#ParsedReport #CompletenessLow
15-06-2023

Fake Security Researcher GitHub Repositories Deliver Malicious Implant. Key Takeaways

https://vulncheck.com/blog/fake-repos-deliver-malicious-implant

Report completeness: Low

Threats:
Findzip

Victims:
Security researchers

IOCs:
File: 2

Softs:
chrome, discord, whatsapp

Algorithms:
zip

Languages:
python

Links:
https://github.com/researchkendra91/signal-zeroday-exploit
https://github.com/darthvander20/whatsapp-zero-day-exploit/blob/main/poc.py

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Вредоносный агент атаковал исследователей безопасности, создав сеть поддельных учетных записей и репозиториев на GitHub, и компания VulnCheck приняла меры по удалению вредоносного репозитория. Исследователи безопасности должны предпринять меры по защите от потенциальных атак и сохранять бдительность в отношении угрозы, исходящей от злоумышленника.
-----

VulnCheck выявил злоумышленника, который атакует исследователей безопасности, создавая сеть поддельных аккаунтов и репозиториев на GitHub. Эти учетные записи, которые выдают себя за часть несуществующей компании по безопасности под названием High Sierra Cyber Security, содержат вредоносные репозитории, утверждающие, что это эксплойты для таких популярных продуктов, как Chrome, Exchange, Discord и других. Злоумышленники приложили немало усилий, чтобы придать этим аккаунтам и репозиториям законный вид, используя снимки голов настоящих исследователей безопасности из таких компаний, как Rapid7, и рекламируя свои находки в Twitter.

В ответ на это VulnCheck принял меры и сообщил о вредоносном репозитории на GitHub, который был немедленно удален.

Неизвестно, были ли попытки злоумышленников успешными, но, учитывая, что они продолжают действовать в этом направлении, можно предположить, что они уверены в своих силах. Также неизвестно, является ли это одиночкой или организованной кампанией, но в любом случае исследователям безопасности необходимо сохранять бдительность, чтобы защитить себя и свои данные от потенциальных угроз.

#ParsedReport #CompletenessLow
15-06-2023

Mystic Stealer Evolving stealth Malware

https://www.cyfirma.com/outofband/mystic-stealer-evolving-stealth-malware

Report completeness: Low

Threats:
Mystic_stealer

Victims:
Individuals and organizations handling sensitive data, such as those in healthcare, finance, technology and cryptocurrency transactions

Industry:
Financial, Healthcare

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1497, T1036, T1117, T1099, T1071, T1029, T1490, T1486, T1476, T1191, have more...

IOCs:
IP: 30
Hash: 1

Softs:
telegram, ubuntu, debian, chromium, outlook

Algorithms:
sha256, exhibit

Languages:
python

Platforms:
x86, x64

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Mystic Stealer - это сложное и развивающееся вредоносное ПО с низким уровнем обнаружения, способное похищать данные из браузеров, криптовалютных расширений и Outlook. Она представляет значительный риск для компаний и частных лиц, участвующих в криптовалютных операциях.
-----

Mystic Stealer - это сложная и эволюционирующая вредоносная программа, которая с момента своего дебюта в апреле 2023 года создает волны киберугроз. Создатель угроз, стоящий за Mystic Stealer, постоянно совершенствует вредоносную программу на основе отзывов известных ветеранов на подпольных форумах, что приводит к постоянным обновлениям и улучшениям. Mystic Stealer имеет низкий процент обнаружения, написан на языках Python и C и поддерживает все версии Windows от XP до Windows 11. Она также способна обходить большинство антивирусных продуктов благодаря технике манипулирования кодом.

Наше расследование, проведенное разведкой открытых источников (OSINT), выявило существование более 50 активно работающих командно-контрольных (C2) серверов, что свидетельствует о растущей распространенности этой угрозы. Вредоносная программа доступна для подписки по цене 150 долларов США в месяц или 390 долларов США за три месяца, хотя ожидается, что эта цена будет расти в связи с ее растущей популярностью.

Установка сервера производится самими участниками угроз, а покупателю предоставляется полный контроль над C&C-панелью. C&C-панель совместима исключительно с серверами LINUX и может быть доступна с любого компьютера, используя данные IP-адреса и порта. Конструктор вредоносного ПО прост и визуально привлекателен и позволяет покупателю предоставить членам команды разрешение на доступ к панели и просмотр результатов, ограничивая при этом их возможность загружать журналы.

Mystic Stealer способен извлекать данные из браузеров, построенных на платформах Chromium и Mozilla, наряду с более чем 70 криптовалютными расширениями и Outlook. Все журналы надежно хранятся и расшифровываются на сервере, обеспечивая максимальную безопасность и прозрачность.

Учитывая постоянный спрос на мощных похитителей информации, Mystic Stealer становится потенциальным соперником в этой области. Компании, работающие с конфиденциальными данными, такими как PII, финансовые документы или интеллектуальная собственность, являются привлекательными целями для Mystic Stealer, а также лица, участвующие в криптовалютных транзакциях. Mystic Stealer представляет собой значительные риски и потенциальные последствия с точки зрения управления ландшафтом внешних угроз и может привести к финансовым потерям, сбоям в работе, проблемам с соблюдением нормативных требований и репутационному ущербу.

#ParsedReport #CompletenessMedium
15-06-2023

Shuckworm: Inside Russia s Relentless Cyber Campaign Against Ukraine

https://symantec-enterprise-blogs.security.com/threat-intelligence/shuckworm-russia-ukraine-military

Report completeness: Medium

Actors/Campaigns:
Gamaredon (motivation: cyber_espionage)
Leviathan

Threats:
Html_smuggling_technique
Pterodo
Giddome

Victims:
Security services, military, and government organizations in ukraine

Industry:
Government

Geo:
Ukrainian, Russian, Ukraine, Russia

IOCs:
File: 47
Registry: 1
Hash: 13
IP: 158

Softs:
telegram

Algorithms:
base64

Languages:
visual_basic, php

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что связанная с Россией группа Shuckworm осуществляет многочисленные кибератаки на украинские службы безопасности, военные и правительственные организации и использует различные методы для уклонения от обнаружения. Эта деятельность позволяет предположить, что поддерживаемые российским государством группы атак отдают предпочтение дорогостоящим украинским целям в попытках найти данные, которые могут потенциально помочь их военным операциям.
-----

Shuckworm, также известная как Gamaredon и Armageddon, - связанная с Россией группа, которая атакует Украину с 2014 года. Эта группа совершала многочисленные кибератаки на украинские службы безопасности, военные и правительственные организации, причем некоторые вторжения продолжались до трех месяцев. Было замечено, что Shuckworm использует фишинговые письма с вредоносными вложениями в качестве первоначального вектора заражения, а также вредоносное ПО для распространения по USB. В качестве командных и управляющих серверов злоумышленники использовали легитимные сервисы, такие как сервис обмена сообщениями Telegram и платформа микроблогов Telegraph.

Чтобы избежать обнаружения, Shuckworm регулярно обновляет свой инструментарий и методы обфускации. Группа была замечена в использовании пользовательского вредоносного бэкдора, известного как Pterodo, а также инструмента для похищения информации под названием Giddome. На зараженных компьютерах были обнаружены конфиденциальные документы, связанные с украинскими службами безопасности или государственными ведомствами.

Цели этой кампании позволяют предположить, что российские группы атак, поддерживаемые российскими государствами, отдают предпочтение дорогостоящим украинским объектам в попытках найти данные, которые могут помочь их военным операциям. Эта активность свидетельствует о том, что Shuckworm продолжает неустанно фокусироваться на Украине, и что эта группа, вероятно, будет оставаться угрозой в регионе в течение некоторого времени.

#ParsedReport #CompletenessMedium
15-06-2023

ChamelGang and ChamelDoH: A DNS-over-HTTPS implant

https://stairwell.com/news/chamelgang-and-chameldoh-a-dns-over-https-implant

Report completeness: Medium

Actors/Campaigns:
Chamelgang

Threats:
Chameldoh
Domain_fronting_technique

Victims:
Energy, aviation, and government organizations in russia, the united states, japan, turkey, taiwan, vietnam, india, afghanistan, lithuania, and nepal

Industry:
Energy, Aerospace, Government

Geo:
Turkey, Vietnam, China, Japan, Nepal, Afghanistan, Russia, Taiwan, India, Lithuania

ChatGPT TTPs:
do not use without manual check
T1218.001, T1090.003, T1088.003, T1565.001

IOCs:
Hash: 10
IP: 2
Domain: 9

Algorithms:
base64, aes-128

Win Services:
bits

YARA: Found

#ParsedReport #ExtractedSchema

Classified images:
schema: 2

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Команда Stairwell Threat Research выявила набор инструментов для вторжений в Windows и Linux, используемый ChamelGang, включая C++ имплант ChamelDoH. Данный отчет является первым в серии, подробно описывающей функциональность инструментария этого агента.
-----

Команда Stairwell Threat Research недавно выявила различные инструменты, используемые ChamelGang, сложной группой, связанной с Китаем. Эта группа атаковала энергетические, авиационные и правительственные организации в России, США, Японии, Турции, Тайване, Вьетнаме, Индии, Афганистане, Литве и Непале.

Команда Stairwell Threat Research выявила надежный набор инструментов для Windows и набор инструментов для Linux, используемых ChamelGang. Одним из примеров инструментария Linux является ChamelDoH, имплантат C++, разработанный для связи через туннелирование DNS-over-HTTPS (DoH). Имплант собирает системную информацию для составления профиля зараженной машины и способен выполнять основные операции удаленного доступа, такие как загрузка, скачивание, удаление и выполнение файлов.

ChamelDoH обрабатывает запросы DoH, используя настроенных провайдеров и вредоносные серверы имен, кодируя свои C2-коммуникации как поддомены вредоносного сервера имен. Он использует HTTPS, что предотвращает проверку запросов без вмешательства человека в трафик. ChamelDoH шифрует свои сообщения с помощью AES128 и кодирует результат в base64. Он использует модифицированный алфавит base64, чтобы гарантировать, что закодированные данные могут быть переданы через DNS.

Используя возможности обнаружения и анализа вариантов нового поколения, команда Stairwell Threat Research обнаружила в общей сложности 10 образцов ChamelDoH. Примечательно, что один образец находится в открытом доступе в сторонних репозиториях вредоносного ПО. Этот образец был впервые загружен на VirusTotal в декабре 2022 года и не обнаружен на платформе ни одним поставщиком или участником сообщества.

В дополнение к ChamelDoH команда Stairwell Threat Research обнаружила конфигурационный файл для FRP, настроенный на связь с доменом, ранее связанным с ChamelGang, а также образец LinuxPrivilegeElevator. Оба этих инструмента подробно описаны в отчете Positive Technologies о ChamelGang.

Исходя из наличия других инструментов вторжения, которые однозначно относятся к ChamelGang, Stairwell Threat Research считает, что это семейство вредоносных программ с высокой вероятностью было разработано одной и той же группой. Анализ ChamelDoH и других ранее не идентифицированных инструментов, используемых ChamelGang, продолжается командой Stairwell Threat Research.

#ParsedReport #CompletenessMedium
15-06-2023

Lazarus Threat Group Exploiting Vulnerability of Korean Finance Security Solution

https://asec.ahnlab.com/en/54195

Report completeness: Medium

Actors/Campaigns:
Lazarus

Threats:
Watering_hole_technique
Kisa
Lazardoor
Trojan/win.agent
Lazarloader

Industry:
Financial

Geo:
Korea, Korean

ChatGPT TTPs:
do not use without manual check
T1112, T1083, T1012, T1064, T1023, T1090, T1074, T1218, T1086

IOCs:
File: 8
Path: 1
IP: 1
Hash: 10
Url: 9

Softs:
inisafe crossweb ex, magicline4nx, vestcert

Algorithms:
sha1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Было установлено, что угрожающая группа Lazarus нацелилась на VestCert и TCO!Stream, два широко используемых программных решения в Южной Корее. Угрожающая группа использует метод "watering hole" для первоначального проникновения в компании, а затем использует уязвимость TCO!Stream для распространения вредоносного ПО на внутренние системы. Компания AhnLab сообщила об уязвимости в KISA и рекомендовала вручную удалить программное обеспечение перед повторной установкой.
-----

Угрожающая группа Lazarus, известная тем, что активно использует уязвимости в программном обеспечении, используемом в Южной Корее, теперь, как выяснилось, нацелилась еще на два решения - VestCert и TCO!Stream. VestCert - это программное обеспечение веб-безопасности, разработанное компанией Yettiesoft с использованием не-ActiveX подхода, а TCO!Stream - это программа управления активами компании, созданная MLsoft. Оба решения широко используются корейскими компаниями.

Угрожающая группа использует метод "watering hole" при осуществлении первоначального взлома компаний. Когда пользователи с уязвимыми версиями VestCert, установленными на их системах Windows, посещают определенный веб-сайт, на который внедрен вредоносный скрипт, то, независимо от типа их веб-браузера, выполняется PowerShell из-за уязвимости выполнения сторонних библиотек в программном обеспечении VestCert. После выполнения PowerShell подключается к серверу C2 для загрузки и выполнения вредоносного ПО.

Затем группа угроз использует уязвимость TCO!Stream, чтобы распространить вредоносное ПО на внутренние системы с первоначально пораженной системы. TCO!Stream состоит из сервера и клиента; сервер предлагает такие функции, как распространение программного обеспечения среди клиентов и удаленное управление. Группа угроз генерирует командные пакеты, чтобы проинструктировать клиента загрузить и выполнить определенный файл с сервера. После получения этой команды клиент получает доступ к серверу TCO!Stream и приступает к загрузке и выполнению вредоносного файла, который группа угроз подготовила заранее.

AhnLab Security Emergency response Center (ASEC) проанализировал уязвимости VestCert и TCO!Stream, которые были использованы в данном случае, и сообщил о них в Korea Internet & Security Agency (KISA). Информация также была передана соответствующим компаниям, и в настоящее время уязвимости, о которых идет речь, исправлены. Однако, поскольку программное обеспечение не обновляется автоматически, во многих местах все еще используются уязвимые версии программы. Рекомендуется вручную удалить программное обеспечение перед повторной установкой.

#ParsedReport #CompletenessHigh
15-06-2023

Mystic Stealer. Key Points

https://www.zscaler.com/blogs/security-research/mystic-stealer

Report completeness: High

Actors/Campaigns:
Dev-0960

Threats:
Polymorphism_technique
Arkei_stealer
Sandbox_evasion_technique
Advobfuscator_tool
Neutrino_pos

Victims:
Cryptocurrency wallets, steam, telegram

Industry:
Government, Petroleum, Financial

Geo:
Russia, Indian, Germany, Latvian, China, France, Russian, Bulgarian

ChatGPT TTPs:
do not use without manual check
T1545, T1003, T1002, T1092, T1140, T1036, T1082, T1105, T1071, T1076, have more...

IOCs:
File: 10
Email: 1
Domain: 3
Url: 8
IP: 9
Coin: 7
Hash: 6

Softs:
telegram, hyper-v, virtualbox, django, opera, k-meleon, icecat, mozilla firefox, icedragon, cyberfox, have more...

Wallets:
dashcore, tronlink, binancechain, yoroi, nifty, math_wallet, coinbase, guarda_wallet, equal_wallet, jaxx, have more...

Crypto:
bitcoin, multiversx, ethereum, polkadot, binance, dogecoin, litecoin, bitcoingold

Algorithms:
rc4, xor

Languages:
python, php

Links:
https://github.com/Microv/MysticStealer\_HashResolver
https://github.com/threatlabz/iocs/blob/main/mystic\_stealer/grand\_cluster\_nameservers.txt
https://github.com/threatlabz/iocs/blob/main/mystic\_stealer/grand\_cluster\_domains.txt
https://github.com/threatlabz/tools/blob/main/mystic\_stealer/decrypt\_c2s.py
https://github.com/threatlabz/iocs/blob/main/mystic\_stealer/grand\_cluster\_domain\_whois.txt
https://github.com/phish-report/IOK/blob/main/indicators/mystic-stealer-88b6ef2f.yml
https://github.com/threatlabz/tools/blob/main/mystic\_stealer/import\_hash.py
https://github.com/andrivet/ADVobfuscator
https://github.com/threatlabz/iocs/blob/main/mystic\_stealer/c2s.txt
https://github.com/montysecurity/C2-Tracker/blob/main/data/Mystic%20Stealer%20IPs.txt
https://github.com/a0rtega/pafish/blob/master/pafish/cpu.c

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Mystic Stealer - это штамм вредоносного ПО с функциями антианализа и уклонения от защиты, такими как истечение срока действия двоичных файлов, антивиртуализация, импорт Windows API по хэшу, шифрованный двоичный пользовательский протокол и полиморфная обфускация строк. Он способен похищать данные и учетные данные пользователей и рекламируется на подпольных форумах за ежемесячную арендную плату.
-----

Mystic Stealer - это штамм вредоносного ПО, предназначенного для кражи пользовательских данных и учетных данных из зараженной системы. Впервые он был анонсирован в апреле 2023 года и нацелен на веб-браузеры, расширения браузеров, криптовалютные кошельки, Steam и Telegram. Mystic Stealer сильно обфусцирован с помощью полиморфной обфускации строк, разрешения импорта на основе хэша и вычисления констант во время выполнения, и общается со своими командными и управляющими серверами с помощью пользовательского двоичного протокола, зашифрованного с помощью RC4. Он способен собирать такую информацию, как имя хоста системы, имя пользователя и GUID, данные автозаполнения, историю просмотров, произвольные файлы, cookies, а также информацию, связанную с криптовалютными кошельками и учетными данными Steam и Telegram.

Разработчики Mystic Stealer предоставляют веб-панель управления, реализованную на Python Django, для взаимодействия криминальных пользователей с программой. Панель управления находится вне диапазона на отдельном открытом сервисном порту, который вредоносная программа использует для C2-коммуникаций. Продавец Mystic Stealer рекламировал проект на таких подпольных форумах, как WWH (WWH-Club), BHF (Best Hack Forums) и XSS. Он выставлен на аренду по цене $150 в месяц.

Mystic Stealer был связан с множеством IP-адресов хостинга серверов в различных географических регионах, включая, но не ограничиваясь регистрацией во Франции, Германии, России, США и Китае. Был выявлен кластер серверов C2, обозначенный как кластер "Grand", который первоначально работал и обслуживал панели управления Mystic Stealer. В последнее время многие из этих сайтов, по-видимому, перешли в автономный режим, а вышестоящая CDN сообщила о сбоях в соединении.

Mystic Stealer обладает такими функциями защиты от анализа и уклонения от защиты, как истечение срока действия двоичных файлов, антивиртуализация, импорт Windows API по хэшу, шифрованный двоичный пользовательский протокол и полиморфная обфускация строк. Он способен загружать дополнительные полезные нагрузки вредоносного ПО и обладает способностью к персистенции. Zscaler обнаруживает индикаторы, связанные с Mystic Stealer, на различных уровнях со следующими названиями угроз. Сигнатуры Suricata обнаруживают начальный обмен ключами соединения C2.

#ParsedReport #CompletenessMedium
15-06-2023

SeroXen Incorporates Latest BatCloak Engine Iteration

https://www.trendmicro.com/en_us/research/23/f/seroxen-incorporates-latest-batcloak-engine-iteration.html

Report completeness: Medium

Threats:
Seroxen_rat
Batcloak_tool
Jlaive_tool
Exe2bat_tool
Scrubcrypt
Junk_code_technique
Quasar_rat

Industry:
Financial, Entertainment

ChatGPT TTPs:
do not use without manual check
T1036.003, T1218.002, T1045, T1055.001, T1220, T1090

IOCs:
File: 8

Softs:
discord, sharpunhooker

Algorithms:
zip, base64, exhibit, cbc, xor, aes

Functions:
CreateCS

Languages:
python

YARA: Found

Links:
https://github.com/quasar/Quasar
https://github.com/GetRektBoy724/SharpUnhooker

#ParsedReport #ExtractedSchema

Classified images:
windows: 11, code: 11, schema: 1, dump: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: SeroXen - это вредоносный троян удаленного доступа, который использует сильно обфусцированный пакетный файл, чтобы стать необнаруживаемым (FUD). Технический анализ может быть использован для деобфускации команд, связанных с выполнением пакетного файла. Он предлагается на официальном сайте и может быть обнаружен и деобфусцирован с помощью правила Yara и сценария PowerShell.
-----

SeroXen - это вредоносный троян удаленного доступа (RAT), который использует сильно обфусцированный пакетный файл для заражения жертв hVNC-(Hidden Virtual Network Computing). Эта техника позволяет вредоносной программе стать полностью необнаруживаемой, или FUD. В этой серии из трех частей рассказывается о злоупотреблении BatCloak возможностями уклонения и взаимодействии с другими вредоносными программами. В первой части мы рассмотрели зарождение и развитие механизма обфускации BatCloak. Вторая часть посвящена техническим аспектам процесса заражения SeroXen.

Процесс заражения начинается с пакетного файла, который обычно размещается на Discord CDN или других облачных хранилищах. Эти файлы имеют размер от 10 до 15 МБ и содержат слои методов обфускации с лишними фрагментами кода, которые затрудняют анализ пакетного файла. Однако с помощью технического анализа можно деобфусцировать команды, связанные с выполнением пакетного файла.

Бинарный файл билдера для SeroXen защищен Agile .NET. После распаковки функций и ресурсов билдера видно, что SeroXen представляет собой модифицированную версию Quasar RAT с добавленными функциями, такими как руткит и использование движков обфускации Jlaive и BatCloak для генерации FUD .bat-загрузчиков.

Сборщик создает полезную нагрузку Quasar RAT и передает ее в функцию Crypt. Crypt использует многоступенчатый генератор загрузчиков Jlaive crypter и исходный код обфускатора BatCloack для создания необнаруживаемых загрузчиков. Затем этот загрузчик шифруется с помощью алгоритма AES с режимом шифрования CBC. Конструктор принимает конфигурацию пользователя и создает первый загрузчик, используя файл шаблона C#. Затем пакетный файл деобфусцирует сценарий PowerShell и выполняет его.

SeroXen предлагается на официальном веб-сайте и страницах социальных сетей и обмена информацией с видеороликами о том, как использовать RAT, как если бы это был законный инструмент. Он также предлагает ежемесячные и пожизненные варианты ключей для покупки онлайн. Для обнаружения и деобфускации обфусцированных пакетных файлов SeroXen можно использовать правило Yara и сценарий PowerShell.

#ParsedReport #CompletenessMedium
15-06-2023

Tracking Diicot: an emerging Romanian threat actor

https://www.cadosecurity.com/tracking-diicot-an-emerging-romanian-threat-actor

Report completeness: Medium

Actors/Campaigns:
Mexals

Threats:
Diicot
Mirai
Cayosin
Upx_tool
Snowflake
Xmrig_miner

Victims:
Openwrt routers, Ssh servers exposed to the internet

Geo:
Romanian, Romania

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1204, T1486, T1036, T1071, T1563, T1497, T1558

IOCs:
File: 1
Url: 5
Domain: 2
Hash: 11
IP: 4
Coin: 1

Softs:
chrome, discord, openwrt, opera, systemd, curl

Crypto:
monero

Algorithms:
base64

Languages:
golang

Platforms:
arm

Links:
https://github.com/cado-security
https://github.com/lcashdol/UPX
https://github.com/neurobin/shc
https://github.com/horsicq/Detect-It-Easy

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Diicot - это новая группа угроз, цели которой включают развертывание самораспространяющегося инструмента начального доступа, использование пользовательских упаковщиков для обфускации двоичных полезных нагрузок, криптоджекинг, doxxing и развертывание агента ботнета. Cado Labs рекомендует читателям внедрить базовую защиту SSH для защиты от этого семейства вредоносных программ.
-----

Diicot - это новая угрожающая группа, в задачи которой входит развертывание самораспространяющегося инструмента начального доступа, использование пользовательских упаковщиков для обфускации бинарных полезных нагрузок, широко распространенный криптоджекинг на скомпрометированных объектах, выявление уязвимых систем с помощью сканирования Интернета, обнародование личных данных предполагаемых врагов (doxxing) и развертывание агента ботнета, участвующего в DDoS-атаках. Отчетность C2 ведется через Discord и собственную конечную точку API.

Кампании Diicot обычно включают длинную цепочку выполнения, в которой отдельные полезные нагрузки и их результаты образуют взаимозависимые связи. Первоначальный доступ осуществляется через пользовательский инструмент SSH-перебора под названием aliases, который получает список целевых IP-адресов и пар имя пользователя/пароль для проведения атаки методом перебора. Кроме того, Diicot использует Shell Script Compiler (shc) и пользовательскую версию UPX при создании своих полезных нагрузок, а исследователь Akamai Ларри Кэшдоллар создал утилиту upx_dec для распаковки своих полезных нагрузок.

После взлома системы Diicot устанавливает сценарий-распространитель в стиле Mirai, bins.sh, если встречается маршрутизатор OpenWrt. Этот скрипт извлекает версии агента ботнета Cayosin для различных архитектур. Diicot также развертывает майнер XMRig, Opera, и регистрирует контролируемый злоумышленником SSH-ключ для поддержания доступа к системе. Также создается cronjob для запуска History и Update, который сохраняется как .5p4rk3l5 перед загрузкой. Наконец, Diicot имеет интернет-сканер, основанный на Zmap, который записывает результаты сканирования в текстовый файл (bios.txt), который затем читается псевдонимами как список целей для проведения SSH brute-forcing.

Cado Labs рекомендует читателям внедрить базовую защиту SSH для защиты от этого семейства вредоносных программ, включая обязательную аутентификацию на основе ключей для экземпляров SSH и внедрение правил брандмауэра для ограничения доступа к SSH для определенных IP-адресов. Кроме того, попытки сканирования с помощью форка Zmap от Diicot особенно шумны и могут приводить к появлению множества исходящих SYN-пакетов на адреса в произвольном сетевом префиксе /16. Эта активность должна быть легко выявлена администраторами с адекватным мониторингом сети.

#ParsedReport #CompletenessMedium
15-06-2023

APT-C-36. 1. Attack activity analysis

https://mp.weixin.qq.com/s?__biz=MzUyMjk4NzExMA==&mid=2247492736&idx=1&sn=9fd201a6737742b6c5aea63119d9ce5f&chksm=f9c1d789ceb65e9fe79d592dc2161f76935b6704bb5b5fafaac84e3d792a4cb458e5f23f3e75&scene=178&cur_album_id=1955835290309230595

Report completeness: Medium

Actors/Campaigns:
Blindeagle
Aggaa

Threats:
Njrat
Asyncrat_rat
Arrow_rat
Remcos_rat
Quasar_rat

Victims:
Colombian government departments, financial, insurance and other industries, as well as large companies

Industry:
Financial, Government

Geo:
Ecuador, American, Panama, Colombian, Colombia, Turkish, America, German

IOCs:
IP: 1
Hash: 11
Domain: 1
Url: 2
File: 3
Registry: 1

Softs:
viotto binder, viottobinder

#ParsedReport #ExtractedSchema

Classified images:
code: 8, dump: 1, windows: 6, schema: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: APT-C-36 (Blind Eagle) - это вредоносная APT-организация, которая в течение последних 21 года атакует страны Южной Америки. Она постоянно обновляет свой арсенал и процесс атаки новыми полезными нагрузками и методами атаки, такими как зашифрованные самораспаковывающиеся сжатые пакеты и LNK-файлы, а также модифицировала код Viotto Binder с открытым исходным кодом для упаковки вредоносных файлов, которые они хотят выполнить. Конечные полезные нагрузки используются для внедрения в RegAsm.exe для запуска и в основном представляют собой бэкдор-программы NjRat.
-----

APT-C-36 (Blind Eagle) - это вредоносная организация APT, предположительно базирующаяся в Южной Америке. Она известна тем, что атакует правительственные ведомства Колумбии, финансовые, страховые и другие отрасли, а также крупные корпорации. Организация постоянно обновляет свои методы атак, добавляя новые полезные нагрузки, такие как NjRAT, ArrowRAT, ASyncRAT, Remcos, QuasarRAT и другие бэкдоры.

Метод атаки заключается в отправке фишинговых писем с обфусцированными файлами сценариев VBS, которые доставляют вредоносные файлы, такие как доставка команд, доставка вредоносных документов и поток атак с выполнением команд атаки проникновения. Организация постоянно оптимизирует поток атак, чтобы сделать его более эффективным. В последнее время APT-C-36 использует зашифрованные самораспаковывающиеся сжатые пакеты и LNK-файлы для проведения spear phishing-атак на целевые группы.

Злоумышленник отправляет PDF-файл, содержащий ссылку на вредоносный файл, по электронной почте и помечает пароль сжатия вредоносного сжатого файла в PDF-файле, чтобы заманить пользователя довериться и перейти по вредоносной ссылке, чтобы загрузить файл полезной нагрузки для распаковки и запуска. Код VBS запрашивает данные ресурса загрузчика с удаленного сервера для расшифровки, загрузки и запуска путем вызова Powershell. Выпущенный PE-файл представляет собой упакованный кейлоггер, который является программой Viotto Binder с открытым исходным кодом. Злоумышленник модифицирует код Viotto Binder с открытым исходным кодом, чтобы упаковать вредоносные файлы, которые он хочет выполнить. После запуска упакованного файла, он копирует основной файл в каталог "C:\Windows\SysWOW64\word", переименовывает его в "wordz.exe" и устанавливает для регистрации Table persistence (HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Remcos).

Viotto Keylogger имеет функции фильтрации указанного окна и кражи клавиатурного ввода пользователя указанного процесса пользователем, мониторинга экрана машины жертвы, мониторинга буфера обмена, возврата данных FTP и возврата данных электронной почты. После обработки данных полезной нагрузки она внедряется в RegAsm.exe для запуска, и конечной полезной нагрузкой является программа-бэкдор NjRat.