Reverse Engineering RokRAT: A Closer Look at APT37’s Onedrive-Based Attack Vector

https://threatmon.io/reverse-engineering-rokrat-a-closer-look-at-apt37s-onedrive-based-attack-vector/

#ParsedReport #CompletenessHigh
31-05-2023

SeroXen RAT for sale

https://cybersecurity.att.com/blogs/labs-research/seroxen-rat-for-sale

Report completeness: High

Threats:
Seroxen_rat
Quasar_rat
R77rk_tool
Nircmd_tool
Xrat_rat
Alien
Costura_tool
Process_injection_technique
Amsi_bypass_technique
Process_hollowing_technique
Asyncrat_rat

Victims:
Individual users and companies

Industry:
Government, Entertainment

TTPs:
Tactics: 9
Technics: 34

IOCs:
Domain: 2
Hash: 1
File: 6
Path: 1
Registry: 1

Softs:
tiktok, valorant, discord, task scheduler, winlogon

Algorithms:
gzip, sha256, aes, zip, base64, quicklz

Platforms:
x64

SIGMA: Found

Links:
https://github.com/Fody/Costura
https://github.com/bytecode77/r77-rootkit
https://github.com/quasar/Quasar

#ParsedReport #ExtractedSchema

Classified images:
chart: 1, code: 5, schema: 4, windows: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: SeroXen - это троянец удаленного доступа (RAT), который набирает обороты с момента своего появления в 2022 году. Он продается в темной паутине по относительно низкой цене и часто распространяется через фишинговые электронные письма или каналы Discord. Alien Labs разработала методы обнаружения и определила технические индикаторы, которые помогают обнаруживать и отслеживать активность SeroXen.
-----

SeroXen - это троянец удаленного доступа (RAT), который впервые появился в 2022 году и с тех пор неуклонно набирает обороты. Эта вредоносная программа продается в темной паутине всего за $30 в месяц или $60 за пожизненную лицензию, что делает ее доступной для широкого круга пользователей. SeroXen - это бесфайловая RAT, то есть она разработана таким образом, чтобы уклоняться от обнаружения при статическом и динамическом анализе. Он представляет собой комбинацию Quasar RAT, r77-rootkit и командной строки NirCmd. С момента его создания были выявлены сотни образцов, причем наиболее распространено его использование в игровом сообществе.

SeroXen часто распространяется через фишинговое письмо или канал Discord, содержащийся в ZIP-файле. Полезная нагрузка InstallStager.exe представляет собой компиляцию руткита с открытым исходным кодом под названием r77-rootkit, который поддерживает как x32, так и x64 процессы Windows. Он обладает такими функциями, как сохранение без файлов, подцепление дочерних процессов, возможность внедрения дополнительных вредоносных программ, внедрение процессов в память и подцепление. C&C-сервер использует то же общее имя в своем TLS-сертификате, что и QuasarRAT. Он предлагает такие функции, как поддержка сетевых потоков TCP, эффективная сетевая сериализация, сжатие с помощью QuickLZ и безопасная связь посредством шифрования TLS.

Сочетание бесплатных ресурсов, использованных для создания этого RAT, затрудняет его обнаружение даже при использовании статического и динамического анализа. Использование Quasar RAT, который существует уже много лет, создает прочную основу. Кроме того, добавление NirCmd и r77-rootkit делает его более уклончивым и трудно обнаруживаемым. Alien Labs продолжит отслеживать угрозы на предмет активности и инфраструктуры SeroXen.

#ParsedReport #CompletenessMedium
31-05-2023

Uncovering drIBAN fraud operations. Chapter 2: From sLoad to Ramnit

https://www.cleafy.com/cleafy-labs/uncovering-driban-fraud-operations-chapter-2

Report completeness: Medium

Threats:
Driban_tool
Starslord
Ramnit
Anatsa
Zeus
Powersploit
Dll_injection_technique
Man-in-the-browser_technique

Industry:
Financial

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1564.004, T1204.003, T1090.003, T1055.005, T1086.002, T1055.006

IOCs:
File: 9
Command: 1
Hash: 1
IP: 1

Softs:
chrome

Languages:
javascript, lua

Links:
https://github.com/PowerShellMafia/PowerSploit

#ParsedReport #ExtractedSchema

Classified images:
code: 7, windows: 1, schema: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Ramnit - это современный банковский троян, который развивался на протяжении многих лет и использует различные вредоносные действия, такие как сетевые и коммуникационные, для заражения машин. Он также включает механизм персистенции и с 2016 года реализует веб-инъекции.
-----

Вредоносное ПО - это растущая угроза, которая эволюционирует с годами. В этой статье мы рассмотрели некоторые характеристики и методы, используемые TA (Threat Actors) для распространения вредоносных файлов через вредоносный спам, загрузки банковского трояна Ramnit и проведения MiTB-атаки.

Ramnit появился в 2010 году в виде червя и с тех пор превратился в современный банковский троян. Он продолжает совершенствовать свои функции, применять новые тактики и экспериментировать с многочисленными цепочками заражения. Эти цепочки заражения включают фазу обогащения, на которой TA усиленно проверяют зараженных ботов с помощью скриптов sLoad, проверяя системные данные, такие как имя компьютера, сетевые данные, список запущенных процессов, скриншоты и проверку кэша DNS.

После того как машина будет выбрана в качестве подходящего кандидата, TA будут использовать пользовательскую версию модуля Powersploit для внедрения соответствующего модуля ядра Ramnit в память через sLoad. Этот модуль отвечает за различные вредоносные действия, такие как сетевая и коммуникационная работа банковского троянца. Он также включает механизм персистентности, создающий три файла, которые будут выполняться при каждой перезагрузке машины.

Кроме того, Ramnit внедрил веб-инжекты с 2016 года. В последнее время ТП переходят от оригинального формата Zeus к конфигурации веб-инъекций с кодом Lua и различными настройками. Этот гибридный подход использует локальные и удаленные полезные нагрузки и сохраняет некоторые ключевые слова Zeus в своей логике.

#ParsedReport #CompletenessLow
31-05-2023

Barracuda Email Security Gateway Appliance (ESG) Vulnerability

https://www.barracuda.com/company/legal/esg-vulnerability

Report completeness: Low

Threats:
Saltwater
Seaspy
Cd00r

Victims:
Barracuda email security gateway (esg) appliance

CVEs:
CVE-2023-2868 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: True
X-Force: Risk: 9.4
X-Force: Patch: Official fix

CVE-2023-28681 [Vulners]
CVSS V3.1: 8.2,
Vulners: Exploitation: Unknown
X-Force: Risk: 7.1
X-Force: Patch: Official fix
Soft:
- jenkins visual studio code metrics (le1.7)


ChatGPT TTPs:
do not use without manual check
T1090, T1091, T1486, T1497

IOCs:
Hash: 21
IP: 22

Softs:
openssl

Algorithms:
base64, exhibit

Languages:
perl, lua

Platforms:
x64, x86

YARA: Found

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Вредоносное ПО, использующее уязвимость CVE-2023-2868, было обнаружено на подгруппе устройств, что позволяет злоумышленникам получить удаленный доступ без аутентификации. Barracuda Security создала правила YARA для обнаружения вредоносного TAR-файла, и клиентам следует принять меры для обеспечения безопасности своих устройств ESG.
-----

Самое раннее свидетельство эксплуатации CVE-2023-2868 было обнаружено в октябре 2022 года. На ряде устройств было обнаружено вредоносное ПО, обеспечивающее постоянный доступ к черному ходу. Кроме того, на некоторых устройствах были обнаружены признаки утечки данных.

Вредоносная программа представляет собой троянизированный модуль для демона Barracuda SMTP (bsmtpd) с функциями бэкдора, известного как SALTWATER. Используя уязвимость, этот вредоносный модуль позволял злоумышленникам получить удаленный доступ к устройству без аутентификации.

Троянский модуль SEASPY представляет собой бэкдор с постоянным доступом в формате x64 ELF, который выдает себя за легитимную службу Barracuda Networks и устанавливает себя как PCAP-фильтр. Он может отслеживать сетевой трафик и извлекать информацию из отправляемых и получаемых электронных писем.

Другая часть вредоносного ПО, SEASIDE, представляет собой модуль на базе Lua, который отслеживает команды SMTP HELO/EHLO. Это используется для манипулирования SMTP-трафиком в злонамеренных целях.

Команда Barracuda Security создала три правила YARA, которые можно использовать для обнаружения вредоносного TAR-файла, использующего CVE-2023-2868 и SALTWATER. Эти правила помогут организациям выявить все затронутые устройства.

#ParsedReport #CompletenessHigh
31-05-2023

Operation CMDStealer: Financially Motivated Campaign Leverages CMD-Based Scripts and LOLBaS for Online Banking Theft in Portugal, Peru, and Mexico

https://blogs.blackberry.com/en/2023/05/cmdstealer-targets-portugal-peru-and-mexico

Report completeness: High

Threats:
Cmdstealer
Lolbas_technique
Junk_code_technique
Fastflux_technique

Victims:
Primarily in portugal, mexico, and peru

Industry:
Financial, Government

Geo:
America, Portuguese, Mexico, Brazil, American, Mexican, Portugal, Spanish, Peru

TTPs:
Tactics: 8
Technics: 19

IOCs:
File: 7
Url: 13
IP: 1
Hash: 5

Softs:
outlook, chrome

Algorithms:
base64, sha256

Functions:
_OUTRECOVERY, _CHROMERECOVERY

Languages:
autoit, php, javascript

Platforms:
x64, x86

YARA: Found

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Финансово мотивированный угрожающий субъект из Бразилии использует фишинговые письма и бинарные файлы и сценарии Living Off the Land (LOLBaS) для эксплуатации часто встречающихся проблем и кражи данных Outlook у жертв в Португалии, Мексике и Перу. Инфраструктура фишинга и C2 размещается на сервисах с многочисленными доменами, что затрудняет подтверждение права собственности.
-----

Финансово мотивированный агент угроз из Бразилии атакует испано- и португалоговорящих жертв, в основном в Португалии, Мексике и Перу. Злоумышленники используют фишинговые электронные письма, чтобы использовать часто встречающиеся проблемы, такие как нарушения транзита и налоги, что помогает создать ощущение срочности и легитимности сообщений. Цель таких писем - обмануть ничего не подозревающих людей и заставить их раскрыть свои учетные данные в интернет-банке.

Для осуществления своей вредоносной деятельности угрожающий агент использует LOLBaS (Living Off the Land Binaries and Scripts), а также сценарии на основе CMD и AutoIt. LOLBaS и сценарии на основе CMD помогают угрозам избежать обнаружения традиционными средствами защиты, поскольку они используют встроенные инструменты и команды Windows.

Цепочка заражения начинается с фишингового письма с вложением HTML. Открытие файла запускает JavaScript, который обращается к URL-адресу для загрузки сжатого архивного файла (RAR). Этот файл содержит два блока данных base64, один скомпилированный AutoIt-скрипт и один AutoIt-интерпретатор. Сценарий AutoIt используется для перечисления хоста и загрузки файла .VBS, который затем выполняется через SHELLEXECUTE. Затем он вызывает функцию _OUTRECOVERY() для кражи данных Outlook, таких как сервер, пользователь и пароль из ключей реестра POP3, SMPT и IMAP. Все данные затем отправляются обратно на C2 злоумышленника, и, судя по URL-адресам финансовых целей в Мексике, угроза, скорее всего, нацелена на корпоративные/деловые счета.

Инфраструктура фишинга и C2 размещается на сервисах с множеством доменов, связанных с одним адресом, включая сервисы быстрого потока, что значительно затрудняет анализ трафика NetFlow и отслеживание инфраструктуры. Это затрудняет подтверждение принадлежности угрожающих субъектов.

#ParsedReport #CompletenessLow
31-05-2023

Investigating BlackSuit Ransomwares Similarities to Royal. Investigating BlackSuit Ransomware s Similarities to Royal

https://www.trendmicro.com/en_us/research/23/e/investigating-blacksuit-ransomwares-similarities-to-royal.html

Report completeness: Low

Threats:
Blacksuit
Royal_ransomware
Vssadmin_tool
Conti
Ransom.linux
Ransom.win32.royal.aa
Ransom.win32.royal.smyecjyt

Victims:
It systems in dallas, texas

ChatGPT TTPs:
do not use without manual check
T1543, T1573, T1574, T1576, T1486

IOCs:
Command: 1
File: 3
Hash: 5

Softs:
esxi, openssl

Algorithms:
exhibit, aes

Functions:
ReadFileFAPI

Platforms:
x64

YARA: Found

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Появление вымогательского ПО BlackSuit вызвало вопросы о его родстве с Royal Ransomware, которое обладает схожими характеристиками, но при этом вводит новые аргументы и методы командной строки для атак на машины под управлением Windows и Linux. Независимо от происхождения BlackSuit, организациям и частным лицам следует сохранять бдительность при защите своих файлов и данных от атак ransomware.
-----

Появление программы BlackSuit ransomware вызвало вопросы о ее родстве с Royal Ransomware. После анализа обоих образцов ransomware стало очевидно, что они имеют чрезвычайно высокую степень сходства: 98% сходства в функциях, 99,5% сходства в блоках и 98,9% сходства в переходах. BlackSuit нацелен на машины Windows и Linux, добавляет расширение файла blacksuit к файлам, которые он шифрует, сбрасывает записку о выкупе в каталог и указывает свой чат-сайт TOR в записке о выкупе вместе с уникальным идентификатором для каждой жертвы. Он также использует аргументы командной строки, похожие на те, что использует Royal, хотя есть и некоторые различия, например, строки, используемые в аргументах, и дополнительные аргументы, не встречающиеся в Royal.

И Royal, и BlackSuit ransomware используют для шифрования AES из OpenSSL и применяют технику прерывистого шифрования для ускорения процесса. Каждое семейство вымогателей избегает файлов с определенными расширениями и именами файлов, и хотя 32-разрядная версия BlackSuit для Windows имеет схожие характеристики с Royal, она также вводит новые аргументы, такие как "-delete" и "-list". BlackSuit также удаляет теневые копии с помощью специальной команды и проверяет, начинается ли IP-адрес сетевого ресурса с определенных цифр, чтобы убедиться, что он шифрует локальные системы.

Появление BlackSuit указывает на то, что это может быть новый вариант, разработанный теми же авторами, что и Royal, подражатель, использующий аналогичный код, или филиал банды Royal ransomware, внесший изменения в оригинальное семейство. Независимо от происхождения BlackSuit, субъекты угроз всегда будут пытаться найти более эффективные инструменты для наживы на своих жертвах, поэтому организациям и частным лицам следует сохранять бдительность при защите своих файлов и данных от атак ransomware.

#ParsedReport #CompletenessMedium
31-05-2023

BlackCat (ALPHV) Ransomware Levels Up for Stealth, Speed and Exfiltration

https://securityintelligence.com/posts/blackcat-ransomware-levels-up-stealth-speed-exfiltration

Report completeness: Medium

Actors/Campaigns:
Blackcat (motivation: information_theft)
Darkside
Blackmatter
Dev-0504

Threats:
Blackcat
Sphynx
Havoc
Exmatter_tool
Junk_code_technique
Impacket_tool
Secretsdump_tool
Raccoon_stealer
Vidar_stealer
Powersploit
Kerberoasting_technique
Putty_tool

Victims:
Organizations in the healthcare, government, education, manufacturing and hospitality sectors

Industry:
Financial, Education, Healthcare, Energy, Government

TTPs:
Tactics: 2
Technics: 0

IOCs:
Command: 1
File: 1
Registry: 1

Softs:
active directory, psexec, microsoft defender, winscp

Algorithms:
aes, xor, chacha20, aes-128

Win API:
GetVolumePathNamesForVolumeNameW, SetVolumeMountPointW, CoCreateInstance

Languages:
python, rust

Links:
https://github.com/fortra/impacket
https://github.com/RustCrypto/block-ciphers/blob/master/aes/

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: X-Force наблюдала многочисленные вторжения аффилированных лиц BlackCat, которые были связаны с попытками вымогательства у организаций по всему миру в различных секторах. Программа BlackCat ransomware используется для осуществления двойной схемы вымогательства, и, по оценке X-Force, субъекты, связанные с BlackCat и другими группами, занимающимися вымогательством, скорее всего, увеличат скорость и скрытность своих операций. Для защиты от этих атак организации могут контролировать выполнение программного обеспечения в клиентских системах.
-----

BlackCat ransomware - одно из ведущих семейств ransomware, наблюдаемых IBM Security X-Force в 2022 году.

Филиалы BlackCat нацелены на организации в сфере здравоохранения, государственного управления, образования, производства и гостиничного бизнеса.

Последняя версия BlackCat ransomware, получившая название Sphynx, обладает усовершенствованными возможностями, призванными помешать защитным мерам.

Филиалы BlackCat были связаны с попытками вымогательства у предприятий по всему миру в различных отраслях.

В 2022 году они перешли на язык программирования Rust из-за возможностей кастомизации, предоставляемых этим языком, а также для того, чтобы затруднить усилия по обнаружению и анализу вредоносного ПО.

Злоумышленники использовали код PowerShell, связанный с PowerSploit, общедоступным фреймворком для пост-эксплуатации PowerShell, для кражи учетных данных через Kerberoasting и смогли получить учетные данные администратора домена.

Затем злоумышленники изменили параметры политики безопасности, чтобы отключить мониторинг, защиту и уведомления системы, отключили Microsoft Defender и отредактировали стандартные параметры GPO домена, чтобы распространить и запустить инструменты злоумышленников для эксфильтрации данных и выкупа.

Исполняемые файлы вредоносной программы были помещены в каталог SYSVOL контроллера домена, что привело к распространению файлов на все остальные контроллеры домена и, соответственно, на все подключенные компьютеры.

Кроме того, злоумышленники эксфильтровали данные из целевых сетей с помощью ExMatter, прежде чем запустить программу-вымогатель.

Программа BlackCat ransomware используется для осуществления двойной схемы вымогательства.

По оценке X-Force, субъекты, связанные с BlackCat и другими группами, занимающимися распространением вымогательского ПО, скорее всего, увеличат скорость и скрытность своих операций.

#ParsedReport #CompletenessHigh
31-05-2023

Dark Pink. Episode 2

https://www.group-ib.com/blog/dark-pink-episode-2

Report completeness: High

Actors/Campaigns:
Darkpink (motivation: cyber_criminal)

Threats:
Telepowerbot
Lolbin_technique
Kamikakabot
Netlua_tool
Meterpreter_tool

Victims:
13 organizations in countries in the asia-pacific region and europe

Industry:
Government

Geo:
Belgium, Thailand, Asia-pacific

TTPs:
Tactics: 2
Technics: 0

IOCs:
File: 6
Url: 18
Path: 2
IP: 1
Registry: 3

Softs:
telegram, mozilla firefox, google chrome, microsoft excel, windows defender

Algorithms:
zip, xor

Win Services:
WebClient

#ParsedReport #ExtractedSchema

Classified images:
schema: 14, windows: 1, code: 6

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Dark Pink - это высокоактивная и изощренная группа постоянных угроз, которая с середины 2021 года атакует 13 организаций в странах Азиатско-Тихоокеанского региона и Европы. Группа использует пользовательские инструменты, многочисленные цепочки поражения и передовые механизмы сохранения, чтобы оставаться незамеченной и распространять украденные данные. Организациям следует знать об этой угрозе и предпринять упреждающие шаги для защиты.
-----

APT Dark Pink - группа продвинутых постоянных угроз, действующая с середины 2021 года и нацеленная на 13 организаций в странах Азиатско-Тихоокеанского региона и Европы. В их число входят 5 новых жертв. Dark Pink проявляет высокую активность и изощренность, используя пользовательские инструменты, развертывая многочисленные цепочки убийств с использованием фишинговых писем и передовых механизмов сохранения, чтобы оставаться незамеченными.

Group-IB выявила пять новых жертв Dark Pink, расширив свою деятельность на Бельгию, Бруней и Таиланд. С начала 2023 года было проведено две успешные атаки. Новый аккаунт Dark Pink на GitHub был обнаружен и проанализирован исследователями Group-IB. Группа использует библиотеку дополнений Microsoft Excel для получения устойчивости на зараженных машинах. Злоумышленники распространяют полезную нагрузку через GitHub и сервис TextBin.net. В ходе недавней атаки Dark Pink осуществляла эксфильтрацию украденных данных по протоколу HTTP с помощью сервиса Webhook. Предполагается, что они используют различные техники LOLBin, чтобы избежать обнаружения на зараженных машинах.

KamiKakaBot - это вредоносная программа, используемая Dark Pink для контроля устройств и кражи конфиденциальных данных. Вредоносная программа разделена на две отдельные части и загружается непосредственно в память, не сохраняясь в файловой системе. Злоумышленники добавили обфускацию, чтобы затруднить статический анализ.

Dark Pink использует инструменты с теми же функциональными возможностями, что и в предыдущих атаках. Они также используют нетрадиционные методы, такие как изменение ассоциации файлов по умолчанию и использование SyncAppvPublishingServer.vbs для инициации TelePowerBot. Утилита ConfigSecurityPolicy используется для облегчения передачи файлов, а сервер Windows с IP-адресом 176[.10.80.38 - для перехвата и просмотра входящих HTTP-запросов.

Географическое распределение организаций-мишеней указывает на то, что география действий угроз может быть шире, чем предполагалось вначале. Тот факт, что две атаки были осуществлены в 2023 году, доказывает, что Dark Pink остается активной и представляет постоянный риск для организаций. Группа продолжает обновлять свои существующие инструменты, чтобы оставаться незамеченной. Организациям следует сохранять бдительность и принимать упреждающие меры для защиты от подобных угроз.

Мы собираем все задачи c вердиктами malicious|suspicious из online-песочниц. Из каждой задачи мы забираем и включаем в свой фид IOC, по которым песочница приняла "положительное" решение (вредоносен!).
Все остальные IP, Domain, URL, Hash мы складываем в базу и считаем агрегат по кол-ву появлений за каждый месяц.

Что делать с этой базой популярных ресурсов, которые используют зловреды - пока не ясно :) Хотя учитывать в формуле скоринга эти данные надо бы.
Будут идеи, пишите. Пока БД лежит мертвым грузом :(

Private Eyes: China’s Embrace of Open-Source Military Intelligence

https://go.recordedfuture.com/hubfs/reports/ta-2023-0601.pdf

#ParsedReport #CompletenessMedium
01-06-2023

Malware Spotlight: Camaro Dragon s TinyNote Backdoor

https://research.checkpoint.com/2023/malware-spotlight-camaro-dragons-tinynote-backdoor

Report completeness: Medium

Actors/Campaigns:
Camaro_dragon (motivation: cyber_espionage)

Threats:
Tinynote
Mqsttang
Horse_shell
Process_hollowing_technique

Victims:
European foreign affairs entities linked to southeast and east asia, myanmar entities, taiwan's government entities

Industry:
Government

Geo:
Asia, Taiwan, Myanmar, Chinese, Asian, Usa, Indonesian, Africa, Indonesia

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1562.006, T1117.004, T1053.005, T1543.001, T1083, T1036, T1574.002, T1064, T1112, T1021, have more...

IOCs:
Hash: 2
IP: 4
File: 5
Path: 2
Command: 1

Softs:
smadav, sysinternals, mac os, ubuntu

Algorithms:
base64, xor, zip

Functions:
CreateWindowEx, CreateWindow

Win API:
IsWindowVisible

Languages:
php, golang

Platforms:
x64