprotect_tool
Icedid
Qakbot
Gozi
Com_hijacking_technique
Pid_spoofing_technique
Plink_tool
Anydesk_tool
Fategrab
Vidar_stealer
Stealc
Nltest_tool
Emotet
Matanbuchus
Batloader
Solarmarker

Industry:
Government, Financial, Energy

Geo:
Ukraine, Canadian, Ukrainian, Asia, Russian, Canada, America, Ontario

TTPs:
Tactics: 1
Technics: 10

IOCs:
Domain: 58
File: 17
Registry: 2
Path: 16
IP: 2
Hash: 29

Softs:
windows registry, 3proxy, google chrome, microsoft edge, mozilla firefox, chromium, chrome, component object model

Algorithms:
zip

Functions:
Main, startWorker, stub, stW, fSt

YARA: Found

Links:
https://github.com/trendmicro/research/tree/main/romcom

#ParsedReport #ExtractedSchema

Classified images:
windows: 16, schema: 3, code: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея этого текста заключается в том, что Void Rabisu, вредоносный агент, связанный с бэкдором RomCom, с октября 2022 года сменил мотивацию с финансовой выгоды на геополитические цели и использует сторонний сервис для подписания двоичных файлов сертификатами вроде бы легитимных канадских компаний.
-----

Void Rabisu, вредоносный агент, связанный с бэкдором RomCom, с октября 2022 года сменил мотивацию с финансовой выгоды на геополитические цели. RomCom распространяется через сайты-приманки, создаваемые быстрыми сериями, и является примером финансово мотивированных угроз, чьи цели и мотивы все больше совпадают с геополитическими обстоятельствами. Помимо использования рекламы Google Ads для привлечения жертв, RomCom распространяется через троянизированные версии легитимных приложений, включая приложения для чатов, PDF-ридеры, приложения для удаленного рабочего стола и менеджеры паролей. Целями вредоносной программы являются Украина и страны НАТО, организации финансового, энергетического и водного секторов, местное правительственное агентство по поддержке украинских беженцев, а также банки и поставщики ИТ-услуг в Европе, США и Азии.

RomCom 3.0 состоит из трех компонентов: загрузчика, сетевого компонента и рабочего компонента. Он поддерживает 42 команды, включая команды для загрузки и запуска легитимного программного обеспечения, и похищает сохраненные учетные данные и историю просмотров из браузеров. Вредоносная программа защищена с помощью VMProtect и подписана действительными сертификатами, а также использует функции анти-VM для обнаружения запуска на виртуальной машине.

Void Rabisu, похоже, использует сторонний сервис, который помогает подписывать двоичные файлы сертификатами вроде бы легитимных канадских компаний. Такие компании имеют такие странности, как несуществующие номера телефонов, стоковые фотографии руководителей и адреса офисов, которые не совпадают. В данном случае сертификат был подписан канадской компанией Noray Consulting Ltd., которая, по-видимому, является либо поддельной, либо законной компанией, которой злоупотребляют, чтобы пройти проверку, необходимую для получения права подписывать двоичные файлы.