#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Компания Cisco Talos выявила нового субъекта угроз, развернувшего ботнет-программу под названием Horabot, которая используется для доставки банковского трояна и спама на компьютеры жертв в рамках кампании, продолжающейся по меньшей мере с ноября 2020 года и направленной преимущественно на испаноговорящих жителей Мексики, хотя заражения были выявлены и в других странах региона. Вредоносная полезная нагрузка предназначена для кражи конфиденциальной информации, уклонения от обнаружения и распространения дополнительных фишинговых писем.
-----

Cisco Talos выявила нового субъекта угроз, развернувшего ботнет-программу под названием Horabot, которая используется для доставки банковского трояна и спама на компьютеры жертв в рамках кампании, продолжающейся по меньшей мере с ноября 2020 года. Атаки в основном направлены на испаноговорящих жителей Мексики, хотя случаи заражения были выявлены в Уругвае, Бразилии, Венесуэле, Аргентине, Гватемале и Панаме. Атакующий, по-видимому, находится в Бразилии и использует несколько узлов, включая экземпляр Amazon Web Services Elastic Compute Cloud.

Атака начинается с фишингового письма, замаскированного под уведомление о получении налоговой квитанции и содержащего вложенный вредоносный HTML-файл. При открытии HTML-файла в браузере жертвы запускается вредоносный URL-адрес, который загружает RAR-файл. Файл RAR содержит пакетный файл, который загружает сценарий загрузчика PowerShell и выполняет его. Загрузчик PowerShell загружает ZIP-файл, содержащий DLL-библиотеки полезной нагрузки и легитимные исполняемые файлы. Затем в папке запуска машины жертвы создаются файлы ярлыков Windows, которые запускают полезную нагрузку при перезагрузке машины.

Вредоносные файлы ярлыков Windows выполняют полезную нагрузку, используемую в атаке. Один из файлов выполняет боковую загрузку вредоносной DLL под названием jli.dll, банковского трояна, путем выполнения легитимной копии kinit.exe. Другой файл выполняет скомпилированный скрипт AutoIt, который расшифровывает зашифрованный файл и создает DLL с поддельным расширением файла. Вредоносная DLL представляет собой еще одну копию банковского трояна с дополнительными возможностями кражи, такими как прослушивание клавиатуры, копирование данных буфера обмена, захват скриншотов и отслеживание мыши. Третий файл выполняет аналогичные действия, выполняя AutoIt-скрипт, который сбрасывает DLL с поддельным расширением и выполняет вредоносную функцию. Эта вредоносная DLL является спамерским инструментом с возможностью кражи информации.

Четвертый файл ссылки запускает брошенный пакетный файл, который выполняет встроенную команду PowerShell для загрузки сценария загрузчика PowerShell с контролируемого злоумышленником сервера. Загрузчик PowerShell сильно обфусцирован с помощью случайных символов и строк, закодированных в base64. Он генерирует случайное имя и создает папку со случайным именем в корневом каталоге. Затем он создает два других вредоносных пакетных сценария с расширением .cmd в папке /Users/Public и два файла ярлыков Windows в папке запуска Windows.

Пятый файл-ссылка запускает другой пакетный файл, который выполняет команду PowerShell для загрузки и запуска Horabot. Специалисты Talos обнаружили, что полезная нагрузка, используемая злоумышленником в этой кампании, предназначена для кражи конфиденциальной информации, уклонения от обнаружения и распространения дополнительных фишинговых писем среди контактов жертвы. Банковский троян нацелен на конфиденциальную информацию жертвы, регистрирует нажатия клавиш и манипулирует данными буфера обмена компьютера жертвы. Спам-инструмент используется для компрометации других учетных записей электронной почты, кражи адресов электронной почты контактов и рассылки спама.

#ParsedReport #CompletenessLow
01-06-2023

Encrypted Chaos: Analysis of Crytox Ransomware

https://labs.k7computing.com/index.php/encrypted-chaos-analysis-of-crytox-ransomware

Report completeness: Low

Threats:
Crytox
Upx_tool

ChatGPT TTPs:
do not use without manual check
T1036, T1055, T1218, T1045, T1219, T1486, T1490

IOCs:
File: 2
Hash: 1

Algorithms:
ror13, aes

Win API:
CryptGenKey, CryptExportKey, CryptEncrypt, VirtualAllocEx, WriteProcessMemory, NtCreateThreadEx, SeDebugPrivilege, MapViewOfFile, OpenProcess, NtQueryInformationProcess, have more...

Languages:
python

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что Crytox Ransomware - это очень сложное вредоносное ПО, которое использует передовые методы для обхода экспертизы памяти и трудно поддается обнаружению и анализу.
-----

Crytox Ransomware - это 64-битный исполняемый файл, разработанный на языке C и обычно развертываемый путем упаковки скомпилированного исполняемого файла с помощью UPX. При распаковке размер полезной нагрузки составляет около 2,9 МБ, что необычно много для вредоносной программы. При дальнейшем анализе бинарного файла было обнаружено, что в начале секции .text был встроен целый клиент uTox.

При выполнении программа расшифровывает файл конфигурации по алгоритму AES, запускает приложение uTox по пути, указанному в файле конфигурации, и внедряет шеллкод в собственный процесс Windows, указанный в конфигурации. Этот шеллкод удаляет теневые копии томов, а затем внедряет новый шеллкод в другой родной процесс, который запускается с определенным аргументом cmdline. В нашем случае целью был svchost с командной строкой netsvcs. Последний внедренный шеллкод отвечает за шифрование пользовательских файлов на диске с расширением .waiting.

Win32 API динамически разрешаются во время выполнения, он использует ROR7 для вычисления хэша имени модуля/DLL и ROR5 для вычисления хэша экспортного API. Двоичный файл содержит жестко закодированные значения, которые являются суммой хэша модуля и хэша API, которые необходимо разрешить и вызвать. После генерации пар открытых и закрытых ключей он перечисляет все активные процессы и выбирает первый процесс svchost.exe для внедрения. Затем шеллкод внедряется в этот целевой процесс с помощью обычных API VirtualAllocEx, WriteProcessMemory и вызывается NtCreateThreadEx для выполнения шеллкода в новом потоке.

После внедрения шеллкод проверяет, включен ли у целевого процесса SeDebugPrivilege. Если да, то маркер доступа обновляется до NTAuthority/SYSTEM. Он ждет, пока процесс stage-1 завершится, чтобы получить хэндл к файлу stage-1. Он считывает файл stage 1 с диска с помощью MapViewOfFile, копирует 0x4400 байт со смещения 0x135CA4 в новую кучу, которая является ничем иным, как зашифрованной конфигурацией stage 2. Для того чтобы избежать экспертизы памяти, файл stage-1 перед удалением с диска полностью заполняется байтами NULL.

Затем шеллкод перечисляет все активные процессы и по каждому перечислению вычисляет хэш ROR13 имени процесса. Если вычисленный хэш равен 0xDCF164CD (EXPLORER.EXE) или 0x561F1820 (SVCHOST.EXE), но для svchost, он выполняет следующее, чтобы нацелиться только на конкретную службу. Если аргумент cmdline целевого процесса содержит параметр netsvcs, то он выбирается для внедрения шеллкода финальной стадии. Process id идентифицированного целевого процесса копируется в Heap, за ним следует зашифрованная полезная нагрузка финальной стадии, которая присутствует в секции ресурсов stage-1 в разделе RCDATA.

Создается мьютекс с именем itkd 4_characters_generated_based_on_targetPID, затем зашифрованные данные ресурса расшифровываются с использованием того же AES-ключа 50 60 30 30 03 02 01 01 A9 CE 67 67 7D 56 2B 2B 19 E7 FE FE 62 B5 D7 D7 E6 4D AB AB 9A EC 76 76, который использовался ранее. Расшифрованная полезная нагрузка представляет собой шеллкод финальной стадии, который внедряется в целевой процесс и выполняется с помощью NtCreateThreadEx.

Crytox Ransomware является очень сложной вредоносной программой, поскольку она способна динамически разрешать API во время выполнения, использовать хэши для имен модулей и DLL, шифровать конфигурацию и полезную нагрузку с помощью шифрования AES. Он также использует передовые методы для обхода экспертизы памяти, такие как заполнение файла stage-1 байтами NULL и удаление его с диска. Кроме того, он нацелен только на определенные службы с определенными параметрами cmdline, используя хэш ROR13. Все эти особенности делают Crytox Ransomware грозной угрозой, поскольку его трудно обнаружить и проанализировать.

#ParsedReport #CompletenessLow
01-06-2023

Distributing malicious code disguised as job application form

https://asec.ahnlab.com/ko/53562

Report completeness: Low

Threats:
Dropper/win.agent.c5433106
Dropper/win.agent.c5433107
Trojan/win32.agent.c174738

Geo:
Korean, Korea

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1202, T1497, T1085, T1218, T1036, T1105, T1064, T1140, T1113, T1486, have more...

IOCs:
File: 18
Url: 5
Path: 3
Registry: 1
Domain: 1
Hash: 4

Functions:
InternetShortcut

Win Services:
AvastSvc, Mcshield

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Распространяются вредоносные коды, замаскированные под анкеты соискателей, которые способны совершать вредоносные действия, такие как утечка информации. Важно, чтобы пользователи знали о вредоносных файлах, чтобы защитить себя.
-----

Центр реагирования на чрезвычайные ситуации безопасности компании "АнЛаб" (ASEC) недавно подтвердил факт распространения вредоносных кодов, замаскированных под анкеты соискателей. Эти вредоносные коды имеют функцию проверки существования различных процессов вакцин, таких как процесс в названии продукта компании (V3Lite.exe). Вредоносный файл загружается через вредоносный URL, похожий на сайт поиска работы в Корее, и имеет расширение screen saver (.scr) и иконку документа на хангыле (.hwp).

Когда файл выполняется, данные сжатого файла, существующие во внутреннем RCDATA, сохраняются как %Public% 6 цифр случайных символов .zip. После этого создается папка %Public%\Music\ 6 случайных символов, и создается файл ярлыка Интернета, чтобы можно было выполнить ранее созданный файл Korean и файл wechatweb.exe (6 случайных символов .exe). После выполнения соответствующий файл ярлыка удаляется.

Затем загружается файл wechatweb.exe (6-значный случайный символ .exe) и выполняет экспортную функцию CMGetCommandString. После этого вредоносный файл cmcs21.dll регистрирует следующий реестр, чтобы вредоносные файлы могли постоянно выполняться. Затем вредоносный код считывает файл yga.txt, декодирует его и внедряет данные в рекурсивно выполняющийся процесс wechatweb.exe (6-значный случайный символ .exe). Это позволяет совершать вредоносные действия, такие как утечка информации.

Внедренный процесс генерирует 6-значный случайный символ .Kinf в той же папке, кодирует и сохраняет данные кейлоггинга. Вредоносный код также может выполнять различные вредоносные действия, такие как установка параметров Интернета, захват экрана, управление службами и проверка данных Интернет-куки по команде злоумышленника.

Пользователям важно знать, что вредоносные файлы маскируются под анкеты соискателей и постоянно распространяются. URL-адреса вредоносных файлов часто похожи на адреса отечественных сайтов по трудоустройству, поэтому пользователям трудно распознать, что это вредоносные сайты, что требует особого внимания со стороны пользователей.

#ParsedReport #CompletenessLow
01-06-2023

NoEscape Ransomware-as-a-Service (RaaS)

https://blog.cyble.com/2023/06/01/noescape-ransomware-as-a-service-raas

Report completeness: Low

Threats:
Noescape

Geo:
Russia

TTPs:
Tactics: 5
Technics: 11

Softs:
ubuntu, esxi

Crypto:
bitcoin

Algorithms:
rsa-2048, chacha20

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Программы Ransomware-as-a-Service становятся все более популярными в мире киберпреступности, и программа NoEscape RaaS является ярким примером этого, предлагая уникальный способ вымогательства у жертв с помощью своих сложных функций.
-----

Лаборатория исследований и разведки CRIL недавно обнаружила новую программу RaaS под названием NoEscape, которая предлагалась на одном из киберпреступных форумов в конце мая 2023 года. Сообщается, что программа создана без использования сторонних ресурсов или исходного кода, что делает ее домашним проектом. Она использует алгоритмы шифрования ChaCha20 и RSA и способна перезагружать систему в безопасном режиме и отключать продукты безопасности конечных точек.

NoEscape RaaS также предлагает специальную услугу по борьбе с DDoS/спамом за внушительную плату в размере 500 000 долларов США. Операторы этой программы имеют нераскрытый механизм найма аффилиатов и ставят условия не нацеливаться на организации в странах Содружества Независимых Государств (СНГ). Модель разделения прибыли в этой программе непостоянна и зависит от выплат.

Исследование открытых источников, проведенное компанией TrendMicro, выявило вредоносный файл, известный как Ransom.Win32.NOESCAPE.B, о котором стало известно 29 марта 2023 года. Этот файл может быть подброшен другим вредоносным ПО или неосознанно загружен пользователями при посещении подозрительных веб-сайтов. Он способен выполняться только на операционной системе Windows NT 10.0, что заставляет исследователей полагать, что он не связан с программой NoEscape RaaS.

Программы Ransomware-as-a-Service становятся все более популярными в мире киберпреступности, поскольку они предлагают уникальный способ вымогательства у своих жертв с помощью техники тройного вымогательства. Программа NoEscape RaaS является ярким примером этого, а ее сложные функции, такие как возможность перезагрузки системы в безопасном режиме и отключение продуктов безопасности конечных точек, делают ее мощным инструментом для киберпреступников. Несмотря на то, что вредоносный файл, обнаруженный TrendMicro, не был связан с программой NoEscape RaaS, эта программа-вымогатель как услуга по-прежнему заслуживает внимания.

#ParsedReport #CompletenessLow
02-06-2023

GuLoader VBScript Variant Returns with PowerShell Updates

https://www.esentire.com/blog/guloader-vbscript-variant-returns-with-powershell-updates

Report completeness: Low

Threats:
Cloudeye
More_eggs
Junk_code_technique
Remcos_rat

Geo:
Emea, America, Apac, Africa

ChatGPT TTPs:
do not use without manual check
T1059.001, T1218.004, T1105, T1027, T1086, T1574, T1036, T1082, T1064, T1140, have more...

IOCs:
Domain: 2
File: 4
Url: 2
Hash: 5

Algorithms:
xor, base64

Functions:
GetString

Platforms:
intel

Links:
https://gist.github.com/macostag/f62b688ace243cc7ed426c133ba3efae#file-pr-ps1

#ParsedReport #ExtractedSchema

Classified images:
code: 8, schema: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что GuLoader - это очень уклончивый загрузчик вредоносных программ, который обычно используется для доставки похитителей информации и средств удаленного администрирования (RAT) и часто используется с приманками на налоговую тематику. Отдел реагирования на угрозы (TRU) компании выявил обновленный вариант VBScript GuLoader и провел охоту за угрозами, чтобы обновить содержимое обнаружения для GuLoader. Remcos - это инструмент, обычно используемый с GuLoader для обеспечения бесперебойного выполнения в системах.
-----

Подразделение Threat Response Unit (TRU) обнаружили некоторые из самых опасных угроз и атак со стороны национальных государств, а в апреле 2023 года они сообщили о продолжающейся активности GuLoader, использующего приманки на налоговую тематику и файлы-обманки. В мае они выявили обновленный вариант VBScript GuLoader.

GuLoader - это сложный загрузчик вредоносных программ, который сильно злоупотребляет приманками на налоговую тематику. Для выполнения пользователь щелкает по файлу ярлыка, который запускает команду PowerShell, извлекающую документ-обманку на тему налогов и сценарий VBS. Второй файл - Tefor.vbs - сильно обфусцирован и содержит нежелательный код, препятствующий анализу. Сценарий объединяет сотни небольших строк в одну переменную, которая в конечном итоге создает и выполняет команду PowerShell.

Очищенный PowerShell содержит менее 30 строк кода и составляет первый этап выполнения PowerShell в GuLoader. Он проверяет, является ли система 64-битной и существует ли 32-битный PowerShell в правильном пути, а затем запускает новый 32-битный процесс PowerShell, копируя командную строку текущего процесса в качестве нового аргумента. Затем он извлекает следующий этап из URL полезной нагрузки, после чего декодирует содержимое в base64 и извлекает подстроку длиной 19712 символов в индексной позиции 205484. Эта строка содержит PowerShell для выполнения шеллкода GuLoader.

Затем PowerShell копирует два буфера, содержащие шеллкод из пакета полезной нагрузки; первые 648 байт используются для декодирования второго буфера с помощью ключа 58 3E 88 D0, а оставшиеся 204836 байт отвечают за получение Remcos RAT с указанного URL и внедрение его в ieinstall.exe. Remcos RAT, идентифицированный в данном случае, взаимодействует с zazuservr.com через порт 9019.

По результатам первоначального расследования были проведены поиски угроз среди всех клиентов для обновления содержимого обнаружения GuLoader. GuLoader - это очень уклончивый загрузчик вредоносных программ, обычно используемый для доставки похитителей информации и средств удаленного администрирования (RAT). Он использует инициированные пользователем скрипты или файлы быстрого доступа для выполнения нескольких циклов сильно обфусцированных команд и зашифрованного шелл-кода. В результате полезная нагрузка вредоносного ПО, хранящаяся в памяти, работает внутри легитимного процесса Windows. В таких кампаниях часто используются тематические заманухи на налоговую тему, чтобы заставить пользователей нажать на вредоносные файлы быстрого доступа. Remcos - это коммерческий инструмент, рекламируемый как законное средство удаленного администрирования (RAT). Для обеспечения бесперебойного выполнения программы на системах, где она не была явно установлена администраторами, ее лучше всего использовать в паре с загрузчиком вредоносных программ, например GuLoader.

#ParsedReport #CompletenessLow
02-06-2023

New Magecart-Style Campaign Abusing Legitimate Websites to Attack Others

https://www.akamai.com/blog/security-research/new-magecart-hides-behind-legit-domains

Report completeness: Low

Actors/Campaigns:
Magecart (motivation: information_theft)
Kimsuky

Victims:
Victims have been identified in north america, latin america, and europe, and they range in size. some victims are estimated to handle hundreds of thousands of visitors per month, potentially putting tens of thousands of shoppers pii and credit cards at risk of being stolen and abused or sold on the dark web.

Industry:
Retail, Financial

Geo:
Peru, Spain, Australia, Estonia, America, Brazil

TTPs:
Tactics: 1
Technics: 0

IOCs:
Domain: 2

Softs:
wordpress

Algorithms:
base64

Languages:
javascript

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея этого текста заключается в том, что исследователи компании Akamai выявили глобальную кампанию веб-скейминга, направленную на кражу PII и данных кредитных карт с веб-сайтов цифровой коммерции, которая становится все более уклончивой и трудно обнаруживаемой. Специалисты по безопасности должны предпринимать проактивные шаги для защиты своих онлайн-платформ, например, использовать инструменты и технологии, обеспечивающие поведенческое и аномальное обнаружение активности в браузере, и внедрять брандмауэр веб-приложений (WAF).
-----

Исследователи Akamai недавно выявили новую кампанию по скиммингу в Интернете в стиле Magecart, направленную на кражу персонально идентифицируемой информации (PII) и данных кредитных карт с сайтов цифровой коммерции. Эта кампания проводится в глобальном масштабе, ее жертвы находятся в Северной Америке, Латинской Америке и Европе. Некоторые из этих жертв, по оценкам, обслуживают сотни тысяч посетителей в месяц, потенциально подвергая риску кражи и злоупотребления или продажи в темной паутине PII и кредитных карт десятков тысяч покупателей.

Чтобы скрыть свои действия, злоумышленники используют ряд приемов. Они обфусцируют свой вредоносный код с помощью кодировки Base64 и маскируют его под популярные сторонние сервисы, такие как Google Analytics или Google Tag Manager. Злоумышленники также захватывают легитимные веб-сайты, чтобы использовать их в качестве импровизированных командно-контрольных (C2) серверов, что позволяет им распространять вредоносный код за легитимным доменом. Эта атака использовала Magento, WooCommerce, WordPress и Shopify, демонстрируя растущее разнообразие уязвимостей и злоупотребляемых платформ цифровой коммерции.

Подобные атаки становятся все более уклончивыми и сложными для обнаружения, поэтому специалисты по безопасности должны рассмотреть возможность использования инструментов и технологий, обеспечивающих поведенческое и аномальное обнаружение активности внутри браузера. Кроме того, организациям следует убедиться в наличии последних исправлений и внедрить брандмауэр веб-приложений (WAF) для предотвращения первоначального доступа к серверу. Принимая упреждающие меры по защите своих онлайн-платформ, организации могут лучше защитить данные пользователей и сохранить доверие своих клиентов.

#ParsedReport #CompletenessLow
02-06-2023

ASEC Weekly Phishing Email Threat Trend (20230521 to 20230527)

https://asec.ahnlab.com/ko/53661

Report completeness: Low

Threats:
Agent_tesla
Formbook
Gasket

Industry:
Financial, Transport

Geo:
Korean

TTPs:

IOCs:
File: 44
Url: 11

Softs:
zimbra

Languages:
php

#ParsedReport #CompletenessHigh
02-06-2023

Chinese Threat Actor Used Modified Cobalt Strike Variant to Attack Taiwanese Critical Infrastructure

https://blog.eclecticiq.com/chinese-threat-actor-used-modified-cobalt-strike-variant-to-attack-taiwanese-critical-infrastructure

Report completeness: High

Threats:
Cobalt_strike
Fscan_tool
Lazagne
Credential_stealing_technique
Credential_harvesting_technique
Beacon
Budworm
Credential_dumping_technique
Regeorg

Victims:
Taiwanese government entities

Industry:
Government, Iot

Geo:
Ukraine, Taiwanese, Malaysian, Malaysia, Egyptian, Asia-pacific, Chinese, Egypt, Taiwan

CVEs:
CVE-2020-2551 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- oracle weblogic server (12.1.3.0.0, 10.3.6.0.0, 12.2.1.3.0, 12.2.1.4.0)

CVE-2022-39197 [Vulners]
CVSS V3.1: 6.1,
Vulners: Exploitation: True
X-Force: Risk: 6.1
X-Force: Patch: Official fix
Soft:
- helpsystems cobalt strike (le4.7)

CVE-2021-3129 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 7.3
X-Force: Patch: Official fix
Soft:
- facade ignition (<2.5.2)

CVE-2021-44228 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 10
X-Force: Patch: Official fix
Soft:
- apache log4j (2.0, <2.15.0, <2.3.1, <2.12.2)
- siemens sppa-t3000 ses3000 firmware (*)
- siemens logo\! soft comfort (*)
- siemens spectrum power 4 (4.70)
- siemens siveillance control pro (*)
have more...
CVE-2023-21839 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: 7.5
X-Force: Patch: Official fix
Soft:
- oracle weblogic server (12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0)


TTPs:
Tactics: 1
Technics: 12

IOCs:
IP: 9
Domain: 1
File: 2
Command: 2
Path: 3
Url: 1
Hash: 9

Softs:
oracle weblogic server, laravel, apache log4j, phpmyadmin, windows service

Algorithms:
zip

Languages:
python

Links:
https://github.com/L-codes/Neo-reGeorg/tree/master
https://github.com/moonD4rk/HackBrowserData
https://github.com/canc3s/cIPR
https://gist.github.com/whichbuffer/250e36cd24357460fd2b1653091a3e9f
https://github.com/shadow1ng/fscan
https://github.com/shmilylty/OneForAll
https://github.com/AlessandroZ/LaZagne
https://github.com/zan8in/afrog
https://github.com/projectdiscovery/nuclei
https://github.com/uknowsec/SharpCheckInfo
https://github.com/TryGOTry/CobaltStrike\_Cat\_4.5
https://github.com/fatedier/frp

#ParsedReport #ExtractedSchema

Classified images:
code: 8, windows: 1, schema: 1, dump: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Исследователи EclecticIQ выявили вредоносный веб-сервер, который, вероятно, эксплуатируется китайским угрожающим субъектом, нацеленным на тайваньские государственные организации. Угроза использовала инструменты разведки для сканирования и снятия отпечатков пальцев с систем, инструменты с открытым исходным кодом, модифицированную версию Cobalt Strike и методы кражи учетных данных для компрометации жертв. Основными целями являются государственные структуры Тайваня и организации, работающие в секторе критических инфраструктур.
-----

Исследователи EclecticIQ выявили вредоносный веб-сервер, управляемый китайским субъектом угроз, нацеленный на тайваньские государственные учреждения и критически важную инфраструктуру.

Угрожающий субъект в основном фокусировался на эксплуатации четырех различных уязвимостей удаленного выполнения кода (RCE) и в значительной степени полагался на инструменты с открытым исходным кодом.

Угроза использовала инструменты разведки, заранее настроенные списки целей и брутфорсинг, чтобы нацелиться на жертву.

Агент угрозы использовал модифицированную версию Cobalt Strike 4.5, получившую название "Cobalt Strike Cat", для создания выделенного канала связи с системой жертвы.

Субъект угрозы использовал службы Windows для установки модифицированной версии полезной нагрузки Cobalt Strike и применял методы кражи учетных данных.

Угрожающий субъект использовал инструменты обратного прокси с открытым исходным кодом, чтобы вывести локальные устройства в Интернет.

Исследователи EclecticIQ с умеренной уверенностью оценивают, что основными целями угрожающего субъекта являются тайваньские государственные структуры и организации в секторе критических инфраструктур.

#technique

Bypassing Intel CET with Counterfeit Objects

https://www.offsec.com/offsec/bypassing-intel-cet-with-counterfeit-objects/

#technique

EDR bypassing via memory manipulation techniques

https://labs.withsecure.com/publications/edr-bypassing-via-memory-manipulation-techniques

The group that wasn't – tracking and defining Winnti

https://counterintelligence.pl/wp-content/uploads/2023/06/x33fcon2023.pdf

#ParsedReport #CompletenessMedium
05-06-2023

Volt Typhoon: Chinese State-Sponsored Actor Targeting Critical Infrastructure

https://www.secureblink.com/threat-research/volt-typhoon-chinese-state-sponsored-actor-targeting-critical-infrastructure

Report completeness: Medium

Actors/Campaigns:
Volt_typhoon (motivation: cyber_espionage)

Threats:
Lolbin_technique
Mimikatz_tool
Steganography_technique
Portproxy_tool
Credential_stealing_technique

Victims:
Critical infrastructure organizations in the us

Industry:
Government, Transport, Maritime, Education

Geo:
China, Guam, Chinese

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1078, T1144, T1036, T1098, T1090, T1124, T1112, T1106, T1075, T1083, have more...

IOCs:
File: 2
Hash: 19

Softs:
active directory, zyxel, local security authority, windows local security authority, psexec, windows defender credential guard, microsoft defender, microsoft defender for endpoint

Algorithms:
sha256, base64

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Volt Typhoon - это спонсируемая государством группа агентов, базирующаяся в Китае, которая с середины 2021 года ведет целенаправленную вредоносную деятельность с целью получения и сохранения доступа к сетям критической инфраструктуры.
-----

Volt Typhoon - это спонсируемая государством группа агентов, базирующаяся в Китае, которая ведет целенаправленную вредоносную деятельность с середины 2021 года. Их основная цель - получить и сохранить доступ к сетям критической инфраструктуры, используя сложные методы и живые двоичные файлы (LOLBins). Группа была замечена в использовании пользовательских версий инструментов с открытым исходным кодом для создания канала командования и управления (C2) через прокси-соединения и эксплуатации устройств Fortinet FortiGuard, выходящих в интернет, для получения первоначального доступа.

Попав в сеть, Volt Typhoon фокусируется на краже учетных данных и повышении привилегий, похищая учетные данные из памяти с помощью инструментов типа Mimikatz и используя неправильную конфигурацию и уязвимости для повышения своих привилегий. Они также используют методы стеганографии для сокрытия данных в файлах изображений с целью их утечки. Для сохранения устойчивости в сети они создают бэкдоры, устанавливают вредоносные службы и изменяют параметры реестра.