#ParsedReport #CompletenessLow
02-06-2023

GuLoader VBScript Variant Returns with PowerShell Updates

https://www.esentire.com/blog/guloader-vbscript-variant-returns-with-powershell-updates

Report completeness: Low

Threats:
Cloudeye
More_eggs
Junk_code_technique
Remcos_rat

Geo:
Emea, America, Apac, Africa

ChatGPT TTPs:
do not use without manual check
T1059.001, T1218.004, T1105, T1027, T1086, T1574, T1036, T1082, T1064, T1140, have more...

IOCs:
Domain: 2
File: 4
Url: 2
Hash: 5

Algorithms:
xor, base64

Functions:
GetString

Platforms:
intel

Links:
https://gist.github.com/macostag/f62b688ace243cc7ed426c133ba3efae#file-pr-ps1

#ParsedReport #ExtractedSchema

Classified images:
code: 8, schema: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что GuLoader - это очень уклончивый загрузчик вредоносных программ, который обычно используется для доставки похитителей информации и средств удаленного администрирования (RAT) и часто используется с приманками на налоговую тематику. Отдел реагирования на угрозы (TRU) компании выявил обновленный вариант VBScript GuLoader и провел охоту за угрозами, чтобы обновить содержимое обнаружения для GuLoader. Remcos - это инструмент, обычно используемый с GuLoader для обеспечения бесперебойного выполнения в системах.
-----

Подразделение Threat Response Unit (TRU) обнаружили некоторые из самых опасных угроз и атак со стороны национальных государств, а в апреле 2023 года они сообщили о продолжающейся активности GuLoader, использующего приманки на налоговую тематику и файлы-обманки. В мае они выявили обновленный вариант VBScript GuLoader.

GuLoader - это сложный загрузчик вредоносных программ, который сильно злоупотребляет приманками на налоговую тематику. Для выполнения пользователь щелкает по файлу ярлыка, который запускает команду PowerShell, извлекающую документ-обманку на тему налогов и сценарий VBS. Второй файл - Tefor.vbs - сильно обфусцирован и содержит нежелательный код, препятствующий анализу. Сценарий объединяет сотни небольших строк в одну переменную, которая в конечном итоге создает и выполняет команду PowerShell.

Очищенный PowerShell содержит менее 30 строк кода и составляет первый этап выполнения PowerShell в GuLoader. Он проверяет, является ли система 64-битной и существует ли 32-битный PowerShell в правильном пути, а затем запускает новый 32-битный процесс PowerShell, копируя командную строку текущего процесса в качестве нового аргумента. Затем он извлекает следующий этап из URL полезной нагрузки, после чего декодирует содержимое в base64 и извлекает подстроку длиной 19712 символов в индексной позиции 205484. Эта строка содержит PowerShell для выполнения шеллкода GuLoader.

Затем PowerShell копирует два буфера, содержащие шеллкод из пакета полезной нагрузки; первые 648 байт используются для декодирования второго буфера с помощью ключа 58 3E 88 D0, а оставшиеся 204836 байт отвечают за получение Remcos RAT с указанного URL и внедрение его в ieinstall.exe. Remcos RAT, идентифицированный в данном случае, взаимодействует с zazuservr.com через порт 9019.

По результатам первоначального расследования были проведены поиски угроз среди всех клиентов для обновления содержимого обнаружения GuLoader. GuLoader - это очень уклончивый загрузчик вредоносных программ, обычно используемый для доставки похитителей информации и средств удаленного администрирования (RAT). Он использует инициированные пользователем скрипты или файлы быстрого доступа для выполнения нескольких циклов сильно обфусцированных команд и зашифрованного шелл-кода. В результате полезная нагрузка вредоносного ПО, хранящаяся в памяти, работает внутри легитимного процесса Windows. В таких кампаниях часто используются тематические заманухи на налоговую тему, чтобы заставить пользователей нажать на вредоносные файлы быстрого доступа. Remcos - это коммерческий инструмент, рекламируемый как законное средство удаленного администрирования (RAT). Для обеспечения бесперебойного выполнения программы на системах, где она не была явно установлена администраторами, ее лучше всего использовать в паре с загрузчиком вредоносных программ, например GuLoader.

#ParsedReport #CompletenessLow
02-06-2023

New Magecart-Style Campaign Abusing Legitimate Websites to Attack Others

https://www.akamai.com/blog/security-research/new-magecart-hides-behind-legit-domains

Report completeness: Low

Actors/Campaigns:
Magecart (motivation: information_theft)
Kimsuky

Victims:
Victims have been identified in north america, latin america, and europe, and they range in size. some victims are estimated to handle hundreds of thousands of visitors per month, potentially putting tens of thousands of shoppers pii and credit cards at risk of being stolen and abused or sold on the dark web.

Industry:
Retail, Financial

Geo:
Peru, Spain, Australia, Estonia, America, Brazil

TTPs:
Tactics: 1
Technics: 0

IOCs:
Domain: 2

Softs:
wordpress

Algorithms:
base64

Languages:
javascript

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея этого текста заключается в том, что исследователи компании Akamai выявили глобальную кампанию веб-скейминга, направленную на кражу PII и данных кредитных карт с веб-сайтов цифровой коммерции, которая становится все более уклончивой и трудно обнаруживаемой. Специалисты по безопасности должны предпринимать проактивные шаги для защиты своих онлайн-платформ, например, использовать инструменты и технологии, обеспечивающие поведенческое и аномальное обнаружение активности в браузере, и внедрять брандмауэр веб-приложений (WAF).
-----

Исследователи Akamai недавно выявили новую кампанию по скиммингу в Интернете в стиле Magecart, направленную на кражу персонально идентифицируемой информации (PII) и данных кредитных карт с сайтов цифровой коммерции. Эта кампания проводится в глобальном масштабе, ее жертвы находятся в Северной Америке, Латинской Америке и Европе. Некоторые из этих жертв, по оценкам, обслуживают сотни тысяч посетителей в месяц, потенциально подвергая риску кражи и злоупотребления или продажи в темной паутине PII и кредитных карт десятков тысяч покупателей.

Чтобы скрыть свои действия, злоумышленники используют ряд приемов. Они обфусцируют свой вредоносный код с помощью кодировки Base64 и маскируют его под популярные сторонние сервисы, такие как Google Analytics или Google Tag Manager. Злоумышленники также захватывают легитимные веб-сайты, чтобы использовать их в качестве импровизированных командно-контрольных (C2) серверов, что позволяет им распространять вредоносный код за легитимным доменом. Эта атака использовала Magento, WooCommerce, WordPress и Shopify, демонстрируя растущее разнообразие уязвимостей и злоупотребляемых платформ цифровой коммерции.

Подобные атаки становятся все более уклончивыми и сложными для обнаружения, поэтому специалисты по безопасности должны рассмотреть возможность использования инструментов и технологий, обеспечивающих поведенческое и аномальное обнаружение активности внутри браузера. Кроме того, организациям следует убедиться в наличии последних исправлений и внедрить брандмауэр веб-приложений (WAF) для предотвращения первоначального доступа к серверу. Принимая упреждающие меры по защите своих онлайн-платформ, организации могут лучше защитить данные пользователей и сохранить доверие своих клиентов.

#ParsedReport #CompletenessLow
02-06-2023

ASEC Weekly Phishing Email Threat Trend (20230521 to 20230527)

https://asec.ahnlab.com/ko/53661

Report completeness: Low

Threats:
Agent_tesla
Formbook
Gasket

Industry:
Financial, Transport

Geo:
Korean

TTPs:

IOCs:
File: 44
Url: 11

Softs:
zimbra

Languages:
php

#ParsedReport #CompletenessHigh
02-06-2023

Chinese Threat Actor Used Modified Cobalt Strike Variant to Attack Taiwanese Critical Infrastructure

https://blog.eclecticiq.com/chinese-threat-actor-used-modified-cobalt-strike-variant-to-attack-taiwanese-critical-infrastructure

Report completeness: High

Threats:
Cobalt_strike
Fscan_tool
Lazagne
Credential_stealing_technique
Credential_harvesting_technique
Beacon
Budworm
Credential_dumping_technique
Regeorg

Victims:
Taiwanese government entities

Industry:
Government, Iot

Geo:
Ukraine, Taiwanese, Malaysian, Malaysia, Egyptian, Asia-pacific, Chinese, Egypt, Taiwan

CVEs:
CVE-2020-2551 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- oracle weblogic server (12.1.3.0.0, 10.3.6.0.0, 12.2.1.3.0, 12.2.1.4.0)

CVE-2022-39197 [Vulners]
CVSS V3.1: 6.1,
Vulners: Exploitation: True
X-Force: Risk: 6.1
X-Force: Patch: Official fix
Soft:
- helpsystems cobalt strike (le4.7)

CVE-2021-3129 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 7.3
X-Force: Patch: Official fix
Soft:
- facade ignition (<2.5.2)

CVE-2021-44228 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 10
X-Force: Patch: Official fix
Soft:
- apache log4j (2.0, <2.15.0, <2.3.1, <2.12.2)
- siemens sppa-t3000 ses3000 firmware (*)
- siemens logo\! soft comfort (*)
- siemens spectrum power 4 (4.70)
- siemens siveillance control pro (*)
have more...
CVE-2023-21839 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: 7.5
X-Force: Patch: Official fix
Soft:
- oracle weblogic server (12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0)


TTPs:
Tactics: 1
Technics: 12

IOCs:
IP: 9
Domain: 1
File: 2
Command: 2
Path: 3
Url: 1
Hash: 9

Softs:
oracle weblogic server, laravel, apache log4j, phpmyadmin, windows service

Algorithms:
zip

Languages:
python

Links:
https://github.com/L-codes/Neo-reGeorg/tree/master
https://github.com/moonD4rk/HackBrowserData
https://github.com/canc3s/cIPR
https://gist.github.com/whichbuffer/250e36cd24357460fd2b1653091a3e9f
https://github.com/shadow1ng/fscan
https://github.com/shmilylty/OneForAll
https://github.com/AlessandroZ/LaZagne
https://github.com/zan8in/afrog
https://github.com/projectdiscovery/nuclei
https://github.com/uknowsec/SharpCheckInfo
https://github.com/TryGOTry/CobaltStrike\_Cat\_4.5
https://github.com/fatedier/frp

#ParsedReport #ExtractedSchema

Classified images:
code: 8, windows: 1, schema: 1, dump: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Исследователи EclecticIQ выявили вредоносный веб-сервер, который, вероятно, эксплуатируется китайским угрожающим субъектом, нацеленным на тайваньские государственные организации. Угроза использовала инструменты разведки для сканирования и снятия отпечатков пальцев с систем, инструменты с открытым исходным кодом, модифицированную версию Cobalt Strike и методы кражи учетных данных для компрометации жертв. Основными целями являются государственные структуры Тайваня и организации, работающие в секторе критических инфраструктур.
-----

Исследователи EclecticIQ выявили вредоносный веб-сервер, управляемый китайским субъектом угроз, нацеленный на тайваньские государственные учреждения и критически важную инфраструктуру.

Угрожающий субъект в основном фокусировался на эксплуатации четырех различных уязвимостей удаленного выполнения кода (RCE) и в значительной степени полагался на инструменты с открытым исходным кодом.

Угроза использовала инструменты разведки, заранее настроенные списки целей и брутфорсинг, чтобы нацелиться на жертву.

Агент угрозы использовал модифицированную версию Cobalt Strike 4.5, получившую название "Cobalt Strike Cat", для создания выделенного канала связи с системой жертвы.

Субъект угрозы использовал службы Windows для установки модифицированной версии полезной нагрузки Cobalt Strike и применял методы кражи учетных данных.

Угрожающий субъект использовал инструменты обратного прокси с открытым исходным кодом, чтобы вывести локальные устройства в Интернет.

Исследователи EclecticIQ с умеренной уверенностью оценивают, что основными целями угрожающего субъекта являются тайваньские государственные структуры и организации в секторе критических инфраструктур.

#technique

Bypassing Intel CET with Counterfeit Objects

https://www.offsec.com/offsec/bypassing-intel-cet-with-counterfeit-objects/

#technique

EDR bypassing via memory manipulation techniques

https://labs.withsecure.com/publications/edr-bypassing-via-memory-manipulation-techniques

The group that wasn't – tracking and defining Winnti

https://counterintelligence.pl/wp-content/uploads/2023/06/x33fcon2023.pdf

#ParsedReport #CompletenessMedium
05-06-2023

Volt Typhoon: Chinese State-Sponsored Actor Targeting Critical Infrastructure

https://www.secureblink.com/threat-research/volt-typhoon-chinese-state-sponsored-actor-targeting-critical-infrastructure

Report completeness: Medium

Actors/Campaigns:
Volt_typhoon (motivation: cyber_espionage)

Threats:
Lolbin_technique
Mimikatz_tool
Steganography_technique
Portproxy_tool
Credential_stealing_technique

Victims:
Critical infrastructure organizations in the us

Industry:
Government, Transport, Maritime, Education

Geo:
China, Guam, Chinese

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1078, T1144, T1036, T1098, T1090, T1124, T1112, T1106, T1075, T1083, have more...

IOCs:
File: 2
Hash: 19

Softs:
active directory, zyxel, local security authority, windows local security authority, psexec, windows defender credential guard, microsoft defender, microsoft defender for endpoint

Algorithms:
sha256, base64

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Volt Typhoon - это спонсируемая государством группа агентов, базирующаяся в Китае, которая с середины 2021 года ведет целенаправленную вредоносную деятельность с целью получения и сохранения доступа к сетям критической инфраструктуры.
-----

Volt Typhoon - это спонсируемая государством группа агентов, базирующаяся в Китае, которая ведет целенаправленную вредоносную деятельность с середины 2021 года. Их основная цель - получить и сохранить доступ к сетям критической инфраструктуры, используя сложные методы и живые двоичные файлы (LOLBins). Группа была замечена в использовании пользовательских версий инструментов с открытым исходным кодом для создания канала командования и управления (C2) через прокси-соединения и эксплуатации устройств Fortinet FortiGuard, выходящих в интернет, для получения первоначального доступа.

Попав в сеть, Volt Typhoon фокусируется на краже учетных данных и повышении привилегий, похищая учетные данные из памяти с помощью инструментов типа Mimikatz и используя неправильную конфигурацию и уязвимости для повышения своих привилегий. Они также используют методы стеганографии для сокрытия данных в файлах изображений с целью их утечки. Для сохранения устойчивости в сети они создают бэкдоры, устанавливают вредоносные службы и изменяют параметры реестра.

#ParsedReport #CompletenessHigh
05-06-2023

COSMICENERGY: New OT Malware Possibly Related To Russian Emergency Response Exercises

https://www.mandiant.com/resources/blog/cosmicenergy-ot-malware-russian-response

Report completeness: High

Threats:
Cosmicenergy
Crashoverride
Conduit
Piehop
Lightwork
Meterpreter_tool
Triton
Irongate
Incontroller_tool

Victims:
Organizations leveraging iec-104 compliant devices

Industry:
Government, Ics, Energy

Geo:
Asia, Russian, Russia

TTPs:
Tactics: 1
Technics: 5

IOCs:
File: 1
Hash: 6

Softs:
mssql, pyinstaller, py2exe, outlook, windows shell, networkminer

Algorithms:
sha256, sha1, base64

Win API:
Polygon

Languages:
python

YARA: Found

#ParsedReport #ExtractedSchema

Classified images:
code: 4, schema: 13, dump: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: COSMICENERGY - это новое OT/ICS-ориентированное вредоносное ПО, которое способно нарушить работу электроэнергетики и похоже на инцидент 2016 года INDUSTROYER.
-----

Компания Mandiant обнаружила COSMICENERGY, новую вредоносную программу, ориентированную на OT/ICS, загруженную в публичную службу сканирования вредоносных программ в России. COSMICENERGY предназначен для нарушения электроснабжения путем взаимодействия с устройствами стандарта IEC 60870-5-104 (IEC-104), такими как удаленные терминалы (RTU). Его возможности и стратегия атаки схожи с инцидентом INDUSTROYER 2016 года. Вредоносная программа состоит из двух компонентов - PIEHOP и LIGHTWORK. PIEHOP может подключаться к удаленному серверу MSSQL для загрузки файлов и подачи команд на RTU. LIGHTWORK реализует протокол IEC-104 для изменения состояния RTU через TCP. Он также включает восемь жестко закодированных адресов информационных объектов IEC-104 (IOA).

Происхождение и назначение COSMICENERGY неясно, но оно могло использоваться для поддержки учений, проводимых "Ростелеком-Solar", российской компанией по кибербезопасности, получившей государственную субсидию в 2019 году. Не исключено, что вредоносное ПО было разработано со злым умыслом и может использоваться для поддержки целенаправленной деятельности угроз в дикой природе. Барьеры для входа в наступательные ОТ-угрозы снижаются, поскольку субъекты используют знания, полученные в ходе предыдущих атак, для разработки новых вредоносных программ.

В заключение следует отметить, что COSMICENERGY представляет собой непосредственную угрозу для пострадавших организаций, и организациям следует принять меры по защите от вредоносного ПО и развернуть средства обнаружения для выявления вредоносной активности. Поскольку барьеры для проникновения наступательных угроз ОТ снижаются, организациям важно предпринять необходимые шаги для защиты.

#ParsedReport #CompletenessMedium
05-06-2023

Bitter Organization New Attack Weapon Analysis Report-ORPCBackdoor Weapon Analysis

https://mp.weixin.qq.com/s/H-ZRvcofbzwZ8Ikyn5Vu4w

Report completeness: Medium

Actors/Campaigns:
Bitter
Dropping_elephant
Manlinghua

Threats:
Orpcbackdoor
Dll_hijacking_technique

Victims:
Energy, engineering and government sectors of pakistan, bangladesh and saudi arabia

Industry:
Education, Aerospace, Government, Energy

Geo:
Asia, Bangladesh, Pakistan

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1187, T1106, T1060, T1053, T1008, T1071, T1036, T1046, T1082, T1083, have more...

IOCs:
Hash: 1
File: 6
Path: 1

Softs:
microsoft outlook, outlook

Algorithms:
sha256

Functions:
GetFileVersionInfoByHandle, GetFileVersionInfoBy-H, RPC, GetShell, Socket

Win API:
GetFileVersionInfoA, GetFileVersionInfoExW, GetFileVersionInfoSizeA, GetFileVersionInfoSizeExW, GetFileVersionInfoSizeW, GetFileVersionInfoW, VerFindFileA, VerFindFileW, VerInstallFileA, VerInstallFileW, have more...

#ParsedReport #ExtractedSchema

Classified images:
code: 7, schema: 1, windows: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Организация Bitter - это группа продвинутых угроз, действующая с 2013 года и нацеленная на энергетический, инженерный и государственный секторы Пакистана, Бангладеш и Саудовской Аравии. Недавно группа 404 Advanced Threat Intelligence Team обнаружила в ее арсенале новый тип DLL-бэкдора, ORPCBackdoor. ORPCBackdoor - это относительно оптимизированная и зрело разработанная программа-бэкдор, содержащая множество функциональных модулей.
-----

Анализ инструмента атаки ORPCBackdoor организации Bitter показывает, что это относительно упрощенная и зрело разработанная программа бэкдора. Бэкдор используется для создания базовой среды для последующих операций и, вероятно, ориентирован на группы пользователей Outlook. ORPCBackdoor содержит множество функциональных блоков, которые взаимодействуют для завершения предварительной работы по интерактивному выполнению с сервером. Сюда входит анализ символов, тест первого запуска, сохранение, сбор локальной информации, обнаружение C2 в режиме онлайн и т.д. В ORPCBackdoor есть две вредоносные записи, первая - экспортная функция GetFileVersionInfoByHandleEx(void), вторая - DllEntryPoint. Модуль, соответствующий команде DWN, является хорошо продуманным функциональным модулем, и его функция заключается в загрузке файлов. Команда CMD является основной командой ORPCBackdoor, а ее функция - GetShell.

Логика обработки, используемая ею, заключается в анализе команды Shell, выданной сервером, и последующем сращивании команды после получения команды Shell, выданной сервером. ORPCBackdoor использует технологию перехвата DLL и применяет метод "белое плюс черное" для достижения определенного анти-килл эффекта. Проведя анализ этого инструмента атаки, можно сделать вывод, что операция является хорошо продуманной и спланированной. Chuangyu Lieyou - это инструмент обнаружения и анализа трафика для активных APT-организаций. Он охватывает правила известных уязвимостей, сочетается с многолетними данными разведки ZoomEye по обследованию и картографированию, дополняется технологией анализа модели аномального поведения сети и может выявить все подозрительные действия.

Организация Bitter, также известная как Man Linghua, является передовой группой угроз, предположительно происходящей из Южной Азии. Она действует с 2013 года и ориентирована на энергетический, инженерный и государственный секторы Пакистана, Бангладеш и Саудовской Аравии. Недавно группа 404 Advanced Threat Intelligence Team в ходе постоянного отслеживания организации Bitter обнаружила в своем арсенале новый тип DLL-бэкдора. Этот бэкдор был назван ORPCBackdoor из-за его метода коммуникации, использующего RPC для взаимодействия с сервером. ORPCBackdoor содержит множество функциональных блоков, включая анализ символов, тест первого запуска, сохранение, сбор локальной информации, обнаружение C2 онлайн, GetShell, загрузку файлов и т.д. Он использует технологию перехвата DLL и применяет метод "белое плюс черное" для достижения определенного антиубийственного эффекта.

#ParsedReport #CompletenessHigh
05-06-2023

Not your average Joe: An analysis of the XeGroup s attack techniques

https://www.menlosecurity.com/blog/not-your-average-joe-an-analysis-of-the-xegroups-attack-techniques

Report completeness: High

Actors/Campaigns:
Xegroup (motivation: cyber_criminal)
Magecart

Threats:
Supply_chain_technique
Aspxspy_shell
Sliver_tool
Netcat_tool

Victims:
Us-based corporations, government agencies, construction organizations, and healthcare providers

Industry:
Retail, Healthcare, E-commerce, Financial, Government

Geo:
Vietnam, Vietnamese

CVEs:
CVE-2019-18935 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- telerik ui for asp.net ajax (<2019.3.1023)


IOCs:
File: 1
Email: 10
Path: 1
Domain: 84
IP: 11
Url: 3
Hash: 56

Softs:
adobe coldfusion, asp.net, instagram

Algorithms:
base64

Functions:
ismatchagent

Languages:
javascript, autoit

Platforms:
intel

Links:
https://github.com/volexity/threat-intel/blob/main/2021/2021-12-06%20-%20XEGroup/indicators/indicators.csv