#ParsedReport #CompletenessLow
19-06-2023

Evasive File Smuggling with Skyhook

https://www.blackhillsinfosec.com/evasive-file-smuggling-with-skyhook

Report completeness: Low

Threats:
File_smuggling_technique
Skyhook_tool
Glasses
Beacon
Imminentmonitor_rat

Victims:
Corporate workstations defended by signature-based perimeter controls

ChatGPT TTPs:
do not use without manual check
T1090, T1566.003, T1036, T1573.001, T1071.001, T1573.002

Softs:
docker

Algorithms:
aes, xor, base64

Functions:
REST

Languages:
javascript

Links:
https://github.com/SnaffCon/Snaffler
https://github.com/blackhillsinfosec/skyhook
https://github.com/blackhillsinfosec/skyhook-obfuscation

#ParsedReport #ExtractedSchema

Classified images:
dump: 1, windows: 8, schema: 2, code: 2

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея этого текста заключается в том, что Skyhook - это новый инструмент с открытым исходным кодом, доступный на GitHub, который устраняет два незначительных этапа The Obfuscation Hustle, обеспечивая при этом функциональность обфусцированной эксфильтрации файлов. Он эффективно избегает обнаружения IDPS или другими сетевыми средствами контроля и является отличным инструментом для операторов, которым необходимо эффективно и безопасно получить доступ к внутренней рабочей станции или передать файлы.
-----

Обфускация - это утомительный процесс, который используется для доставки файлов на корпоративные рабочие станции, защищенные сигнатурными средствами контроля периметра. Skyhook - это новый инструмент с открытым исходным кодом, доступный на GitHub, который устраняет два несущественных этапа The Hustle, обеспечивая при этом функциональность эксфильтрации файлов с обфускацией. Skyhook не повышает конфиденциальность передаваемых файлов, не обманывая средства контроля периметра, а служит способом обфускации данных достаточно долго, чтобы их можно было пронести мимо средств контроля, а затем деобфусцировать их перед записью на диск. Skyhook был разработан для того, чтобы сократить ручной труд по применению обфускации для обхода сетевого контроля, и позволяет пользователям настраивать различные алгоритмы шифрования для изменения содержимого при передаче. Skyhook предлагает четыре дополнительных метода обфускации, которые могут быть соединены в произвольном порядке: AES, XOR, Blowfish, Twofish. В нем также есть кнопка быстрого копирования, которая генерирует ссылки на службу передачи, содержащие динамически сгенерированные пути, созданные при получении конфигурационного файла командой создания Skyhook, а также ключи шифрования для JS-загрузчика. Сообщалось, что Skyhook эффективно избегает обнаружения IDPS или другими сетевыми средствами контроля во время тех немногих операций, в которых он использовался. Однако трудно определить его эффективность при наличии хорошо настроенных средств обнаружения. Skyhook - отличный инструмент для операторов, которым необходим эффективный и безопасный доступ к внутренней рабочей станции или передача файлов через безопасный и надежный метод доступа к сети.

#ParsedReport #CompletenessHigh
16-06-2023

eSentire Threat Intelligence Malware Analysis: Resident Campaign

https://www.esentire.com/blog/esentire-threat-intelligence-malware-analysis-resident-campaign

Report completeness: High

Actors/Campaigns:
Dev-0960

Threats:
Rhadamanthys
Teamviewer_tool
Cobalt_strike
Lolbas_technique
Tron
Beacon
Redline_stealer
Vidar_stealer

Industry:
Financial, Healthcare

Geo:
America, Africa, Russian, Ukraine, Russia, Apac, Emea

TTPs:

IOCs:
Domain: 1
Hash: 21
File: 25
Path: 5
Registry: 1
IP: 6
Url: 2
Command: 3

Softs:
wordpress, windows installer, autohotkey, task scheduler, irfanview, authy, keepass, pidgin, discord, telegram, have more...

Wallets:
auvitas, bitapp, crocobit, finnie, guild_wallet, iconex, jaxx, keplr, liquality_wallet, mtv_wallet, have more...

Crypto:
starcoin, binance, bitcoingold, dogecoin, ethereum, monero

Algorithms:
base64, rc4, aes-256, crc-32

Functions:
_ScreenCapture_SetJPGQuality, _ScreenCapture_Capture

Win API:
LoadLibraryA, CryptStringToBinaryA, CreateFileMappingA, MapViewOfFile, CreateToolhelp32Snapshot, CreateThread, SetThreadContext, CreateRemoteThread, RtlCreateUserThread, VirtualAllocEx, have more...

Languages:
autoit, python, php, visual_basic, javascript

Platforms:
intel

YARA: Found

#ParsedReport #ExtractedSchema

Classified images:
dump: 3, code: 23, table: 1, windows: 4, schema: 6

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Отдел реагирования на угрозы eSentire (TRU) обнаружил вредоносную кампанию, направленную на производственные, коммерческие и медицинские организации. Предполагается, что эта кампания проводится русскоязычными угрожающими субъектами и осуществляется через фишинговые электронные письма с вложениями PDF и взломанные веб-сайты, на которых размещаются полезные нагрузки JavaScript. Вредоносная полезная нагрузка включает пользовательский бэкдор, загрузчик Cobalt Strike, Windows-kill.exe, netping.exe, i_view32.exe и Rhadamanthys stealer.
-----

Отдел реагирования на угрозы eSentire (TRU) обнаружил вредоносную кампанию, направленную на производственные, коммерческие и медицинские организации, аналогичную той, о которой исследователи Trend Micro сообщили в декабре 2020 года. Предполагается, что эта кампания проводится русскоязычными субъектами угроз. Вредоносная полезная нагрузка распространяется через фишинговые электронные письма с PDF-вложениями и взломанные веб-сайты, содержащие полезную нагрузку JavaScript. Кампания получила название "Resident" в честь пользовательского бэкдора, полученного в ходе одной из установленных сессий с командно-контрольным (C2) сервером. Бэкдор обладает возможностями для достижения стойкости и развертывания вторичной полезной нагрузки.

Начальным вектором заражения является фишинговое электронное письмо, и угрожающие субъекты используют перехват электронной почты для доставки вредоносной полезной нагрузки с вложением в формате PDF. Вредоносная полезная нагрузка JavaScript обычно размещается на взломанных веб-сайтах WordPress. Вредоносная команда PowerShell извлекает и выполняет сценарий PowerShell с домена, размещенного злоумышленником. Вредоносной полезной нагрузкой является загрузчик Cobalt Strike, который способен перечислить процесс powershell.exe и запросить права доступа на чтение и запись к этому процессу.

Угрожающий агент(ы) также развернул инструмент бэкдора под названием resident2.exe, а также инструменты Windows-kill.exe и netping.exe. Кроме того, был запущен инструмент графического редактора i_view32.exe, чтобы сделать снимок экрана зараженного узла. Угрожающий агент попытался развернуть стеллер Rhadamanthys, который известен своими скрытными возможностями, эксфильтрацией системной информации, скриншотами, учетными данными браузера и cookies, криптокошельками, FTP, почтовыми клиентами и многим другим.

#ParsedReport #CompletenessLow
19-06-2023

Case Study: cracking a global Adversary-In-The-Middle campaign using a threat intelligence toolkit

https://blog.sygnia.co/cracking-global-phishing-campaign-using-threat-intelligence-toolkit

Report completeness: Low

Actors/Campaigns:
Bronze_starlight
Energeticbear
Bec

Threats:
Aitm_technique
Nightsky
Cheerscrypt
Formbook

Industry:
Financial

Geo:
Australia

IOCs:
Domain: 5
IP: 1
File: 1

Softs:
office365, microsoft 365 defender

#ParsedReport #ExtractedSchema

Classified images:
windows: 7, table: 8, code: 1, schema: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Компания Sygnia недавно расследовала атаку Cheerscrypt ransomware, которая использовала TTPs Night Sky ransomware, и обнаружила, что она была частью более крупной атаки BEC.-----

Недавно компания Sygnia расследовала атаку Cheerscrypt ransomware, в которой использовалась технология Night Sky ransomware TTP. Дальнейший анализ показал, что эти два ребрендинга одной и той же угрожающей группы, которую Sygnia назвала Emperor Dragonfly, были частью более крупной BEC-атаки. Вначале субъект угрозы получил доступ к учетной записи одного из сотрудников жертвы и эксфильтрировал данные со скомпрометированной учетной записи. Затем он использовал свой доступ для распространения фишинговых атак на других сотрудников жертвы и несколько внешних целевых организаций.

Используя различные методы обогащения CTI, Sygnia смогла определить, что эта BEC-атака была лишь частью гораздо более широкой кампании, потенциально затрагивающей десятки организаций по всему миру. Чтобы помочь специалистам по безопасности проанализировать подозрительные и вредоносные IOC, с которыми они сталкиваются в ходе ежедневного мониторинга и обнаружения, Sygnia разработала набор инструментов для обогащения CTI.

Фишинговое письмо, отправленное сотруднику клиента, пришло с легитимного почтового ящика внешней компании, который, как предполагается, был ранее взломан. Фишинговое письмо содержало ссылку, ведущую на страницу запроса обмена файлами, которая располагалась на предполагаемом взломанном домене. После прохождения проверки I'm not a robot, организованной Cloudflare, жертва была направлена на мошенническую страницу аутентификации Office365, созданную фишинговым набором. После того как жертва ввела свои учетные данные, фишинговый набор инициировал атаку Adversary in the Middle (AiTM), перенаправляя клиентскую аутентификацию и вызов MFA в легитимную службу аутентификации Microsoft, при этом похищая полученный токен сессии, а также учетные данные для доступа к учетной записи.

Затем угрожающий субъект вошел в учетную запись жертвы, используя украденный токен, и добавил новое устройство MFA, чтобы получить постоянный доступ. Он использовал этот доступ для отправки новых фишинговых писем с вредоносной ссылкой десяткам сотрудников клиента, а также другим целевым организациям. Запись WHOIS домена, на котором размещена фишинговая страница, была обновлена 2 июня 2022 года и зарегистрирована на имя NAMECHEAP INC с ограничениями конфиденциальности. Запрос на вредоносный IP с помощью RiskIQ дал несколько результатов, а запрос на связи IP с помощью VirusTotal обнаружил около 100 вредоносных файлов с недавними загрузками, связанных с ним. Некоторые из этих файлов оказались связаны с семейством вредоносных программ FormBook.

#ParsedReport #CompletenessLow
19-06-2023

Fragments of Cross-Platform Backdoor Hint at Larger Mac OS Attack

https://www.bitdefender.com/blog/labs/fragments-of-cross-platform-backdoor-hint-at-larger-mac-os-attack

Report completeness: Low

Threats:
JokerSpy

Victims:
Mac os, windows and linux-based operating systems

TTPs:
Tactics: 1
Technics: 0

IOCs:
Hash: 6
File: 4

Softs:
mac os, macos

Algorithms:
base64, sha1

Functions:
load_setting, CGPreflightScreenCaptureAccess

Languages:
python

Platforms:
arm, intel, x86, apple

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Наши исследователи Mac недавно обнаружили набор инструментов вредоносного ПО, который нацелен на несколько операционных систем и извлекает конкретные сведения о системе жертвы. Вредоносные субъекты, стоящие за этой атакой, использовали специальную подпись для своих файлов и жестко закодировали командно-контрольный сервер в одном из бэкдоров, чтобы остаться незамеченными.
-----

Наши исследователи Mac недавно обнаружили набор файлов с возможностями бэкдора, которые, по-видимому, являются частью более сложного набора инструментов вредоносного ПО. Выделенные образцы представляли собой общие бэкдоры, написанные на языке Python и предназначенные для операционных систем на базе Mac OS, Windows и Linux. Бэкдор sh.py мог сохранять параметры конфигурации в файле \~/Public/Safari/sar.dat после кодирования их в base64. Этот бэкдор также имел функцию 'get_basic_information' для извлечения специфических сведений о системе, таких как имя хоста, имя пользователя, версия ОС и версия Python. Третий компонент представлял собой двоичный файл FAT, содержащий файлы Mach-O для архитектур x86 Intel и ARM M1 и был написан на языке Swift. Он был предназначен для проверки разрешений перед использованием потенциально шпионского компонента, но не включал его.

Командно-контрольный сервер был жестко закодирован в бэкдоре share.dat Python, а первое упоминание о домене датируется 10 февраля 2023 года. Продукты Bitdefender идентифицировали компоненты Python как Trojan.Python.JokerSpy, а двоичные файлы Mach-O как Trojan.MAC.JokerSpy.

Эти находки указывают на то, что исследованный нами набор инструментов вредоносного ПО был частью гораздо более масштабной атаки, в которой могут присутствовать и другие компоненты, которые пока не обнаружены. Хотя анализ еще не завершен, ясно, что этот конкретный набор инструментов был разработан для атаки на несколько операционных систем и извлечения конкретных сведений о системе жертвы. Похоже, что злоумышленники, стоящие за этой атакой, хотели остаться незамеченными, используя специальную подпись для своих файлов и жестко кодируя сервер командного управления в одном из бэкдоров.

#ParsedReport #CompletenessLow
16-06-2023

Cisco Talos Intelligence Blog. Active exploitation of the MOVEit Transfer vulnerability - CVE-2023-34362 - by Clop ransomware group

https://blog.talosintelligence.com/active-exploitation-of-moveit

Report completeness: Low

Threats:
Clop
Lemurloot

Victims:
Progress software corporation, customers of their moveit transfer solution

Industry:
Healthcare, Financial

CVEs:
CVE-2023-35036 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: Unknown
X-Force: Risk: 6.5
X-Force: Patch: Official fix
Soft:
- progress moveit transfer (<2023.0.2, <2022.1.6, <2022.0.5, <2021.1.5, <2021.0.7)

CVE-2023-35708 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: 9.8
X-Force: Patch: Official fix

CVE-2023-34362 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- progress moveit cloud (<15.0.2.39, <14.0.5.45, <14.1.6.97)
- progress moveit transfer (<2023.0.2, <2022.1.6, <2022.0.5, <2021.1.5, <2021.0.7, le2020.1.6)


ChatGPT TTPs:
do not use without manual check
T1218.003, T1059.003, T1090, T1140

IOCs:
Hash: 9

Softs:
moveit

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Недавние попытки эксплуатации решения MOVEit Transfer демонстрируют важность своевременного исправления известных уязвимостей и регулярного резервного копирования данных для защиты от злоумышленников.
-----

Cisco Talos отслеживает сообщения о попытках эксплуатации уязвимости нулевого дня SQL-инъекции (CVE-2023-34362) в решении для управляемой передачи файлов (MFT) MOVEit Transfer с конца мая 2023 года. В случае успешной эксплуатации уязвимость может позволить неаутентифицированным противникам выполнить произвольный код, что приведет к удаленному выполнению кода (RCE), который затем может быть использован для отключения антивирусных решений (AV) или развертывания полезной нагрузки вредоносного ПО. Группа разработчиков вымогательского ПО Clop взяла на себя ответственность за использование этой уязвимости для развертывания ранее невиданной веб-оболочки LemurLoot для утечки данных жертв и вымогательства платежей. Компания Microsoft также приписала эти атаки той же группе.

С момента обнаружения первой уязвимости в решениях MOVEit Transfer были найдены еще две: CVE-2023-35036 и CVE-2023-35708. Однако ни одна из них в настоящее время активно не эксплуатируется. 31 мая Progress Software Corporation выпустила консультацию по безопасности, предупреждающую клиентов о первой уязвимости, а для второй уязвимости были выпущены исправления и консультация.

Цепочка эксплойтов, используемая группой Clop ransomware для доступа к уязвимости MOVEit Transfer, использует SQL-инъекцию для получения токена API сисадмина, который затем может быть использован для вызова функции десериализации, не проверяющей должным образом входные данные, что позволяет удаленно выполнить код. LemurLoot предназначен для эксфильтрации данных и выполнения на системах с MOVEit Transfer, используя поле заголовка X-siLock-Step1 для получения команд от оператора. Есть две четко определенные команды: -1 и -2. Команда -1 получает системные настройки Azure из MOVEit Transfer и выполняет SQL-запросы для получения файлов, а команда -2 удаляет учетную запись пользователя с LoginName и RealName, установленными на "Health Check Service".

5 июня группа разработчиков вымогательского ПО Clop опубликовала заявление на своем сайте утечки данных Tor, взяв на себя ответственность за атаки и угрожая опубликовать данные жертв, если вымогательское требование не будет выполнено. Группа указала крайний срок - 14 июня - для жертв, чтобы начать контакт, иначе название их компании будет размещено на сайте утечки данных в качестве предупреждения. На данный момент данные не опубликованы, но они начали публично называть и позорить пострадавшие компании.

Недавние попытки эксплуатации решения MOVEit Transfer демонстрируют важность своевременного исправления известных уязвимостей. Очень важно, чтобы организации действовали быстро, чтобы их системы поддерживались в актуальном состоянии и чтобы любые новые уязвимости устранялись как можно скорее. Кроме того, организациям следует регулярно создавать резервные копии своих данных и внедрять решения безопасности, способные обнаруживать и блокировать вредоносные действия.

#ParsedReport #CompletenessLow
20-06-2023

Terminator EDR Killer (Spyboy) \| Detecting and Preventing a Windows BYOVD Attack

https://www.sentinelone.com/blog/terminator-edr-killer-spyboy-detecting-and-preventing-a-windows-byovd-attack

Report completeness: Low

Threats:
Terminator_tool
Byovd_technique

Geo:
Russian

IOCs:
Hash: 14

Algorithms:
sha1

Links:
https://github.com/irql0/CVE-2021-31728

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что русскоязычный хакер продвигает инструмент Terminator, который является вредоносным и способен обходить EDR и AV инструменты, убивая связанные процессы. Инструмент использует уязвимые драйверы для предоставления злоумышленникам привилегированного доступа к операционной системе, что позволяет им завершить любой процесс. Хакер продавал инструмент на одной из российских хакерских платформ по цене от 300 до 3000 долларов США.-----

Недавно русскоязычный хакер попал в заголовки газет благодаря продвижению инструмента Terminator. Этот вредоносный инструмент, как утверждается, способен обходить EDR и антивирусные инструменты, убивая связанные с ними процессы. Инструмент использует технику атаки Bring Your Own Vulnerable Driver (BYOVD), которая подразумевает установку драйверов, законно подписанных и загруженных в системы Windows, но имеющих уязвимости, которые могут быть использованы для выполнения кода в контексте ядра. Это дает злоумышленникам привилегированное положение, позволяющее обойти ограничения, накладываемые операционной системой на пользовательские процессы.

В данном случае Terminator использует уязвимые версии драйверов ядра антивируса Zemana для обеспечения возможности выполнения вредоносного кода, предоставленного злоумышленниками, в режиме ядра. Это дает злоумышленникам возможность завершать любые системные и пользовательские процессы, включая процессы механизмов обнаружения. Угрожающий агент, стоящий за инструментом, предлагал его на продажу на одной из российских хакерских платформ, причем цены варьировались от 300 долларов за обход конкретного антивирусного средства до 3000 долларов за универсальный killer EDR.

#ParsedReport #CompletenessLow
19-06-2023

RecordBreaker Infostealer Disguised as a .NET Installer

https://asec.ahnlab.com/en/54658

Report completeness: Low

Threats:
Record_breaker_stealer
Raccoon_stealer
Recordstealer
Vidar_stealer

ChatGPT TTPs:
do not use without manual check
T1036.003, T1059.003, T1140

IOCs:
File: 2
Url: 14
Hash: 33
IP: 1

Softs:
net framework

Algorithms:
xor

Languages:
rust

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Вредоносные программы, замаскированные под крэки, - все более распространенная проблема, сложность которой постоянно возрастает.
-----

RecordBreaker (Raccoon Stealer V2) Infostealer - это вредоносная программа в данном случае. Она крадет различную конфиденциальную информацию у пользователей в соответствии со значением конфигурации, полученным с сервера. Затем он отправляет эту информацию на C2, после чего завершает свою работу.

Центр экстренного реагирования на чрезвычайные ситуации AhnLab Security (ASEC) отслеживает вредоносные программы, распространяемые таким образом, с помощью автоматизированной системы. Соответствующая информация может быть подтверждена в режиме реального времени через их службу.

Вредоносное ПО, распространяемое под видом крэков, является серьезной проблемой, которая постоянно развивается. В прошлом вредоносные программы распространялись просто как исполняемый файл, однако в последнее время наметился сдвиг в сторону включения обычных файлов в сжатый файл. Этот конкретный образец отличается от ранее распространявшихся вредоносных программ тем, что он был написан на языке Rust и имел гораздо меньший размер - всего 20-50 МБ по сравнению с предыдущими образцами, которые раздувались до 3 ГБ.

Вредоносная программа способна определить, запущена ли она в виртуальной среде. Если это так, то вместо вредоносной программы она загружает обычный установщик .NET с официального сайта Microsoft. После загрузки программы установки она выполняется и завершается. Если вредоносная программа запущена в обычной пользовательской среде, зашифрованный файл вредоносной программы загружается с сервера угрожающего агента и затем выполняется.

Загруженный файл зашифрован с помощью XOR, ключ - Fm6L4G49fGoTN5Qg9vkEqN4THHncGzXRwaaSuzg2PZ8BXqnBHyx9Ppk2oDB3UEcY. Он расшифровывается, и после выполнения обычного процесса (addinprocess32.exe) происходит инъекция. Расшифрованный файл представляет собой вредоносную программу RecordStealer, и в нем не используются какие-либо отдельные методы упаковки. Однако секция кода вредоносной программы содержит значительное количество ненужных кодов вызовов API, затрудняющих анализ.

#ParsedReport #CompletenessLow
20-06-2023

Enter the BlackLotus: Analysis of the Latest UEFI Bootkit

https://socradar.io/enter-the-blacklotus-analysis-of-the-latest-uefi-bootkit

Report completeness: Low

Actors/Campaigns:
Fancy_bear
Axiom

Threats:
Blacklotus
Uac_bypass_technique

Victims:
Microsoft windows 11 systems

CVEs:
CVE-2022-21894 [Vulners]
CVSS V3.1: 4.4,
Vulners: Exploitation: Unknown
X-Force: Risk: 4.4
X-Force: Patch: Official fix
Soft:
- microsoft windows 10 (-, 1607, 1809, 1909, 20h2, 21h1, 21h2)
- microsoft windows server 2012 (r2, -)
- microsoft windows server 2016 (-)
- microsoft windows 8.1 (-)
- microsoft windows server 2019 (-)
have more...

Softs:
windows security, bitlocker

#ParsedReport #ExtractedSchema

Classified images:
schema: 2

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Буткит BlackLotus - это вредоносное программное обеспечение, которое продается на хакерских форумах с октября 2022 года и способно обходить Secure Boot в системах Microsoft Windows 11. Его можно устранить, переустановив Windows и отключив уязвимые двоичные файлы UEFI. Мониторинг субъектов угроз может помочь минимизировать риски от BlackLotus и других подобных вредоносных программ.
-----

Буткит BlackLotus - это вредоносная программа, которая продается на хакерских форумах с октября 2022 года и является первым известным буткитом, способным обойти Secure Boot в системах Microsoft Windows 11. Его размер составляет 80 кб, а стоимость покупки - 5000 долларов или 200 долларов для обновления. Вредоносная программа имеет защиту Ring0/Kernel от удаления и такие функции, как анти-VM, анти-отладка и обфускация кода.

Она позволяет обойти Secure Boot, эксплуатируя уязвимость CVE-2022-21894, которую Microsoft исправила в январе 2022 года, но не добавила уязвимые подписанные двоичные файлы в список отзыва UEFI. Атака начинается с программы установки, которая пытается повысить привилегии с помощью метода обхода UAC, затем вредоносные двоичные файлы и файлы с уязвимостью CVE-2022-21894 разворачиваются в системный раздел EFI, где при перезагрузке компьютера сохраняется MOK-ключ злоумышленника. Буткит развертывает HTTP-загрузчик, который связывается с C&C для выполнения полученных команд, загрузки и запуска полезной нагрузки.

Для устранения стойкого заражения буткитом BlackLotus необходимо переустановить Windows и с помощью утилиты mokutil удалить зарегистрированный злоумышленником ключ MOK. Также важно отключить уязвимые двоичные файлы UEFI, используемые для обхода UEFI Secure Boot, а также использовать продукты безопасности и поддерживать их и систему в актуальном состоянии. Мониторинг субъектов угроз, чтобы быть в курсе текущих угроз, может помочь минимизировать риски от BlackLotus и других вредоносных программ, таких как те, что исходят от APT28 (Fancy Bear) и APT41 (Double Dragon).

#ParsedReport #CompletenessMedium
20-06-2023

Unpacking RDStealer: An Exfiltration Malware Targeting RDP Workloads

https://www.bitdefender.com/blog/businessinsights/unpacking-rdstealer-an-exfiltration-malware-targeting-rdp-workloads

Report completeness: Medium

Actors/Campaigns:
Redcloud (motivation: cyber_espionage)
Lazarus

Threats:
Rdstealer
Logutil
Dll_sideloading_technique
Cobalt_strike
Asyncrat_rat
Shadowpad
Xshell_tool
Radrat_rat
Clay

Victims:
East asia

Geo:
Asia, China

ChatGPT TTPs:
do not use without manual check
T1036, T1055, T1036, T1083, T1071, T1078, T1090, T1105, T1059, T1085, have more...

IOCs:
Path: 14
File: 9

Softs:
esxi, keepass, google chrome, remote desktop connection manager, libreoffice

Algorithms:
zip

Functions:
WritePersist

Win API:
OpenClipboard, GetClipboardData, CryptUnprotectData

Languages:
rust, dotnet, php

Platforms:
x86