#rstcloud
Да, совсем забыл написать еще и здесь :)
У нас появился публичный фид по CVE и в каких TI-отчетах они упоминаются.
Пока данные с мая 2023, но осенью дополним по всем отчетам с марта 2022 г.

https://github.com/rstcloud/rstthreats/blob/master/tireports/tireports_cve_summary_2023.json

#rstcloud
В заключении коммерческих вбросов.
У нас есть несколько крупных клиентов, которые поставили наши url и ip с высокой степенью опасности (score) на периметровых NGFW в режим блокировки.
Вот уже прошел год, как у них работает данная схема, полет нормальный.
З.ы. С "ванильными" открытыми фидами я такого делать не советую :)

#technique

THE NIGHTMARE OF PROC HOLLOW’S EXE

https://www.trustedsec.com/blog/the-nightmare-of-proc-hollows-exe/

#ParsedReport #CompletenessLow
19-06-2023

Malicious code execution method using DNS TXT record

https://asec.ahnlab.com/ko/54337

Report completeness: Low

Threats:
Agent_tesla
Trojan/win.generic.r526355
Trojan/win.injector.c4641320

ChatGPT TTPs:
do not use without manual check
T1218, T1064, T1113, T1086, T1036, T1083

IOCs:
Domain: 1
File: 4
Hash: 3
Url: 8

Algorithms:
base64

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Злоумышленники недавно начали использовать записи DNS TXT для выполнения вредоносного кода путем отправки фишингового письма с файлом PPAM, который затем запрашивает запись DNS TXT для вредоносной программы InfoStealer на базе .Net. Это новое и тревожное событие в сфере угроз, и важно сохранять бдительность и знать об этой технике, чтобы защититься от потенциальных атак.
-----

Злоумышленники все чаще используют TXT-записи сервера доменных имен (DNS) для выполнения вредоносного кода. Записи DNS TXT - это функция, позволяющая администраторам доменов вводить текст в DNS, изначально предназначенный для человекочитаемых заметок. Теперь эти записи могут использоваться для хранения различных видов данных, в том числе для предотвращения спама и проверки владения доменом. Известно, что злоумышленники используют записи DNS TXT для подделки (спуфинга) домена, с которого они рассылают спам по электронной почте. Кроме того, владельцы доменов могут подтвердить свое право собственности, загрузив запись TXT, содержащую определенную информацию, или изменив существующую запись TXT.

Однако недавно злоумышленники применили новый подход к использованию записей DNS TXT для выполнения вредоносного кода. Эта атака начинается с фишингового письма, содержащего файл PPAM, который представляет собой исполняемый файл в PowerPoint, содержащий специальные функции, такие как пользовательские макросы и коды VBA. Когда макрос выполняется, он запускает инструмент управления nslookup через Powershell, а затем запрашивает запись DNS TXT. Код прост и не обфусцирован, но содержит команду на выполнение вредоносной программы в следующем процессе.

Запросив TXT-запись DNS, злоумышленник смог загрузить вредоносную программу InfoStealer на базе .Net, такую как AgentTesla, которая была закодирована в Base64. Это новый метод выполнения вредоносного кода, который ранее не встречался, и он является тревожным событием в сфере угроз. Важно сохранять бдительность и знать об этой технике, а также о других тактиках, используемых злоумышленниками, чтобы защититься от потенциальных атак.

#ParsedReport #CompletenessLow
19-06-2023

Swing VPN app is a DDOS botnet

https://lecromee.github.io/posts/swing_vpn_ddosing_sites

Report completeness: Low

Industry:
Telco, Government, Aerospace

Geo:
Russia, Turkmenistan, Emirates, Iran

IOCs:
File: 5

Softs:
appstore, android

Languages:
python, php

Platforms:
apple

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Swing VPN использовала свою базу пользователей для DDOS сайтов без их ведома или согласия, собирала деньги с пользователей и скрывала свои вредоносные действия, чтобы остаться незамеченной.
-----

Swing VPN - это мобильное приложение, которое предлагает своим пользователям услугу VPN. Недавно появились сообщения о том, что Swing VPN использует свою базу пользователей в качестве ботнета для DDOS сайтов. Это привело к тому, что некоторые люди писали, что DDOS не происходит на устройствах iOS. После дальнейшего расследования выяснилось, что приложение для iOS использовало другой способ работы VPN и не делало ничего подозрительного.

При дальнейшем исследовании приложения Swing VPN было обнаружено, что оно делает запросы к веб-сайту авиакомпании с определенными данными внутри полезной нагрузки запроса, что указывает на его намерение отправить запросы к конечной точке, которая будет сильно требовать ресурсов этого сайта. Также было обнаружено, что приложение запрашивало файлы конфигурации с различных персональных серверов, репозиториев Github и аккаунтов Google Drive. После получения конфигураций приложение подключалось к рекламной сети для загрузки рекламы. Приложение сохраняло эти данные в локальном кэше и приступало к DDOS-атаке на сайт, полученный из конфигурации. База установки Swing VPN на Android составляла более 5 миллионов пользователей с потенциалом в 500 тысяч RPS.

Также выяснилось, что приложение не заботится о конфиденциальности. Вместо того чтобы нажать кнопку "Я принимаю политику конфиденциальности" при открытии приложения, оно начинало отправлять данные пользователя в рекламную сеть без его согласия. Еще более тревожным был тот факт, что приложение загружало конфигурации с информацией о том, на какой сайт нужно совершить DDOS, и выполняло DDOS-программу, пока пользователь еще читал Политику конфиденциальности.

Путем обратного проектирования кода декодирования, расположенного в каталоге native libs с именем libnativelib.so, было обнаружено, что приложение пытается выяснить реальный IP-адрес, выполняя запросы к Google и Bing. Также было обнаружено, что имена файлов были построены в определенном порядке с префиксами A1, B1 и GLOBAL, чтобы разделить конфигурации на связанные с провайдером конфигурации. После расшифровки зашифрованных конфигурационных файлов выяснилось, что приложение пыталось атаковать некоторые правительственные сайты Туркменистана.

Вредоносные намерения создателя приложения были доказаны, когда выяснилось, что приложение использовало свою базу пользователей для DDOS-атаки на сайты без их ведома или согласия. Также было установлено, что приложение использовало различные техники для обфускации и сокрытия своих вредоносных действий, чтобы остаться незамеченным. Кроме того, приложение собирало деньги с пользователей, показывая им рекламу или продавая ежемесячные VIP-услуги.

#ParsedReport #CompletenessHigh
16-06-2023

eSentire Threat Intelligence Malware Analysis: Aurora Stealer

https://www.esentire.com/blog/esentire-threat-intelligence-malware-analysis-aurora-stealer

Report completeness: High

Threats:
Aurora
Cheshire_botnet
Hvnc_tool
Nmap_tool
Teamviewer_tool
Traffer
Raccoon_stealer
Vidar_stealer
Redline_stealer

Victims:
Manufacturing industry

Industry:
E-commerce, Financial

Geo:
America, Emea, Africa, Russian, Apac, Russia

TTPs:

IOCs:
File: 4
Command: 2
Hash: 3
IP: 4

Softs:
opera, mozilla firefox, chrome, telegram

Algorithms:
gzip, aes, zip, base64

Win API:
CreateCompatibleDC, GetDC, BitBlt, CryptProtectData, CryptUnprotectData

Languages:
python, golang

Platforms:
intel

YARA: Found

Links:
https://github.com/RussianPanda95/Configuration\_extractors/blob/main/aurora\_config\_extractor.py

#ParsedReport #ExtractedSchema

Classified images:
code: 16, table: 1, windows: 6, schema: 1, dump: 3

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея этого текста заключается в том, что отдел реагирования на угрозы eSentire (TRU) заметил рост заражений вредоносным ПО Aurora Stealer в производственной отрасли.
-----

С декабря 2022 года отдел реагирования на угрозы (TRU) компании eSentire отмечает рост числа заражений вредоносным ПО Aurora Stealer в производственной сфере. Aurora Stealer - это вредоносная программа для кражи данных, которая собирает конфиденциальную информацию, включая файлы cookie, данные автозаполнения и зашифрованные пароли из таких веб-браузеров, как Opera, Brave и Chrome. Она продается на русскоязычных форумах по цене $125USD за один месяц доступа, $300USD за 3 месяца доступа и $1,000USD за пожизненный доступ.

Aurora Stealer распространяется различными методами. Google Ads используется для создания поддельных установочных файлов Notepad++, TeamViewer, Nvidia Driver и т.д. Вредоносная программа также использует преимущества инсталляторов (Russian: ), трейдеров (Russian: ) и сервисов Pay-Per-Install (PPI). После того как пользователь перенаправляется на целевую страницу злоумышленника, ему предлагается загрузить вредоносную полезную нагрузку stealer. Крадун также может распространяться через уже зараженные узлы с помощью других семейств вредоносных программ, таких как трояны удаленного доступа (RAT).

Чтобы избежать обнаружения антивирусными сканерами, Aurora Stealer упаковывается нежелательными байтами для увеличения размера файла и его архивирования. Он также использует сертификат Extended Validation (EV) для защиты онлайн-общения и отображения зеленой адресной строки в браузере, чтобы указать, что сайт заслуживает доверия. Вредоносная программа написана на языке Golang, способна похитить более 90 криптокошельков и имеет встроенный модуль Loader. Вредоносная программа хранит свои конфигурации в base64-кодированном формате и отправляет логи на C2-сервер через стандартный порт 8081 в формате JSON, сжатом GZIP, base64-кодированном.

В марте 2023 года разработчик крадника выпустил первое обновление с октября 2022 года. Обновление добавило новые возможности, такие как возможность захвата учетных данных FTP и RDP и изменение портов для панели крадущего и связи C2. Оно также позволяло злоумышленнику указывать расширения и дисковые накопители для модуля граббера.

#ParsedReport #CompletenessLow
19-06-2023

Warning: Malware Disguised as a Security Update Installer Being Distributed

https://asec.ahnlab.com/en/54375

Report completeness: Low

Industry:
Government

IOCs:
File: 1
Hash: 1
Domain: 1

#ParsedReport #ExtractedSchema

Classified images:
windows: 8, schema: 2, code: 2

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: AhnLab и Объединенный совет по анализу и консультациям NCSC обнаружили вредоносную атаку, замаскированную под обновление системы безопасности, и выпустили предупреждение, призывающее пользователей с осторожностью относиться к незнакомому программному обеспечению. Они также создали защиту от будущих атак, чтобы защитить пользователей от вредоносных действий.
-----

Компания AhnLab в сотрудничестве с Объединенным советом по анализу и консультациям Национального центра кибербезопасности (NCSC) недавно обнаружила вредоносную деятельность хакерской группы, поддерживаемой определенным правительством. Вредоносная программа была замаскирована под программу установки обновлений безопасности и разработана с использованием программного обеспечения Inno Setup. Краткое описание программы приведено в таблице ниже.

При дальнейшем изучении файла сценария было обнаружено, что вредоносная программа была установлена в системный путь C:\ProgramData. Также было обнаружено, что она была зарегистрирована при запуске в области реестра, работая при этом в системе. Затем с зараженного компьютера была похищена системная информация и отправлена на командно-контрольный (C&C) сервер хакеров. Кроме того, хакеры смогли удаленно выполнить целый ряд дополнительных команд.

Inno Setup - это программное обеспечение, используемое для создания инсталляторов для программ Windows. Она позволяет разработчикам создавать инсталляторы для своих приложений и даже может использоваться для создания самораспаковывающихся архивов. Программа доступна бесплатно и широко используется многими разработчиками благодаря высокой степени настройки.

Когда AhnLab и Объединенный совет по анализу и консультациям NCSC обнаружили атаку, они немедленно выпустили предупреждение о вредоносной программе. Они призвали пользователей убедиться, что все обновления безопасности, которые они устанавливают, получены из надежного источника, и с опаской относиться к незнакомому программному обеспечению. Кроме того, они рекомендовали пользователям регулярно проверять свои системы на предмет любой подозрительной активности.

К сожалению, источник атаки остается неизвестным. AhnLab и NCSC совместно работают над анализом вредоносного ПО и созданием защиты от будущих атак. Однако опасность все еще сохраняется, и пользователи должны оставаться бдительными. Просвещая пользователей об опасности вредоносных программ и создавая средства защиты от потенциальных атак, AhnLab и NCSC надеются защитить пользователей от вредоносных действий и обезопасить их системы.

#ParsedReport #CompletenessLow
16-06-2023

OnlyDcRatFans: Malware Distributed Using Explicit Lures of OnlyFans Pages and Other Adult Content

https://www.esentire.com/blog/onlydcratfans-malware-distributed-using-explicit-lures-of-onlyfans-pages-and-other-adult-content

Report completeness: Low

Threats:
Dcrat
Asyncrat_rat
More_eggs

Geo:
Emea, America, Apac, Africa

ChatGPT TTPs:
do not use without manual check
T1113, T1059, T1064, T1083, T1053, T1086, T1047, T1112

IOCs:
Hash: 3
File: 5
IP: 1

Softs:
discord

Algorithms:
pbkdf2, zip

Functions:
replace

Win API:
CallWindowProcW, VirtualAlloc

Languages:
javascript

Platforms:
intel

Links:
https://github.com/qwqdanchun/DcRat

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: TRU выявили опасную угрозу под названием DcRAT, которая активно распространяется с помощью откровенных заманух для взрослых.
-----

Threat Response Unit (TRU) в мае 2023 года выявила DcRAT, клон AsyncRAT, у клиента из сферы бытовых услуг. DcRAT - это инструмент удаленного доступа с возможностями кражи информации и выкупа, который активно распространяется с помощью откровенных заманух на страницах OnlyFans и другого контента для взрослых. Вредоносная программа закодирована в шестнадцатеричном коде, перевернута и дополнена нежелательными символами, чтобы скрыть ее от обнаружения. Она внедряется в \Microsoft.NET\Framework\v4.0.30319\RegAsm.exe и использует объект DynamicWrapperX для загрузки CallWindowProcW из user32.dll и VirtualAlloc из kernel32.dll.

DcRAT имеет несколько плагинов, не предлагаемых в базовом репозитории AsyncRAT, включая кражу учетных данных и файлов cookie в браузере, кражу токенов Discord и плагин для выкупа. Плагин ransomware шифрует несистемные файлы и добавляет к имени файла .DcRat. Поскольку код DcRAT доступен на GitHub, он, скорее всего, будет отмечен антивирусными программами или песочницами вредоносных программ как AsyncRAT, поскольку большая часть кодовой базы совпадает. Однако значение соли PBKDF2 и мьютекс DC*string*RatMutexqwqdan3chun могут помочь быстро идентифицировать DcRAT.

Средства защиты с открытым исходным кодом и вредоносные программы обычно используются как низкоквалифицированными, так и сложными субъектами. Использование приманок, связанных с контентом для взрослых, снижает вероятность самоотчета жертв, а DcRAT предлагает множество способов монетизации зараженных систем. Общедоступные образцы, связанные с этой деятельностью, датируются январем 2023 года, что указывает на то, что операторы, вероятно, добились определенного успеха за этот шестимесячный период, используя комбинацию бесплатного вредоносного ПО и общеизвестного VBS-загрузчика.

#ParsedReport #CompletenessLow
19-06-2023

Evasive File Smuggling with Skyhook

https://www.blackhillsinfosec.com/evasive-file-smuggling-with-skyhook

Report completeness: Low

Threats:
File_smuggling_technique
Skyhook_tool
Glasses
Beacon
Imminentmonitor_rat

Victims:
Corporate workstations defended by signature-based perimeter controls

ChatGPT TTPs:
do not use without manual check
T1090, T1566.003, T1036, T1573.001, T1071.001, T1573.002

Softs:
docker

Algorithms:
aes, xor, base64

Functions:
REST

Languages:
javascript

Links:
https://github.com/SnaffCon/Snaffler
https://github.com/blackhillsinfosec/skyhook
https://github.com/blackhillsinfosec/skyhook-obfuscation

#ParsedReport #ExtractedSchema

Classified images:
dump: 1, windows: 8, schema: 2, code: 2

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея этого текста заключается в том, что Skyhook - это новый инструмент с открытым исходным кодом, доступный на GitHub, который устраняет два незначительных этапа The Obfuscation Hustle, обеспечивая при этом функциональность обфусцированной эксфильтрации файлов. Он эффективно избегает обнаружения IDPS или другими сетевыми средствами контроля и является отличным инструментом для операторов, которым необходимо эффективно и безопасно получить доступ к внутренней рабочей станции или передать файлы.
-----

Обфускация - это утомительный процесс, который используется для доставки файлов на корпоративные рабочие станции, защищенные сигнатурными средствами контроля периметра. Skyhook - это новый инструмент с открытым исходным кодом, доступный на GitHub, который устраняет два несущественных этапа The Hustle, обеспечивая при этом функциональность эксфильтрации файлов с обфускацией. Skyhook не повышает конфиденциальность передаваемых файлов, не обманывая средства контроля периметра, а служит способом обфускации данных достаточно долго, чтобы их можно было пронести мимо средств контроля, а затем деобфусцировать их перед записью на диск. Skyhook был разработан для того, чтобы сократить ручной труд по применению обфускации для обхода сетевого контроля, и позволяет пользователям настраивать различные алгоритмы шифрования для изменения содержимого при передаче. Skyhook предлагает четыре дополнительных метода обфускации, которые могут быть соединены в произвольном порядке: AES, XOR, Blowfish, Twofish. В нем также есть кнопка быстрого копирования, которая генерирует ссылки на службу передачи, содержащие динамически сгенерированные пути, созданные при получении конфигурационного файла командой создания Skyhook, а также ключи шифрования для JS-загрузчика. Сообщалось, что Skyhook эффективно избегает обнаружения IDPS или другими сетевыми средствами контроля во время тех немногих операций, в которых он использовался. Однако трудно определить его эффективность при наличии хорошо настроенных средств обнаружения. Skyhook - отличный инструмент для операторов, которым необходим эффективный и безопасный доступ к внутренней рабочей станции или передача файлов через безопасный и надежный метод доступа к сети.

#ParsedReport #CompletenessHigh
16-06-2023

eSentire Threat Intelligence Malware Analysis: Resident Campaign

https://www.esentire.com/blog/esentire-threat-intelligence-malware-analysis-resident-campaign

Report completeness: High

Actors/Campaigns:
Dev-0960

Threats:
Rhadamanthys
Teamviewer_tool
Cobalt_strike
Lolbas_technique
Tron
Beacon
Redline_stealer
Vidar_stealer

Industry:
Financial, Healthcare

Geo:
America, Africa, Russian, Ukraine, Russia, Apac, Emea

TTPs:

IOCs:
Domain: 1
Hash: 21
File: 25
Path: 5
Registry: 1
IP: 6
Url: 2
Command: 3

Softs:
wordpress, windows installer, autohotkey, task scheduler, irfanview, authy, keepass, pidgin, discord, telegram, have more...

Wallets:
auvitas, bitapp, crocobit, finnie, guild_wallet, iconex, jaxx, keplr, liquality_wallet, mtv_wallet, have more...

Crypto:
starcoin, binance, bitcoingold, dogecoin, ethereum, monero

Algorithms:
base64, rc4, aes-256, crc-32

Functions:
_ScreenCapture_SetJPGQuality, _ScreenCapture_Capture

Win API:
LoadLibraryA, CryptStringToBinaryA, CreateFileMappingA, MapViewOfFile, CreateToolhelp32Snapshot, CreateThread, SetThreadContext, CreateRemoteThread, RtlCreateUserThread, VirtualAllocEx, have more...

Languages:
autoit, python, php, visual_basic, javascript

Platforms:
intel

YARA: Found

#ParsedReport #ExtractedSchema

Classified images:
dump: 3, code: 23, table: 1, windows: 4, schema: 6

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Отдел реагирования на угрозы eSentire (TRU) обнаружил вредоносную кампанию, направленную на производственные, коммерческие и медицинские организации. Предполагается, что эта кампания проводится русскоязычными угрожающими субъектами и осуществляется через фишинговые электронные письма с вложениями PDF и взломанные веб-сайты, на которых размещаются полезные нагрузки JavaScript. Вредоносная полезная нагрузка включает пользовательский бэкдор, загрузчик Cobalt Strike, Windows-kill.exe, netping.exe, i_view32.exe и Rhadamanthys stealer.
-----

Отдел реагирования на угрозы eSentire (TRU) обнаружил вредоносную кампанию, направленную на производственные, коммерческие и медицинские организации, аналогичную той, о которой исследователи Trend Micro сообщили в декабре 2020 года. Предполагается, что эта кампания проводится русскоязычными субъектами угроз. Вредоносная полезная нагрузка распространяется через фишинговые электронные письма с PDF-вложениями и взломанные веб-сайты, содержащие полезную нагрузку JavaScript. Кампания получила название "Resident" в честь пользовательского бэкдора, полученного в ходе одной из установленных сессий с командно-контрольным (C2) сервером. Бэкдор обладает возможностями для достижения стойкости и развертывания вторичной полезной нагрузки.

Начальным вектором заражения является фишинговое электронное письмо, и угрожающие субъекты используют перехват электронной почты для доставки вредоносной полезной нагрузки с вложением в формате PDF. Вредоносная полезная нагрузка JavaScript обычно размещается на взломанных веб-сайтах WordPress. Вредоносная команда PowerShell извлекает и выполняет сценарий PowerShell с домена, размещенного злоумышленником. Вредоносной полезной нагрузкой является загрузчик Cobalt Strike, который способен перечислить процесс powershell.exe и запросить права доступа на чтение и запись к этому процессу.

Угрожающий агент(ы) также развернул инструмент бэкдора под названием resident2.exe, а также инструменты Windows-kill.exe и netping.exe. Кроме того, был запущен инструмент графического редактора i_view32.exe, чтобы сделать снимок экрана зараженного узла. Угрожающий агент попытался развернуть стеллер Rhadamanthys, который известен своими скрытными возможностями, эксфильтрацией системной информации, скриншотами, учетными данными браузера и cookies, криптокошельками, FTP, почтовыми клиентами и многим другим.