#ParsedReport #CompletenessLow
30-05-2023

Obfuscated Batch Scripts in OneNote Document

https://blog.cerbero.io/?p=2696

Report completeness: Low

ChatGPT TTPs:
do not use without manual check
T1064, T1086, T1059, T1076

IOCs:
Hash: 1
File: 2

Softs:
onenote, curl

Algorithms:
sha256

Languages:
javascript

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что вредоносный документ OneNote содержит вредоносный скрипт, который пытается загрузить и выполнить вредоносный файл, который может быть использован для выполнения вредоносных действий или кражи конфиденциальной информации из целевой системы.
-----

Текст во вредоносном документе OneNote содержит два обфусцированных пакетных сценария. Чтобы понять, что они делают, мы будем использовать коммерческий пакет Simple Batch Emulator. Первый сценарий содержит команду echo, которая сообщает, что он открывает облачное вложение, за которой следует несколько неподдерживаемых команд. Эти команды включают установку переменной "is_minimized", запуск скрипта в свернутом режиме, использование curl для загрузки файла sodnymrp.jsj, запуск файла с помощью rundll32, удаление файла, а затем отображение предупреждения javascript. Второй сценарий аналогичен, но с другим файлом под названием fjxipv.jah.

Из текста ясно, что вредоносный документ OneNote содержит вредоносный скрипт, который пытается загрузить и выполнить вредоносный файл. Вполне вероятно, что вредоносный файл содержит код, предназначенный для выполнения вредоносных действий на целевой системе. Также возможно, что вредоносный файл содержит код, предназначенный для кражи конфиденциальной информации из целевой системы.

#ParsedReport #CompletenessLow
30-05-2023

PatchWork- EyeShell

https://mp.weixin.qq.com/s/WU0VnMCf-FQyXiBkZfZAEw

Report completeness: Low

Actors/Campaigns:
Dropping_elephant
Lazarus

Threats:
Eyeshell
Watering_hole_technique
Badnews_rat

Victims:
Key domestic universities, research institutes, scientific research institutes and other related research organizations

Industry:
Government, Education

Geo:
Bangladesh, Asia, Nepal, Myanmar, Cambodia, Pakistan

TTPs:
Tactics: 1
Technics: 0

IOCs:
File: 2
Hash: 1

Softs:
net framework

Algorithms:
sha256, aes-128, base64

Functions:
Base64

#ParsedReport #ExtractedSchema

Classified images:
windows: 4, code: 16, schema: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
APT-группа Patchwork - это субъект угроз, связанный с одной из стран Южной Азии, который атакует многочисленных дипломатов и экономистов с помощью пользовательских инструментов атаки. Недавно команда 404-Advanced Threat Intelligence Team обнаружила упрощенный бэкдор под названием EyeShell и самостоятельно разработанный троянский конь под названием BADNEWS, используемый вместе с EyeShell.
-----

APT-группа Patchwork, также известная как Dropping Elephant, Chinastrats, Monsoon, Sarit, Quilted Tiger, APT-C-09 и ZINC EMERSON, впервые была замечена в декабре 2015 года, когда она атаковала дипломатов и экономистов, используя набор пользовательских инструментов атаки. Предполагается, что этой организацией управляет агент угроз, связанный с одной из стран Южной Азии, а ее основными целями являются Пакистан, Шри-Ланка, Непал, Бангладеш, Мьянма, Камбоджа и другие страны.

Недавно команда 404-Advanced Threat Intelligence Team обнаружила в своем арсенале упрощенный бэкдор, разработанный .NET, в ходе постоянного отслеживания PatchWork. Этот бэкдор был назван EyeShell из-за пространства имен, используемого бэкдором - Eye. Предположительно, его версия была v1.0.

EyeShell можно разделить на три модуля в соответствии с его функциональными модулями: модуль инициализации, модуль интерактивной инициализации и модуль взаимодействия. Модуль Initialization создавал уникальный Mutex и хранил адрес и порт C2 в массиве. Модуль интерактивной инициализации использовался для сетевых взаимодействий, которые шифровались с помощью AES-128. Модуль Interaction представлял собой бесконечный цикл, который считывал команды, выданные сервером из интерфейса TCPStream Read.

Команда 404-Advanced Threat Intelligence Team также обнаружила, что EyeShell использовался вместе с BADNEWS, троянским конем собственной разработки компании PatchWork.

#ParsedReport #CompletenessLow
30-05-2023

Bl00dy Ransomware Targets Indian University: Actively Exploiting PaperCut Vulnerability

https://blog.cyble.com/2023/05/30/bl00dy-ransomware-targets-indian-university-actively-exploiting-papercut-vulnerability

Report completeness: Low

Actors/Campaigns:
Bl00dy

Threats:
Lockbit
Conti

Victims:
India-based institute offering various undergraduate and graduate courses

Industry:
Education

Geo:
India, Indian

CVEs:
CVE-2023-27350 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- papercut papercut ng (<20.1.7, <21.2.11, <22.0.9)
- papercut papercut mf (<22.0.9, <21.2.11, <20.1.7)


Softs:
papercut, active directory, telegram

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Группа Bl00dy Ransomware Group активно использует уязвимость CVE-2023-27350 для атак на университеты, колледжи и другие организации и размещает скриншоты своих жертв и скриншоты чата переговоров, чтобы заставить их заплатить выкуп. Организациям следует устранить уязвимости и развернуть средства контроля безопасности для защиты от таких атак.
-----

Группа Bl00dy Ransomware впервые появилась в августе 2022 года и начала атаковать университеты и колледжи в США с помощью критической уязвимости PaperCut NG в апреле-мае 2023 года. Группа использует Telegram и Twitter для размещения информации о своих жертвах и утверждает, что с начала мая 2023 года атаковала по меньшей мере шесть колледжей/школ. 28 мая группа успешно атаковала институт в Индии, требуя выкуп в размере 90 000 долларов США.

Уязвимость CVE-2023-27350, имеющая оценку CVSS v3 9,8 из 10, позволяет удаленному злоумышленнику обойти аутентификацию и выполнить произвольный код в контексте SYSTEM. Эта уязвимость активно эксплуатируется бандой Bl00dy Ransomware, как стало известно из совместной рекомендации по кибербезопасности (CSA), выпущенной ФБР и CISA. Согласно исследованиям из открытых источников, 1013 экземпляров все еще находятся в открытом доступе, что делает многие организации уязвимыми для атак.

Группа Bl00dy Ransomware Group активно размещает скриншоты своих взломанных организаций, а также скриншоты чатов переговоров с жертвами и образцы данных, чтобы заставить их заплатить выкуп. Компания Cyble Research & Intelligence Labs (CRIL) в блоге от 25 апреля 2023 года рассказала о критичности этой уязвимости и подвергшихся опасности мировых активах.

Группа Bl00dy ransomware является одной из наиболее активных групп ransomware в среде угроз. Для защиты от таких атак организациям следует обеспечить исправление всех обнаруженных и раскрытых уязвимостей, а также развернуть соответствующие средства контроля безопасности для своевременного обнаружения и реагирования на угрозы.

#ParsedReport #CompletenessMedium
30-05-2023

Exposed: The PowerExchange Backdoor Vulnerability in Microsoft Exchange Servers. Get Global Threat Intelligence on Real Time

https://cloudsek.com/threatintelligence/exposed-the-powerexchange-backdoor-vulnerability-in-microsoft-exchange-servers

Report completeness: Medium

Actors/Campaigns:
Cobalt_katana
Oilrig

Threats:
Powerexchange
Credential_harvesting_technique
Exchangeleech
Trifive

Victims:
Microsoft exchange servers and a custom-made powershell backdoor deployed on an unidentified uae government entity.

Industry:
Government, Transport

Geo:
Iranian

TTPs:
Tactics: 8
Technics: 11

IOCs:
Coin: 1

Softs:
microsoft exchange, microsoft edge, microsoft edge update

Algorithms:
base64

YARA: Found

Links:
https://github.com/Kevin-Robertson/Invoke-TheHash

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, chart: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея этого текста заключается в том, что PowerExchange Backdoor - это хитрый пользовательский бэкдор Powershell, нацеленный на серверы Microsoft Exchange, который был развернут на неопознанном государственном предприятии ОАЭ и, как полагают, связан с кампанией xHunt 2018 года, нацеленной на государственные предприятия Кувейта. Он достигает стойкости с помощью запланированной задачи MicrosoftEdgeUpdateService и использует серверы Exchange с помощью EWS API для связи с C2.
-----

PowerExchange Backdoor - это созданный на заказ бэкдор Powershell, предназначенный для серверов Microsoft Exchange. Он был развернут на неопознанном государственном предприятии ОАЭ, предположительно иранским агентом угроз APT34. Бэкдор распространяется через фишинговое письмо, содержащее исполняемый файл, который служит загрузчиком для бэкдора Powershell. Устойчивость достигается за счет использования запланированной задачи MicrosoftEdgeUpdateService. Это позволяет полезной нагрузке запускаться каждые пять минут под новым процессом. После развертывания были развернуты еще несколько имплантов и полезных нагрузок. Один из них назывался ExchangeLeech, который имел возможность сбора учетных данных.

Бэкдор PowerExchange является хитрым по своей природе. Он использует Microsoft Exchange Web Services API для подключения к целевому серверу Exchange и получения команд от угрожающего субъекта с помощью почтовых ящиков на сервере. Он также отправляет имя компьютера, закодированное в base64, в почтовый ящик. Бэкдор способен отправлять данные, создавая электронное письмо с темой "Update Microsoft Edge" и телом "Microsoft Edge Update", при этом данные отправляются во вложении .txt. Бэкдор также может выполнять команды, загружать файлы или загружать файлы.

Предполагается, что бэкдор PowerExchange связан с кампанией xHunt от июля 2018 года, направленной против государственных структур Кувейта и судоходных компаний. Инструменты, использовавшиеся в этой кампании, в частности бэкдор TriFive, имеют много общего с бэкдором PowerExchange. Оба бэкдора представляют собой скрипты Powershell, используют запланированные задачи для достижения стойкости и используют один и тот же метод для связи с C2: серверы Exchange с помощью EWS API. ТТП MITRE, связанные с этой кампанией, включают фишинг, выполнение через запланированную задачу, эксфильтрацию через командный канал и канал управления, а также кодирование данных.

Reverse Engineering RokRAT: A Closer Look at APT37’s Onedrive-Based Attack Vector

https://threatmon.io/reverse-engineering-rokrat-a-closer-look-at-apt37s-onedrive-based-attack-vector/

#ParsedReport #CompletenessHigh
31-05-2023

SeroXen RAT for sale

https://cybersecurity.att.com/blogs/labs-research/seroxen-rat-for-sale

Report completeness: High

Threats:
Seroxen_rat
Quasar_rat
R77rk_tool
Nircmd_tool
Xrat_rat
Alien
Costura_tool
Process_injection_technique
Amsi_bypass_technique
Process_hollowing_technique
Asyncrat_rat

Victims:
Individual users and companies

Industry:
Government, Entertainment

TTPs:
Tactics: 9
Technics: 34

IOCs:
Domain: 2
Hash: 1
File: 6
Path: 1
Registry: 1

Softs:
tiktok, valorant, discord, task scheduler, winlogon

Algorithms:
gzip, sha256, aes, zip, base64, quicklz

Platforms:
x64

SIGMA: Found

Links:
https://github.com/Fody/Costura
https://github.com/bytecode77/r77-rootkit
https://github.com/quasar/Quasar

#ParsedReport #ExtractedSchema

Classified images:
chart: 1, code: 5, schema: 4, windows: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: SeroXen - это троянец удаленного доступа (RAT), который набирает обороты с момента своего появления в 2022 году. Он продается в темной паутине по относительно низкой цене и часто распространяется через фишинговые электронные письма или каналы Discord. Alien Labs разработала методы обнаружения и определила технические индикаторы, которые помогают обнаруживать и отслеживать активность SeroXen.
-----

SeroXen - это троянец удаленного доступа (RAT), который впервые появился в 2022 году и с тех пор неуклонно набирает обороты. Эта вредоносная программа продается в темной паутине всего за $30 в месяц или $60 за пожизненную лицензию, что делает ее доступной для широкого круга пользователей. SeroXen - это бесфайловая RAT, то есть она разработана таким образом, чтобы уклоняться от обнаружения при статическом и динамическом анализе. Он представляет собой комбинацию Quasar RAT, r77-rootkit и командной строки NirCmd. С момента его создания были выявлены сотни образцов, причем наиболее распространено его использование в игровом сообществе.

SeroXen часто распространяется через фишинговое письмо или канал Discord, содержащийся в ZIP-файле. Полезная нагрузка InstallStager.exe представляет собой компиляцию руткита с открытым исходным кодом под названием r77-rootkit, который поддерживает как x32, так и x64 процессы Windows. Он обладает такими функциями, как сохранение без файлов, подцепление дочерних процессов, возможность внедрения дополнительных вредоносных программ, внедрение процессов в память и подцепление. C&C-сервер использует то же общее имя в своем TLS-сертификате, что и QuasarRAT. Он предлагает такие функции, как поддержка сетевых потоков TCP, эффективная сетевая сериализация, сжатие с помощью QuickLZ и безопасная связь посредством шифрования TLS.

Сочетание бесплатных ресурсов, использованных для создания этого RAT, затрудняет его обнаружение даже при использовании статического и динамического анализа. Использование Quasar RAT, который существует уже много лет, создает прочную основу. Кроме того, добавление NirCmd и r77-rootkit делает его более уклончивым и трудно обнаруживаемым. Alien Labs продолжит отслеживать угрозы на предмет активности и инфраструктуры SeroXen.

#ParsedReport #CompletenessMedium
31-05-2023

Uncovering drIBAN fraud operations. Chapter 2: From sLoad to Ramnit

https://www.cleafy.com/cleafy-labs/uncovering-driban-fraud-operations-chapter-2

Report completeness: Medium

Threats:
Driban_tool
Starslord
Ramnit
Anatsa
Zeus
Powersploit
Dll_injection_technique
Man-in-the-browser_technique

Industry:
Financial

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1564.004, T1204.003, T1090.003, T1055.005, T1086.002, T1055.006

IOCs:
File: 9
Command: 1
Hash: 1
IP: 1

Softs:
chrome

Languages:
javascript, lua

Links:
https://github.com/PowerShellMafia/PowerSploit

#ParsedReport #ExtractedSchema

Classified images:
code: 7, windows: 1, schema: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Ramnit - это современный банковский троян, который развивался на протяжении многих лет и использует различные вредоносные действия, такие как сетевые и коммуникационные, для заражения машин. Он также включает механизм персистенции и с 2016 года реализует веб-инъекции.
-----

Вредоносное ПО - это растущая угроза, которая эволюционирует с годами. В этой статье мы рассмотрели некоторые характеристики и методы, используемые TA (Threat Actors) для распространения вредоносных файлов через вредоносный спам, загрузки банковского трояна Ramnit и проведения MiTB-атаки.

Ramnit появился в 2010 году в виде червя и с тех пор превратился в современный банковский троян. Он продолжает совершенствовать свои функции, применять новые тактики и экспериментировать с многочисленными цепочками заражения. Эти цепочки заражения включают фазу обогащения, на которой TA усиленно проверяют зараженных ботов с помощью скриптов sLoad, проверяя системные данные, такие как имя компьютера, сетевые данные, список запущенных процессов, скриншоты и проверку кэша DNS.

После того как машина будет выбрана в качестве подходящего кандидата, TA будут использовать пользовательскую версию модуля Powersploit для внедрения соответствующего модуля ядра Ramnit в память через sLoad. Этот модуль отвечает за различные вредоносные действия, такие как сетевая и коммуникационная работа банковского троянца. Он также включает механизм персистентности, создающий три файла, которые будут выполняться при каждой перезагрузке машины.

Кроме того, Ramnit внедрил веб-инжекты с 2016 года. В последнее время ТП переходят от оригинального формата Zeus к конфигурации веб-инъекций с кодом Lua и различными настройками. Этот гибридный подход использует локальные и удаленные полезные нагрузки и сохраняет некоторые ключевые слова Zeus в своей логике.

#ParsedReport #CompletenessLow
31-05-2023

Barracuda Email Security Gateway Appliance (ESG) Vulnerability

https://www.barracuda.com/company/legal/esg-vulnerability

Report completeness: Low

Threats:
Saltwater
Seaspy
Cd00r

Victims:
Barracuda email security gateway (esg) appliance

CVEs:
CVE-2023-2868 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: True
X-Force: Risk: 9.4
X-Force: Patch: Official fix

CVE-2023-28681 [Vulners]
CVSS V3.1: 8.2,
Vulners: Exploitation: Unknown
X-Force: Risk: 7.1
X-Force: Patch: Official fix
Soft:
- jenkins visual studio code metrics (le1.7)


ChatGPT TTPs:
do not use without manual check
T1090, T1091, T1486, T1497

IOCs:
Hash: 21
IP: 22

Softs:
openssl

Algorithms:
base64, exhibit

Languages:
perl, lua

Platforms:
x64, x86

YARA: Found

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Вредоносное ПО, использующее уязвимость CVE-2023-2868, было обнаружено на подгруппе устройств, что позволяет злоумышленникам получить удаленный доступ без аутентификации. Barracuda Security создала правила YARA для обнаружения вредоносного TAR-файла, и клиентам следует принять меры для обеспечения безопасности своих устройств ESG.
-----

Самое раннее свидетельство эксплуатации CVE-2023-2868 было обнаружено в октябре 2022 года. На ряде устройств было обнаружено вредоносное ПО, обеспечивающее постоянный доступ к черному ходу. Кроме того, на некоторых устройствах были обнаружены признаки утечки данных.

Вредоносная программа представляет собой троянизированный модуль для демона Barracuda SMTP (bsmtpd) с функциями бэкдора, известного как SALTWATER. Используя уязвимость, этот вредоносный модуль позволял злоумышленникам получить удаленный доступ к устройству без аутентификации.

Троянский модуль SEASPY представляет собой бэкдор с постоянным доступом в формате x64 ELF, который выдает себя за легитимную службу Barracuda Networks и устанавливает себя как PCAP-фильтр. Он может отслеживать сетевой трафик и извлекать информацию из отправляемых и получаемых электронных писем.

Другая часть вредоносного ПО, SEASIDE, представляет собой модуль на базе Lua, который отслеживает команды SMTP HELO/EHLO. Это используется для манипулирования SMTP-трафиком в злонамеренных целях.

Команда Barracuda Security создала три правила YARA, которые можно использовать для обнаружения вредоносного TAR-файла, использующего CVE-2023-2868 и SALTWATER. Эти правила помогут организациям выявить все затронутые устройства.

#ParsedReport #CompletenessHigh
31-05-2023

Operation CMDStealer: Financially Motivated Campaign Leverages CMD-Based Scripts and LOLBaS for Online Banking Theft in Portugal, Peru, and Mexico

https://blogs.blackberry.com/en/2023/05/cmdstealer-targets-portugal-peru-and-mexico

Report completeness: High

Threats:
Cmdstealer
Lolbas_technique
Junk_code_technique
Fastflux_technique

Victims:
Primarily in portugal, mexico, and peru

Industry:
Financial, Government

Geo:
America, Portuguese, Mexico, Brazil, American, Mexican, Portugal, Spanish, Peru

TTPs:
Tactics: 8
Technics: 19

IOCs:
File: 7
Url: 13
IP: 1
Hash: 5

Softs:
outlook, chrome

Algorithms:
base64, sha256

Functions:
_OUTRECOVERY, _CHROMERECOVERY

Languages:
autoit, php, javascript

Platforms:
x64, x86

YARA: Found

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Финансово мотивированный угрожающий субъект из Бразилии использует фишинговые письма и бинарные файлы и сценарии Living Off the Land (LOLBaS) для эксплуатации часто встречающихся проблем и кражи данных Outlook у жертв в Португалии, Мексике и Перу. Инфраструктура фишинга и C2 размещается на сервисах с многочисленными доменами, что затрудняет подтверждение права собственности.
-----

Финансово мотивированный агент угроз из Бразилии атакует испано- и португалоговорящих жертв, в основном в Португалии, Мексике и Перу. Злоумышленники используют фишинговые электронные письма, чтобы использовать часто встречающиеся проблемы, такие как нарушения транзита и налоги, что помогает создать ощущение срочности и легитимности сообщений. Цель таких писем - обмануть ничего не подозревающих людей и заставить их раскрыть свои учетные данные в интернет-банке.

Для осуществления своей вредоносной деятельности угрожающий агент использует LOLBaS (Living Off the Land Binaries and Scripts), а также сценарии на основе CMD и AutoIt. LOLBaS и сценарии на основе CMD помогают угрозам избежать обнаружения традиционными средствами защиты, поскольку они используют встроенные инструменты и команды Windows.

Цепочка заражения начинается с фишингового письма с вложением HTML. Открытие файла запускает JavaScript, который обращается к URL-адресу для загрузки сжатого архивного файла (RAR). Этот файл содержит два блока данных base64, один скомпилированный AutoIt-скрипт и один AutoIt-интерпретатор. Сценарий AutoIt используется для перечисления хоста и загрузки файла .VBS, который затем выполняется через SHELLEXECUTE. Затем он вызывает функцию _OUTRECOVERY() для кражи данных Outlook, таких как сервер, пользователь и пароль из ключей реестра POP3, SMPT и IMAP. Все данные затем отправляются обратно на C2 злоумышленника, и, судя по URL-адресам финансовых целей в Мексике, угроза, скорее всего, нацелена на корпоративные/деловые счета.

Инфраструктура фишинга и C2 размещается на сервисах с множеством доменов, связанных с одним адресом, включая сервисы быстрого потока, что значительно затрудняет анализ трафика NetFlow и отслеживание инфраструктуры. Это затрудняет подтверждение принадлежности угрожающих субъектов.