#ParsedReport #CompletenessLow
30-05-2023
Subgroup of the Blind Eagle? Analysis of recent attack activities from the Hagga organization
https://ti.qianxin.com/blog/articles/Subgroup-of-Blind-Eagle-Analysis-of-Recent-Attack-Activities-from-Hagga-Group-CN
Report completeness: Low
Actors/Campaigns:
Blindeagle (motivation: information_theft)
Aggaa (motivation: information_theft)
Gorgon
Threats:
Raindrop_tool
Revenge_rat
Agent_tesla
Limerat
Njrat
Asyncrat_rat
Nanocore_rat
Remcos_rat
Mana_tool
Harpoon
Imminentmonitor_rat
Avemaria_rat
Quasar_rat
Eziriz_tool
Victims:
Colombian government, financial institutions, large domestic companies and multinational companies
Industry:
Petroleum, Financial, Foodtech, Government
Geo:
Nigerian, Colombian, Colombia, Asia, Columbia, Chinese, Pakistani, Ecuador, America, Panama, Chile, Americas, Spanish, China, Taiwan
CVEs:
CVE-2017-1188210 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2017-11882 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- microsoft office (2007, 2013, 2010, 2016)
ChatGPT TTPs:
T1036, T1045, T1064, T1086, T1032, T1117, T1078, T1076
IOCs:
IP: 5
File: 4
Hash: 46
Softs:
mysql
Crypto:
bitcoin
Algorithms:
base64
30-05-2023
Subgroup of the Blind Eagle? Analysis of recent attack activities from the Hagga organization
https://ti.qianxin.com/blog/articles/Subgroup-of-Blind-Eagle-Analysis-of-Recent-Attack-Activities-from-Hagga-Group-CN
Report completeness: Low
Actors/Campaigns:
Blindeagle (motivation: information_theft)
Aggaa (motivation: information_theft)
Gorgon
Threats:
Raindrop_tool
Revenge_rat
Agent_tesla
Limerat
Njrat
Asyncrat_rat
Nanocore_rat
Remcos_rat
Mana_tool
Harpoon
Imminentmonitor_rat
Avemaria_rat
Quasar_rat
Eziriz_tool
Victims:
Colombian government, financial institutions, large domestic companies and multinational companies
Industry:
Petroleum, Financial, Foodtech, Government
Geo:
Nigerian, Colombian, Colombia, Asia, Columbia, Chinese, Pakistani, Ecuador, America, Panama, Chile, Americas, Spanish, China, Taiwan
CVEs:
CVE-2017-1188210 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2017-11882 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- microsoft office (2007, 2013, 2010, 2016)
ChatGPT TTPs:
do not use without manual checkT1036, T1045, T1064, T1086, T1032, T1117, T1078, T1076
IOCs:
IP: 5
File: 4
Hash: 46
Softs:
mysql
Crypto:
bitcoin
Algorithms:
base64
Qianxin
奇安信威胁情报中心
Nuxt.js project
CTT Report Hub
#ParsedReport #CompletenessLow 30-05-2023 Subgroup of the Blind Eagle? Analysis of recent attack activities from the Hagga organization https://ti.qianxin.com/blog/articles/Subgroup-of-Blind-Eagle-Analysis-of-Recent-Attack-Activities-from-Hagga-Group-CN…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Команда Red Raindrop Центра разведки угроз Qi Anxin расследует возможную связь между организацией Hagga и организацией APT Blind Eagle (APT-Q-98) и заметила схожую тактику, используемую обеими организациями.
-----
Команда Red Raindrop Центра разведки угроз Qi Anxin отслеживает крупные APT-организации по всему миру. В последнее время они отслеживают деятельность организации Hagga, которая впервые была публично раскрыта в марте 2019 года и, как полагают, является частью более крупной кампании, затрагивающей всю Европу и Азию, а также США. Известно, что организация Hagga использует Internet Archive, Pastebin и Blogspot для размещения вредоносных скриптов и полезных нагрузок, часто RevengeRAT, LimeRAT, NjRAT, AsyncRAT, NanoCoreRAT, RemcosRAT и Agent Tesla.
В то же время команда также обнаружила организацию АПТ Blind Eagle (APT-Q-98), которую независимо и впервые раскрыл Цяньсинь. Эта организация в основном нацелена на Колумбию, в основном на правительственные учреждения и крупные компании (финансовые, нефтяные, производственные и т.д.). Тактика, используемая Blind Eagle, включает взлом испанских веб-сайтов, регистрацию доменных имен с защитой конфиденциальности, загрузку полезных файлов и документов, а также отправку вредоносных документов MHTML с макросами через RAR и фишинговые электронные письма.
Команда Red Raindrop заметила, что атака на китайскую компанию предположительно была связана с IP-адресом 172.174.176.153, который использовался для хранения последующей полезной нагрузки Blind Eagle. Это привело к предположению, что организация Hagga, возможно, продает свои собственные хакерские услуги. После дальнейшего анализа ТТП как организации Hagga, так и организации Blind Eagle, они пришли к выводу, что нет веских доказательств связи между этими двумя организациями, но есть предположение, что они могут дополнять друг друга.
Считается, что Hagga совершала атаки на Европу в 2020 году и, как выяснилось, занималась кражей биткоинов. Также подозревается, что они продавали или предоставляли вредоносное ПО нигерийским угрожающим субъектам и, возможно, организации Blind Eagle. Вложение INV20230503.xlsx в гарпунном письме содержало уязвимость CVE-2017-11882. Через уязвимость можно было получить доступ к GEE.vbs, установленному на 109.206.240.64, а затем выпустить и выполнить KJH.vbs в каталоге %appdata%. Конечной инжектированной полезной нагрузкой был RemcosRAT.
Очевидно, что организации Blind Eagle и Hagga имеют схожие ТТП, и вполне возможно, что они каким-то образом связаны между собой. В отсутствие убедительных доказательств команда Red Raindrop выдвинула несколько предположений и будет продолжать проводить долгосрочное отслеживание и последующие действия, чтобы своевременно обнаруживать угрозы безопасности и быстро реагировать на них.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Команда Red Raindrop Центра разведки угроз Qi Anxin расследует возможную связь между организацией Hagga и организацией APT Blind Eagle (APT-Q-98) и заметила схожую тактику, используемую обеими организациями.
-----
Команда Red Raindrop Центра разведки угроз Qi Anxin отслеживает крупные APT-организации по всему миру. В последнее время они отслеживают деятельность организации Hagga, которая впервые была публично раскрыта в марте 2019 года и, как полагают, является частью более крупной кампании, затрагивающей всю Европу и Азию, а также США. Известно, что организация Hagga использует Internet Archive, Pastebin и Blogspot для размещения вредоносных скриптов и полезных нагрузок, часто RevengeRAT, LimeRAT, NjRAT, AsyncRAT, NanoCoreRAT, RemcosRAT и Agent Tesla.
В то же время команда также обнаружила организацию АПТ Blind Eagle (APT-Q-98), которую независимо и впервые раскрыл Цяньсинь. Эта организация в основном нацелена на Колумбию, в основном на правительственные учреждения и крупные компании (финансовые, нефтяные, производственные и т.д.). Тактика, используемая Blind Eagle, включает взлом испанских веб-сайтов, регистрацию доменных имен с защитой конфиденциальности, загрузку полезных файлов и документов, а также отправку вредоносных документов MHTML с макросами через RAR и фишинговые электронные письма.
Команда Red Raindrop заметила, что атака на китайскую компанию предположительно была связана с IP-адресом 172.174.176.153, который использовался для хранения последующей полезной нагрузки Blind Eagle. Это привело к предположению, что организация Hagga, возможно, продает свои собственные хакерские услуги. После дальнейшего анализа ТТП как организации Hagga, так и организации Blind Eagle, они пришли к выводу, что нет веских доказательств связи между этими двумя организациями, но есть предположение, что они могут дополнять друг друга.
Считается, что Hagga совершала атаки на Европу в 2020 году и, как выяснилось, занималась кражей биткоинов. Также подозревается, что они продавали или предоставляли вредоносное ПО нигерийским угрожающим субъектам и, возможно, организации Blind Eagle. Вложение INV20230503.xlsx в гарпунном письме содержало уязвимость CVE-2017-11882. Через уязвимость можно было получить доступ к GEE.vbs, установленному на 109.206.240.64, а затем выпустить и выполнить KJH.vbs в каталоге %appdata%. Конечной инжектированной полезной нагрузкой был RemcosRAT.
Очевидно, что организации Blind Eagle и Hagga имеют схожие ТТП, и вполне возможно, что они каким-то образом связаны между собой. В отсутствие убедительных доказательств команда Red Raindrop выдвинула несколько предположений и будет продолжать проводить долгосрочное отслеживание и последующие действия, чтобы своевременно обнаруживать угрозы безопасности и быстро реагировать на них.
#ParsedReport #CompletenessHigh
30-05-2023
CryptoClippy is Evolving to Pilfer Even More Financial Data
https://intezer.com/blog/research/cryptoclippy-evolves-to-pilfer-more-financial-data
Report completeness: High
Actors/Campaigns:
Darkside
Threats:
Cryptoclippy
Imminentmonitor_rat
Uac_bypass_technique
Victims:
Portuguese speakers, payment services commonly used in brazil, services specifically used in brazil, including brazil's postal service and pix payment service, critical payment application and transaction information from unsuspecting victims in brazil.
Industry:
Financial
Geo:
Portuguese, Brazil, Israel
TTPs:
Tactics: 1
Technics: 0
IOCs:
Url: 5
File: 6
Registry: 1
Domain: 2
Hash: 36
Softs:
whatsapp, nsis installer, winlogon
Algorithms:
xor, base64, rc4
Win API:
RtlGetVersion, GetSystemFirmwareTable, CoCreateInstance, GetTokenInformation
Links:
30-05-2023
CryptoClippy is Evolving to Pilfer Even More Financial Data
https://intezer.com/blog/research/cryptoclippy-evolves-to-pilfer-more-financial-data
Report completeness: High
Actors/Campaigns:
Darkside
Threats:
Cryptoclippy
Imminentmonitor_rat
Uac_bypass_technique
Victims:
Portuguese speakers, payment services commonly used in brazil, services specifically used in brazil, including brazil's postal service and pix payment service, critical payment application and transaction information from unsuspecting victims in brazil.
Industry:
Financial
Geo:
Portuguese, Brazil, Israel
TTPs:
Tactics: 1
Technics: 0
IOCs:
Url: 5
File: 6
Registry: 1
Domain: 2
Hash: 36
Softs:
whatsapp, nsis installer, winlogon
Algorithms:
xor, base64, rc4
Win API:
RtlGetVersion, GetSystemFirmwareTable, CoCreateInstance, GetTokenInformation
Links:
https://github.com/jthuraisamy/SysWhispers2https://github.com/PowerShellMafia/PowerSploit/blob/master/CodeExecution/Invoke-Shellcode.ps1Intezer
CryptoClippy is Evolving to Pilfer Even More Financial Data
New evidence indicates the CryptoClippy threat is evolving to target a broader range of payment services, beyond just crypto wallet theft.
CTT Report Hub
#ParsedReport #CompletenessHigh 30-05-2023 CryptoClippy is Evolving to Pilfer Even More Financial Data https://intezer.com/blog/research/cryptoclippy-evolves-to-pilfer-more-financial-data Report completeness: High Actors/Campaigns: Darkside Threats: Cryptoclippy…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: CryptoClippy - это быстро развивающийся банковский троян, который нацелен на португалоговорящих жителей Бразилии и использует программы установки NSIS, скрипты, закодированные с помощью RC4, и уникальную технику выполнения bat-файлов с повышенными правами. Организации и частные лица должны оставаться в курсе событий и укреплять свои средства защиты для борьбы с этой угрозой.
-----
CryptoClippy - это банковский троян, нацеленный на носителей португальского языка. Он быстро развивается и расширяет свои возможности, чтобы атаковать более широкий спектр платежных сервисов, особенно тех, которые широко используются в Бразилии. Субъекты угрозы CryptoClippy используют программы установки NSIS для развертывания первого этапа атаки. Программа установки пытается выглядеть легитимной, но в фоновом режиме она пытается подключиться к удаленному серверу C2. URL-адрес декодируется с помощью Base64, и ответ содержит пять частей: три скрипта, загрузчик и файл конфигурации.
Полезной нагрузкой загрузчика с предыдущего этапа является вредоносная программа CryptoClippy. Анализ образца вредоносной программы выявил три функции для обработки содержимого буфера обмена, одна из которых переключает адреса криптокошельков. Она проверяет буфер обмена на наличие строки 0014br.gov.bcb.pix и в случае обнаружения отправляет содержимое на сервер C2. Кроме того, вредоносная программа получает имя пользователя, имя компьютера, версию Windows и информацию о прошивке. Она создает каталог в \AppData\Roaming\ с именем, основанным на ответе от C2. Чтобы установить постоянство на машине жертвы, он создает LNK в \AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Reposita.lnk.
Вредоносная программа содержит три сценария, закодированных с использованием RC4. Один из них создает запланированную задачу для сохранения, а BAT-файл выполняет второй скрипт, брошенный вредоносной программой. Также используется уникальная техника для выполнения bat-файла с повышенными правами. Доменное имя C2 - flowmudy . com, а отправляемый URL имеет формат: https://flowmudy.com/?act=481c. Значение act меняется в зависимости от функции, инициирующей обмен данными. Агент пользователя хранится в жестко заданной конфигурации в исполняемом файле и кодируется с помощью RC4.
Из анализа CryptoClippy видно, что он быстро развивается и расширяет свои возможности для получения платежных приложений и информации о транзакциях от ничего не подозревающих жертв в Бразилии. Организации и частные лица должны быть в курсе новых тенденций и укреплять свои средства защиты, чтобы эффективно бороться с этой быстро меняющейся угрозой.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: CryptoClippy - это быстро развивающийся банковский троян, который нацелен на португалоговорящих жителей Бразилии и использует программы установки NSIS, скрипты, закодированные с помощью RC4, и уникальную технику выполнения bat-файлов с повышенными правами. Организации и частные лица должны оставаться в курсе событий и укреплять свои средства защиты для борьбы с этой угрозой.
-----
CryptoClippy - это банковский троян, нацеленный на носителей португальского языка. Он быстро развивается и расширяет свои возможности, чтобы атаковать более широкий спектр платежных сервисов, особенно тех, которые широко используются в Бразилии. Субъекты угрозы CryptoClippy используют программы установки NSIS для развертывания первого этапа атаки. Программа установки пытается выглядеть легитимной, но в фоновом режиме она пытается подключиться к удаленному серверу C2. URL-адрес декодируется с помощью Base64, и ответ содержит пять частей: три скрипта, загрузчик и файл конфигурации.
Полезной нагрузкой загрузчика с предыдущего этапа является вредоносная программа CryptoClippy. Анализ образца вредоносной программы выявил три функции для обработки содержимого буфера обмена, одна из которых переключает адреса криптокошельков. Она проверяет буфер обмена на наличие строки 0014br.gov.bcb.pix и в случае обнаружения отправляет содержимое на сервер C2. Кроме того, вредоносная программа получает имя пользователя, имя компьютера, версию Windows и информацию о прошивке. Она создает каталог в \AppData\Roaming\ с именем, основанным на ответе от C2. Чтобы установить постоянство на машине жертвы, он создает LNK в \AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Reposita.lnk.
Вредоносная программа содержит три сценария, закодированных с использованием RC4. Один из них создает запланированную задачу для сохранения, а BAT-файл выполняет второй скрипт, брошенный вредоносной программой. Также используется уникальная техника для выполнения bat-файла с повышенными правами. Доменное имя C2 - flowmudy . com, а отправляемый URL имеет формат: https://flowmudy.com/?act=481c. Значение act меняется в зависимости от функции, инициирующей обмен данными. Агент пользователя хранится в жестко заданной конфигурации в исполняемом файле и кодируется с помощью RC4.
Из анализа CryptoClippy видно, что он быстро развивается и расширяет свои возможности для получения платежных приложений и информации о транзакциях от ничего не подозревающих жертв в Бразилии. Организации и частные лица должны быть в курсе новых тенденций и укреплять свои средства защиты, чтобы эффективно бороться с этой быстро меняющейся угрозой.
#ParsedReport #CompletenessLow
30-05-2023
Obfuscated Batch Scripts in OneNote Document
https://blog.cerbero.io/?p=2696
Report completeness: Low
ChatGPT TTPs:
T1064, T1086, T1059, T1076
IOCs:
Hash: 1
File: 2
Softs:
onenote, curl
Algorithms:
sha256
Languages:
javascript
30-05-2023
Obfuscated Batch Scripts in OneNote Document
https://blog.cerbero.io/?p=2696
Report completeness: Low
ChatGPT TTPs:
do not use without manual checkT1064, T1086, T1059, T1076
IOCs:
Hash: 1
File: 2
Softs:
onenote, curl
Algorithms:
sha256
Languages:
javascript
CTT Report Hub
#ParsedReport #CompletenessLow 30-05-2023 Obfuscated Batch Scripts in OneNote Document https://blog.cerbero.io/?p=2696 Report completeness: Low ChatGPT TTPs: do not use without manual check T1064, T1086, T1059, T1076 IOCs: Hash: 1 File: 2 Softs: onenote…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея текста заключается в том, что вредоносный документ OneNote содержит вредоносный скрипт, который пытается загрузить и выполнить вредоносный файл, который может быть использован для выполнения вредоносных действий или кражи конфиденциальной информации из целевой системы.
-----
Текст во вредоносном документе OneNote содержит два обфусцированных пакетных сценария. Чтобы понять, что они делают, мы будем использовать коммерческий пакет Simple Batch Emulator. Первый сценарий содержит команду echo, которая сообщает, что он открывает облачное вложение, за которой следует несколько неподдерживаемых команд. Эти команды включают установку переменной "is_minimized", запуск скрипта в свернутом режиме, использование curl для загрузки файла sodnymrp.jsj, запуск файла с помощью rundll32, удаление файла, а затем отображение предупреждения javascript. Второй сценарий аналогичен, но с другим файлом под названием fjxipv.jah.
Из текста ясно, что вредоносный документ OneNote содержит вредоносный скрипт, который пытается загрузить и выполнить вредоносный файл. Вполне вероятно, что вредоносный файл содержит код, предназначенный для выполнения вредоносных действий на целевой системе. Также возможно, что вредоносный файл содержит код, предназначенный для кражи конфиденциальной информации из целевой системы.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея текста заключается в том, что вредоносный документ OneNote содержит вредоносный скрипт, который пытается загрузить и выполнить вредоносный файл, который может быть использован для выполнения вредоносных действий или кражи конфиденциальной информации из целевой системы.
-----
Текст во вредоносном документе OneNote содержит два обфусцированных пакетных сценария. Чтобы понять, что они делают, мы будем использовать коммерческий пакет Simple Batch Emulator. Первый сценарий содержит команду echo, которая сообщает, что он открывает облачное вложение, за которой следует несколько неподдерживаемых команд. Эти команды включают установку переменной "is_minimized", запуск скрипта в свернутом режиме, использование curl для загрузки файла sodnymrp.jsj, запуск файла с помощью rundll32, удаление файла, а затем отображение предупреждения javascript. Второй сценарий аналогичен, но с другим файлом под названием fjxipv.jah.
Из текста ясно, что вредоносный документ OneNote содержит вредоносный скрипт, который пытается загрузить и выполнить вредоносный файл. Вполне вероятно, что вредоносный файл содержит код, предназначенный для выполнения вредоносных действий на целевой системе. Также возможно, что вредоносный файл содержит код, предназначенный для кражи конфиденциальной информации из целевой системы.
#ParsedReport #CompletenessLow
30-05-2023
PatchWork- EyeShell
https://mp.weixin.qq.com/s/WU0VnMCf-FQyXiBkZfZAEw
Report completeness: Low
Actors/Campaigns:
Dropping_elephant
Lazarus
Threats:
Eyeshell
Watering_hole_technique
Badnews_rat
Victims:
Key domestic universities, research institutes, scientific research institutes and other related research organizations
Industry:
Government, Education
Geo:
Bangladesh, Asia, Nepal, Myanmar, Cambodia, Pakistan
TTPs:
Tactics: 1
Technics: 0
IOCs:
File: 2
Hash: 1
Softs:
net framework
Algorithms:
sha256, aes-128, base64
Functions:
Base64
30-05-2023
PatchWork- EyeShell
https://mp.weixin.qq.com/s/WU0VnMCf-FQyXiBkZfZAEw
Report completeness: Low
Actors/Campaigns:
Dropping_elephant
Lazarus
Threats:
Eyeshell
Watering_hole_technique
Badnews_rat
Victims:
Key domestic universities, research institutes, scientific research institutes and other related research organizations
Industry:
Government, Education
Geo:
Bangladesh, Asia, Nepal, Myanmar, Cambodia, Pakistan
TTPs:
Tactics: 1
Technics: 0
IOCs:
File: 2
Hash: 1
Softs:
net framework
Algorithms:
sha256, aes-128, base64
Functions:
Base64
Weixin Official Accounts Platform
PatchWork组织新型攻击武器报告- EyeShell武器披露
CTT Report Hub
#ParsedReport #CompletenessLow 30-05-2023 PatchWork- EyeShell https://mp.weixin.qq.com/s/WU0VnMCf-FQyXiBkZfZAEw Report completeness: Low Actors/Campaigns: Dropping_elephant Lazarus Threats: Eyeshell Watering_hole_technique Badnews_rat Victims: Key domestic…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
APT-группа Patchwork - это субъект угроз, связанный с одной из стран Южной Азии, который атакует многочисленных дипломатов и экономистов с помощью пользовательских инструментов атаки. Недавно команда 404-Advanced Threat Intelligence Team обнаружила упрощенный бэкдор под названием EyeShell и самостоятельно разработанный троянский конь под названием BADNEWS, используемый вместе с EyeShell.
-----
APT-группа Patchwork, также известная как Dropping Elephant, Chinastrats, Monsoon, Sarit, Quilted Tiger, APT-C-09 и ZINC EMERSON, впервые была замечена в декабре 2015 года, когда она атаковала дипломатов и экономистов, используя набор пользовательских инструментов атаки. Предполагается, что этой организацией управляет агент угроз, связанный с одной из стран Южной Азии, а ее основными целями являются Пакистан, Шри-Ланка, Непал, Бангладеш, Мьянма, Камбоджа и другие страны.
Недавно команда 404-Advanced Threat Intelligence Team обнаружила в своем арсенале упрощенный бэкдор, разработанный .NET, в ходе постоянного отслеживания PatchWork. Этот бэкдор был назван EyeShell из-за пространства имен, используемого бэкдором - Eye. Предположительно, его версия была v1.0.
EyeShell можно разделить на три модуля в соответствии с его функциональными модулями: модуль инициализации, модуль интерактивной инициализации и модуль взаимодействия. Модуль Initialization создавал уникальный Mutex и хранил адрес и порт C2 в массиве. Модуль интерактивной инициализации использовался для сетевых взаимодействий, которые шифровались с помощью AES-128. Модуль Interaction представлял собой бесконечный цикл, который считывал команды, выданные сервером из интерфейса TCPStream Read.
Команда 404-Advanced Threat Intelligence Team также обнаружила, что EyeShell использовался вместе с BADNEWS, троянским конем собственной разработки компании PatchWork.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
APT-группа Patchwork - это субъект угроз, связанный с одной из стран Южной Азии, который атакует многочисленных дипломатов и экономистов с помощью пользовательских инструментов атаки. Недавно команда 404-Advanced Threat Intelligence Team обнаружила упрощенный бэкдор под названием EyeShell и самостоятельно разработанный троянский конь под названием BADNEWS, используемый вместе с EyeShell.
-----
APT-группа Patchwork, также известная как Dropping Elephant, Chinastrats, Monsoon, Sarit, Quilted Tiger, APT-C-09 и ZINC EMERSON, впервые была замечена в декабре 2015 года, когда она атаковала дипломатов и экономистов, используя набор пользовательских инструментов атаки. Предполагается, что этой организацией управляет агент угроз, связанный с одной из стран Южной Азии, а ее основными целями являются Пакистан, Шри-Ланка, Непал, Бангладеш, Мьянма, Камбоджа и другие страны.
Недавно команда 404-Advanced Threat Intelligence Team обнаружила в своем арсенале упрощенный бэкдор, разработанный .NET, в ходе постоянного отслеживания PatchWork. Этот бэкдор был назван EyeShell из-за пространства имен, используемого бэкдором - Eye. Предположительно, его версия была v1.0.
EyeShell можно разделить на три модуля в соответствии с его функциональными модулями: модуль инициализации, модуль интерактивной инициализации и модуль взаимодействия. Модуль Initialization создавал уникальный Mutex и хранил адрес и порт C2 в массиве. Модуль интерактивной инициализации использовался для сетевых взаимодействий, которые шифровались с помощью AES-128. Модуль Interaction представлял собой бесконечный цикл, который считывал команды, выданные сервером из интерфейса TCPStream Read.
Команда 404-Advanced Threat Intelligence Team также обнаружила, что EyeShell использовался вместе с BADNEWS, троянским конем собственной разработки компании PatchWork.
#ParsedReport #CompletenessLow
30-05-2023
Bl00dy Ransomware Targets Indian University: Actively Exploiting PaperCut Vulnerability
https://blog.cyble.com/2023/05/30/bl00dy-ransomware-targets-indian-university-actively-exploiting-papercut-vulnerability
Report completeness: Low
Actors/Campaigns:
Bl00dy
Threats:
Lockbit
Conti
Victims:
India-based institute offering various undergraduate and graduate courses
Industry:
Education
Geo:
India, Indian
CVEs:
CVE-2023-27350 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- papercut papercut ng (<20.1.7, <21.2.11, <22.0.9)
- papercut papercut mf (<22.0.9, <21.2.11, <20.1.7)
Softs:
papercut, active directory, telegram
30-05-2023
Bl00dy Ransomware Targets Indian University: Actively Exploiting PaperCut Vulnerability
https://blog.cyble.com/2023/05/30/bl00dy-ransomware-targets-indian-university-actively-exploiting-papercut-vulnerability
Report completeness: Low
Actors/Campaigns:
Bl00dy
Threats:
Lockbit
Conti
Victims:
India-based institute offering various undergraduate and graduate courses
Industry:
Education
Geo:
India, Indian
CVEs:
CVE-2023-27350 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- papercut papercut ng (<20.1.7, <21.2.11, <22.0.9)
- papercut papercut mf (<22.0.9, <21.2.11, <20.1.7)
Softs:
papercut, active directory, telegram
Cyble
Bl00dy Ransomware Targets Indian University: Actively Exploiting PaperCut Vulnerability
CRIL analyzes Bl00dy Ransomware's recent targeting of an Indian University via exploitation of the PaperCut vulnerability.
CTT Report Hub
#ParsedReport #CompletenessLow 30-05-2023 Bl00dy Ransomware Targets Indian University: Actively Exploiting PaperCut Vulnerability https://blog.cyble.com/2023/05/30/bl00dy-ransomware-targets-indian-university-actively-exploiting-papercut-vulnerability Report…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Группа Bl00dy Ransomware Group активно использует уязвимость CVE-2023-27350 для атак на университеты, колледжи и другие организации и размещает скриншоты своих жертв и скриншоты чата переговоров, чтобы заставить их заплатить выкуп. Организациям следует устранить уязвимости и развернуть средства контроля безопасности для защиты от таких атак.
-----
Группа Bl00dy Ransomware впервые появилась в августе 2022 года и начала атаковать университеты и колледжи в США с помощью критической уязвимости PaperCut NG в апреле-мае 2023 года. Группа использует Telegram и Twitter для размещения информации о своих жертвах и утверждает, что с начала мая 2023 года атаковала по меньшей мере шесть колледжей/школ. 28 мая группа успешно атаковала институт в Индии, требуя выкуп в размере 90 000 долларов США.
Уязвимость CVE-2023-27350, имеющая оценку CVSS v3 9,8 из 10, позволяет удаленному злоумышленнику обойти аутентификацию и выполнить произвольный код в контексте SYSTEM. Эта уязвимость активно эксплуатируется бандой Bl00dy Ransomware, как стало известно из совместной рекомендации по кибербезопасности (CSA), выпущенной ФБР и CISA. Согласно исследованиям из открытых источников, 1013 экземпляров все еще находятся в открытом доступе, что делает многие организации уязвимыми для атак.
Группа Bl00dy Ransomware Group активно размещает скриншоты своих взломанных организаций, а также скриншоты чатов переговоров с жертвами и образцы данных, чтобы заставить их заплатить выкуп. Компания Cyble Research & Intelligence Labs (CRIL) в блоге от 25 апреля 2023 года рассказала о критичности этой уязвимости и подвергшихся опасности мировых активах.
Группа Bl00dy ransomware является одной из наиболее активных групп ransomware в среде угроз. Для защиты от таких атак организациям следует обеспечить исправление всех обнаруженных и раскрытых уязвимостей, а также развернуть соответствующие средства контроля безопасности для своевременного обнаружения и реагирования на угрозы.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Группа Bl00dy Ransomware Group активно использует уязвимость CVE-2023-27350 для атак на университеты, колледжи и другие организации и размещает скриншоты своих жертв и скриншоты чата переговоров, чтобы заставить их заплатить выкуп. Организациям следует устранить уязвимости и развернуть средства контроля безопасности для защиты от таких атак.
-----
Группа Bl00dy Ransomware впервые появилась в августе 2022 года и начала атаковать университеты и колледжи в США с помощью критической уязвимости PaperCut NG в апреле-мае 2023 года. Группа использует Telegram и Twitter для размещения информации о своих жертвах и утверждает, что с начала мая 2023 года атаковала по меньшей мере шесть колледжей/школ. 28 мая группа успешно атаковала институт в Индии, требуя выкуп в размере 90 000 долларов США.
Уязвимость CVE-2023-27350, имеющая оценку CVSS v3 9,8 из 10, позволяет удаленному злоумышленнику обойти аутентификацию и выполнить произвольный код в контексте SYSTEM. Эта уязвимость активно эксплуатируется бандой Bl00dy Ransomware, как стало известно из совместной рекомендации по кибербезопасности (CSA), выпущенной ФБР и CISA. Согласно исследованиям из открытых источников, 1013 экземпляров все еще находятся в открытом доступе, что делает многие организации уязвимыми для атак.
Группа Bl00dy Ransomware Group активно размещает скриншоты своих взломанных организаций, а также скриншоты чатов переговоров с жертвами и образцы данных, чтобы заставить их заплатить выкуп. Компания Cyble Research & Intelligence Labs (CRIL) в блоге от 25 апреля 2023 года рассказала о критичности этой уязвимости и подвергшихся опасности мировых активах.
Группа Bl00dy ransomware является одной из наиболее активных групп ransomware в среде угроз. Для защиты от таких атак организациям следует обеспечить исправление всех обнаруженных и раскрытых уязвимостей, а также развернуть соответствующие средства контроля безопасности для своевременного обнаружения и реагирования на угрозы.
#ParsedReport #CompletenessMedium
30-05-2023
Exposed: The PowerExchange Backdoor Vulnerability in Microsoft Exchange Servers. Get Global Threat Intelligence on Real Time
https://cloudsek.com/threatintelligence/exposed-the-powerexchange-backdoor-vulnerability-in-microsoft-exchange-servers
Report completeness: Medium
Actors/Campaigns:
Cobalt_katana
Oilrig
Threats:
Powerexchange
Credential_harvesting_technique
Exchangeleech
Trifive
Victims:
Microsoft exchange servers and a custom-made powershell backdoor deployed on an unidentified uae government entity.
Industry:
Government, Transport
Geo:
Iranian
TTPs:
Tactics: 8
Technics: 11
IOCs:
Coin: 1
Softs:
microsoft exchange, microsoft edge, microsoft edge update
Algorithms:
base64
YARA: Found
Links:
30-05-2023
Exposed: The PowerExchange Backdoor Vulnerability in Microsoft Exchange Servers. Get Global Threat Intelligence on Real Time
https://cloudsek.com/threatintelligence/exposed-the-powerexchange-backdoor-vulnerability-in-microsoft-exchange-servers
Report completeness: Medium
Actors/Campaigns:
Cobalt_katana
Oilrig
Threats:
Powerexchange
Credential_harvesting_technique
Exchangeleech
Trifive
Victims:
Microsoft exchange servers and a custom-made powershell backdoor deployed on an unidentified uae government entity.
Industry:
Government, Transport
Geo:
Iranian
TTPs:
Tactics: 8
Technics: 11
IOCs:
Coin: 1
Softs:
microsoft exchange, microsoft edge, microsoft edge update
Algorithms:
base64
YARA: Found
Links:
https://github.com/Kevin-Robertson/Invoke-TheHashCloudsek
Exposed: The PowerExchange Backdoor Vulnerability in Microsoft Exchange Servers | Threat Intelligence | CloudSEK
We have discovered that the PowerExchange Backdoor is targeting Microsoft Exchange Servers and a Custom-made Powershell backdoor deployed on an unidentified UAE government entity.
CTT Report Hub
#ParsedReport #CompletenessMedium 30-05-2023 Exposed: The PowerExchange Backdoor Vulnerability in Microsoft Exchange Servers. Get Global Threat Intelligence on Real Time https://cloudsek.com/threatintelligence/exposed-the-powerexchange-backdoor-vulnerability…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея этого текста заключается в том, что PowerExchange Backdoor - это хитрый пользовательский бэкдор Powershell, нацеленный на серверы Microsoft Exchange, который был развернут на неопознанном государственном предприятии ОАЭ и, как полагают, связан с кампанией xHunt 2018 года, нацеленной на государственные предприятия Кувейта. Он достигает стойкости с помощью запланированной задачи MicrosoftEdgeUpdateService и использует серверы Exchange с помощью EWS API для связи с C2.
-----
PowerExchange Backdoor - это созданный на заказ бэкдор Powershell, предназначенный для серверов Microsoft Exchange. Он был развернут на неопознанном государственном предприятии ОАЭ, предположительно иранским агентом угроз APT34. Бэкдор распространяется через фишинговое письмо, содержащее исполняемый файл, который служит загрузчиком для бэкдора Powershell. Устойчивость достигается за счет использования запланированной задачи MicrosoftEdgeUpdateService. Это позволяет полезной нагрузке запускаться каждые пять минут под новым процессом. После развертывания были развернуты еще несколько имплантов и полезных нагрузок. Один из них назывался ExchangeLeech, который имел возможность сбора учетных данных.
Бэкдор PowerExchange является хитрым по своей природе. Он использует Microsoft Exchange Web Services API для подключения к целевому серверу Exchange и получения команд от угрожающего субъекта с помощью почтовых ящиков на сервере. Он также отправляет имя компьютера, закодированное в base64, в почтовый ящик. Бэкдор способен отправлять данные, создавая электронное письмо с темой "Update Microsoft Edge" и телом "Microsoft Edge Update", при этом данные отправляются во вложении .txt. Бэкдор также может выполнять команды, загружать файлы или загружать файлы.
Предполагается, что бэкдор PowerExchange связан с кампанией xHunt от июля 2018 года, направленной против государственных структур Кувейта и судоходных компаний. Инструменты, использовавшиеся в этой кампании, в частности бэкдор TriFive, имеют много общего с бэкдором PowerExchange. Оба бэкдора представляют собой скрипты Powershell, используют запланированные задачи для достижения стойкости и используют один и тот же метод для связи с C2: серверы Exchange с помощью EWS API. ТТП MITRE, связанные с этой кампанией, включают фишинг, выполнение через запланированную задачу, эксфильтрацию через командный канал и канал управления, а также кодирование данных.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея этого текста заключается в том, что PowerExchange Backdoor - это хитрый пользовательский бэкдор Powershell, нацеленный на серверы Microsoft Exchange, который был развернут на неопознанном государственном предприятии ОАЭ и, как полагают, связан с кампанией xHunt 2018 года, нацеленной на государственные предприятия Кувейта. Он достигает стойкости с помощью запланированной задачи MicrosoftEdgeUpdateService и использует серверы Exchange с помощью EWS API для связи с C2.
-----
PowerExchange Backdoor - это созданный на заказ бэкдор Powershell, предназначенный для серверов Microsoft Exchange. Он был развернут на неопознанном государственном предприятии ОАЭ, предположительно иранским агентом угроз APT34. Бэкдор распространяется через фишинговое письмо, содержащее исполняемый файл, который служит загрузчиком для бэкдора Powershell. Устойчивость достигается за счет использования запланированной задачи MicrosoftEdgeUpdateService. Это позволяет полезной нагрузке запускаться каждые пять минут под новым процессом. После развертывания были развернуты еще несколько имплантов и полезных нагрузок. Один из них назывался ExchangeLeech, который имел возможность сбора учетных данных.
Бэкдор PowerExchange является хитрым по своей природе. Он использует Microsoft Exchange Web Services API для подключения к целевому серверу Exchange и получения команд от угрожающего субъекта с помощью почтовых ящиков на сервере. Он также отправляет имя компьютера, закодированное в base64, в почтовый ящик. Бэкдор способен отправлять данные, создавая электронное письмо с темой "Update Microsoft Edge" и телом "Microsoft Edge Update", при этом данные отправляются во вложении .txt. Бэкдор также может выполнять команды, загружать файлы или загружать файлы.
Предполагается, что бэкдор PowerExchange связан с кампанией xHunt от июля 2018 года, направленной против государственных структур Кувейта и судоходных компаний. Инструменты, использовавшиеся в этой кампании, в частности бэкдор TriFive, имеют много общего с бэкдором PowerExchange. Оба бэкдора представляют собой скрипты Powershell, используют запланированные задачи для достижения стойкости и используют один и тот же метод для связи с C2: серверы Exchange с помощью EWS API. ТТП MITRE, связанные с этой кампанией, включают фишинг, выполнение через запланированную задачу, эксфильтрацию через командный канал и канал управления, а также кодирование данных.
Reverse Engineering RokRAT: A Closer Look at APT37’s Onedrive-Based Attack Vector
https://threatmon.io/reverse-engineering-rokrat-a-closer-look-at-apt37s-onedrive-based-attack-vector/
https://threatmon.io/reverse-engineering-rokrat-a-closer-look-at-apt37s-onedrive-based-attack-vector/
threatmon.io
Reverse Engineering RokRAT: A Closer Look at APT37’s Onedrive-Based Attack Vector | ThreatMon
Read to Reverse Engineering RokRAT: A Closer Look at APT37’s Onedrive-Based Attack Vector report and now download it to learn more details.
#ParsedReport #CompletenessHigh
31-05-2023
SeroXen RAT for sale
https://cybersecurity.att.com/blogs/labs-research/seroxen-rat-for-sale
Report completeness: High
Threats:
Seroxen_rat
Quasar_rat
R77rk_tool
Nircmd_tool
Xrat_rat
Alien
Costura_tool
Process_injection_technique
Amsi_bypass_technique
Process_hollowing_technique
Asyncrat_rat
Victims:
Individual users and companies
Industry:
Government, Entertainment
TTPs:
Tactics: 9
Technics: 34
IOCs:
Domain: 2
Hash: 1
File: 6
Path: 1
Registry: 1
Softs:
tiktok, valorant, discord, task scheduler, winlogon
Algorithms:
gzip, sha256, aes, zip, base64, quicklz
Platforms:
x64
SIGMA: Found
Links:
31-05-2023
SeroXen RAT for sale
https://cybersecurity.att.com/blogs/labs-research/seroxen-rat-for-sale
Report completeness: High
Threats:
Seroxen_rat
Quasar_rat
R77rk_tool
Nircmd_tool
Xrat_rat
Alien
Costura_tool
Process_injection_technique
Amsi_bypass_technique
Process_hollowing_technique
Asyncrat_rat
Victims:
Individual users and companies
Industry:
Government, Entertainment
TTPs:
Tactics: 9
Technics: 34
IOCs:
Domain: 2
Hash: 1
File: 6
Path: 1
Registry: 1
Softs:
tiktok, valorant, discord, task scheduler, winlogon
Algorithms:
gzip, sha256, aes, zip, base64, quicklz
Platforms:
x64
SIGMA: Found
Links:
https://github.com/Fody/Costurahttps://github.com/bytecode77/r77-rootkithttps://github.com/quasar/QuasarLevelBlue
SeroXen RAT for sale
This blog was jointly written with Alejandro Prada and Ofer Caspi. Executive summary SeroXen is a new Remote Access Trojan (RAT) that showed up in late 2022 and is becoming more popular in 2023. Advertised as a legitimate tool that gives access to your computers…
CTT Report Hub
#ParsedReport #CompletenessHigh 31-05-2023 SeroXen RAT for sale https://cybersecurity.att.com/blogs/labs-research/seroxen-rat-for-sale Report completeness: High Threats: Seroxen_rat Quasar_rat R77rk_tool Nircmd_tool Xrat_rat Alien Costura_tool Process…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: SeroXen - это троянец удаленного доступа (RAT), который набирает обороты с момента своего появления в 2022 году. Он продается в темной паутине по относительно низкой цене и часто распространяется через фишинговые электронные письма или каналы Discord. Alien Labs разработала методы обнаружения и определила технические индикаторы, которые помогают обнаруживать и отслеживать активность SeroXen.
-----
SeroXen - это троянец удаленного доступа (RAT), который впервые появился в 2022 году и с тех пор неуклонно набирает обороты. Эта вредоносная программа продается в темной паутине всего за $30 в месяц или $60 за пожизненную лицензию, что делает ее доступной для широкого круга пользователей. SeroXen - это бесфайловая RAT, то есть она разработана таким образом, чтобы уклоняться от обнаружения при статическом и динамическом анализе. Он представляет собой комбинацию Quasar RAT, r77-rootkit и командной строки NirCmd. С момента его создания были выявлены сотни образцов, причем наиболее распространено его использование в игровом сообществе.
SeroXen часто распространяется через фишинговое письмо или канал Discord, содержащийся в ZIP-файле. Полезная нагрузка InstallStager.exe представляет собой компиляцию руткита с открытым исходным кодом под названием r77-rootkit, который поддерживает как x32, так и x64 процессы Windows. Он обладает такими функциями, как сохранение без файлов, подцепление дочерних процессов, возможность внедрения дополнительных вредоносных программ, внедрение процессов в память и подцепление. C&C-сервер использует то же общее имя в своем TLS-сертификате, что и QuasarRAT. Он предлагает такие функции, как поддержка сетевых потоков TCP, эффективная сетевая сериализация, сжатие с помощью QuickLZ и безопасная связь посредством шифрования TLS.
Сочетание бесплатных ресурсов, использованных для создания этого RAT, затрудняет его обнаружение даже при использовании статического и динамического анализа. Использование Quasar RAT, который существует уже много лет, создает прочную основу. Кроме того, добавление NirCmd и r77-rootkit делает его более уклончивым и трудно обнаруживаемым. Alien Labs продолжит отслеживать угрозы на предмет активности и инфраструктуры SeroXen.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: SeroXen - это троянец удаленного доступа (RAT), который набирает обороты с момента своего появления в 2022 году. Он продается в темной паутине по относительно низкой цене и часто распространяется через фишинговые электронные письма или каналы Discord. Alien Labs разработала методы обнаружения и определила технические индикаторы, которые помогают обнаруживать и отслеживать активность SeroXen.
-----
SeroXen - это троянец удаленного доступа (RAT), который впервые появился в 2022 году и с тех пор неуклонно набирает обороты. Эта вредоносная программа продается в темной паутине всего за $30 в месяц или $60 за пожизненную лицензию, что делает ее доступной для широкого круга пользователей. SeroXen - это бесфайловая RAT, то есть она разработана таким образом, чтобы уклоняться от обнаружения при статическом и динамическом анализе. Он представляет собой комбинацию Quasar RAT, r77-rootkit и командной строки NirCmd. С момента его создания были выявлены сотни образцов, причем наиболее распространено его использование в игровом сообществе.
SeroXen часто распространяется через фишинговое письмо или канал Discord, содержащийся в ZIP-файле. Полезная нагрузка InstallStager.exe представляет собой компиляцию руткита с открытым исходным кодом под названием r77-rootkit, который поддерживает как x32, так и x64 процессы Windows. Он обладает такими функциями, как сохранение без файлов, подцепление дочерних процессов, возможность внедрения дополнительных вредоносных программ, внедрение процессов в память и подцепление. C&C-сервер использует то же общее имя в своем TLS-сертификате, что и QuasarRAT. Он предлагает такие функции, как поддержка сетевых потоков TCP, эффективная сетевая сериализация, сжатие с помощью QuickLZ и безопасная связь посредством шифрования TLS.
Сочетание бесплатных ресурсов, использованных для создания этого RAT, затрудняет его обнаружение даже при использовании статического и динамического анализа. Использование Quasar RAT, который существует уже много лет, создает прочную основу. Кроме того, добавление NirCmd и r77-rootkit делает его более уклончивым и трудно обнаруживаемым. Alien Labs продолжит отслеживать угрозы на предмет активности и инфраструктуры SeroXen.
#ParsedReport #CompletenessMedium
31-05-2023
Uncovering drIBAN fraud operations. Chapter 2: From sLoad to Ramnit
https://www.cleafy.com/cleafy-labs/uncovering-driban-fraud-operations-chapter-2
Report completeness: Medium
Threats:
Driban_tool
Starslord
Ramnit
Anatsa
Zeus
Powersploit
Dll_injection_technique
Man-in-the-browser_technique
Industry:
Financial
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1564.004, T1204.003, T1090.003, T1055.005, T1086.002, T1055.006
IOCs:
File: 9
Command: 1
Hash: 1
IP: 1
Softs:
chrome
Languages:
javascript, lua
Links:
31-05-2023
Uncovering drIBAN fraud operations. Chapter 2: From sLoad to Ramnit
https://www.cleafy.com/cleafy-labs/uncovering-driban-fraud-operations-chapter-2
Report completeness: Medium
Threats:
Driban_tool
Starslord
Ramnit
Anatsa
Zeus
Powersploit
Dll_injection_technique
Man-in-the-browser_technique
Industry:
Financial
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1564.004, T1204.003, T1090.003, T1055.005, T1086.002, T1055.006
IOCs:
File: 9
Command: 1
Hash: 1
IP: 1
Softs:
chrome
Languages:
javascript, lua
Links:
https://github.com/PowerShellMafia/PowerSploitCleafy
Undercovering drIBAN fraud operations 2 | Cleafy Labs
The threat intelligence team of Cleafy analyzed undercovering drIBAN fraud operations. Read here the second episode of the series of technical analysis.