#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Недавние попытки эксплуатации решения MOVEit Transfer демонстрируют важность своевременного исправления известных уязвимостей и регулярного резервного копирования данных для защиты от злоумышленников.
-----

Cisco Talos отслеживает сообщения о попытках эксплуатации уязвимости нулевого дня SQL-инъекции (CVE-2023-34362) в решении для управляемой передачи файлов (MFT) MOVEit Transfer с конца мая 2023 года. В случае успешной эксплуатации уязвимость может позволить неаутентифицированным противникам выполнить произвольный код, что приведет к удаленному выполнению кода (RCE), который затем может быть использован для отключения антивирусных решений (AV) или развертывания полезной нагрузки вредоносного ПО. Группа разработчиков вымогательского ПО Clop взяла на себя ответственность за использование этой уязвимости для развертывания ранее невиданной веб-оболочки LemurLoot для утечки данных жертв и вымогательства платежей. Компания Microsoft также приписала эти атаки той же группе.

С момента обнаружения первой уязвимости в решениях MOVEit Transfer были найдены еще две: CVE-2023-35036 и CVE-2023-35708. Однако ни одна из них в настоящее время активно не эксплуатируется. 31 мая Progress Software Corporation выпустила консультацию по безопасности, предупреждающую клиентов о первой уязвимости, а для второй уязвимости были выпущены исправления и консультация.

Цепочка эксплойтов, используемая группой Clop ransomware для доступа к уязвимости MOVEit Transfer, использует SQL-инъекцию для получения токена API сисадмина, который затем может быть использован для вызова функции десериализации, не проверяющей должным образом входные данные, что позволяет удаленно выполнить код. LemurLoot предназначен для эксфильтрации данных и выполнения на системах с MOVEit Transfer, используя поле заголовка X-siLock-Step1 для получения команд от оператора. Есть две четко определенные команды: -1 и -2. Команда -1 получает системные настройки Azure из MOVEit Transfer и выполняет SQL-запросы для получения файлов, а команда -2 удаляет учетную запись пользователя с LoginName и RealName, установленными на "Health Check Service".

5 июня группа разработчиков вымогательского ПО Clop опубликовала заявление на своем сайте утечки данных Tor, взяв на себя ответственность за атаки и угрожая опубликовать данные жертв, если вымогательское требование не будет выполнено. Группа указала крайний срок - 14 июня - для жертв, чтобы начать контакт, иначе название их компании будет размещено на сайте утечки данных в качестве предупреждения. На данный момент данные не опубликованы, но они начали публично называть и позорить пострадавшие компании.

Недавние попытки эксплуатации решения MOVEit Transfer демонстрируют важность своевременного исправления известных уязвимостей. Очень важно, чтобы организации действовали быстро, чтобы их системы поддерживались в актуальном состоянии и чтобы любые новые уязвимости устранялись как можно скорее. Кроме того, организациям следует регулярно создавать резервные копии своих данных и внедрять решения безопасности, способные обнаруживать и блокировать вредоносные действия.

#ParsedReport #CompletenessLow
20-06-2023

Terminator EDR Killer (Spyboy) \| Detecting and Preventing a Windows BYOVD Attack

https://www.sentinelone.com/blog/terminator-edr-killer-spyboy-detecting-and-preventing-a-windows-byovd-attack

Report completeness: Low

Threats:
Terminator_tool
Byovd_technique

Geo:
Russian

IOCs:
Hash: 14

Algorithms:
sha1

Links:
https://github.com/irql0/CVE-2021-31728

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что русскоязычный хакер продвигает инструмент Terminator, который является вредоносным и способен обходить EDR и AV инструменты, убивая связанные процессы. Инструмент использует уязвимые драйверы для предоставления злоумышленникам привилегированного доступа к операционной системе, что позволяет им завершить любой процесс. Хакер продавал инструмент на одной из российских хакерских платформ по цене от 300 до 3000 долларов США.-----

Недавно русскоязычный хакер попал в заголовки газет благодаря продвижению инструмента Terminator. Этот вредоносный инструмент, как утверждается, способен обходить EDR и антивирусные инструменты, убивая связанные с ними процессы. Инструмент использует технику атаки Bring Your Own Vulnerable Driver (BYOVD), которая подразумевает установку драйверов, законно подписанных и загруженных в системы Windows, но имеющих уязвимости, которые могут быть использованы для выполнения кода в контексте ядра. Это дает злоумышленникам привилегированное положение, позволяющее обойти ограничения, накладываемые операционной системой на пользовательские процессы.

В данном случае Terminator использует уязвимые версии драйверов ядра антивируса Zemana для обеспечения возможности выполнения вредоносного кода, предоставленного злоумышленниками, в режиме ядра. Это дает злоумышленникам возможность завершать любые системные и пользовательские процессы, включая процессы механизмов обнаружения. Угрожающий агент, стоящий за инструментом, предлагал его на продажу на одной из российских хакерских платформ, причем цены варьировались от 300 долларов за обход конкретного антивирусного средства до 3000 долларов за универсальный killer EDR.

#ParsedReport #CompletenessLow
19-06-2023

RecordBreaker Infostealer Disguised as a .NET Installer

https://asec.ahnlab.com/en/54658

Report completeness: Low

Threats:
Record_breaker_stealer
Raccoon_stealer
Recordstealer
Vidar_stealer

ChatGPT TTPs:
do not use without manual check
T1036.003, T1059.003, T1140

IOCs:
File: 2
Url: 14
Hash: 33
IP: 1

Softs:
net framework

Algorithms:
xor

Languages:
rust

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Вредоносные программы, замаскированные под крэки, - все более распространенная проблема, сложность которой постоянно возрастает.
-----

RecordBreaker (Raccoon Stealer V2) Infostealer - это вредоносная программа в данном случае. Она крадет различную конфиденциальную информацию у пользователей в соответствии со значением конфигурации, полученным с сервера. Затем он отправляет эту информацию на C2, после чего завершает свою работу.

Центр экстренного реагирования на чрезвычайные ситуации AhnLab Security (ASEC) отслеживает вредоносные программы, распространяемые таким образом, с помощью автоматизированной системы. Соответствующая информация может быть подтверждена в режиме реального времени через их службу.

Вредоносное ПО, распространяемое под видом крэков, является серьезной проблемой, которая постоянно развивается. В прошлом вредоносные программы распространялись просто как исполняемый файл, однако в последнее время наметился сдвиг в сторону включения обычных файлов в сжатый файл. Этот конкретный образец отличается от ранее распространявшихся вредоносных программ тем, что он был написан на языке Rust и имел гораздо меньший размер - всего 20-50 МБ по сравнению с предыдущими образцами, которые раздувались до 3 ГБ.

Вредоносная программа способна определить, запущена ли она в виртуальной среде. Если это так, то вместо вредоносной программы она загружает обычный установщик .NET с официального сайта Microsoft. После загрузки программы установки она выполняется и завершается. Если вредоносная программа запущена в обычной пользовательской среде, зашифрованный файл вредоносной программы загружается с сервера угрожающего агента и затем выполняется.

Загруженный файл зашифрован с помощью XOR, ключ - Fm6L4G49fGoTN5Qg9vkEqN4THHncGzXRwaaSuzg2PZ8BXqnBHyx9Ppk2oDB3UEcY. Он расшифровывается, и после выполнения обычного процесса (addinprocess32.exe) происходит инъекция. Расшифрованный файл представляет собой вредоносную программу RecordStealer, и в нем не используются какие-либо отдельные методы упаковки. Однако секция кода вредоносной программы содержит значительное количество ненужных кодов вызовов API, затрудняющих анализ.

#ParsedReport #CompletenessLow
20-06-2023

Enter the BlackLotus: Analysis of the Latest UEFI Bootkit

https://socradar.io/enter-the-blacklotus-analysis-of-the-latest-uefi-bootkit

Report completeness: Low

Actors/Campaigns:
Fancy_bear
Axiom

Threats:
Blacklotus
Uac_bypass_technique

Victims:
Microsoft windows 11 systems

CVEs:
CVE-2022-21894 [Vulners]
CVSS V3.1: 4.4,
Vulners: Exploitation: Unknown
X-Force: Risk: 4.4
X-Force: Patch: Official fix
Soft:
- microsoft windows 10 (-, 1607, 1809, 1909, 20h2, 21h1, 21h2)
- microsoft windows server 2012 (r2, -)
- microsoft windows server 2016 (-)
- microsoft windows 8.1 (-)
- microsoft windows server 2019 (-)
have more...

Softs:
windows security, bitlocker

#ParsedReport #ExtractedSchema

Classified images:
schema: 2

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Буткит BlackLotus - это вредоносное программное обеспечение, которое продается на хакерских форумах с октября 2022 года и способно обходить Secure Boot в системах Microsoft Windows 11. Его можно устранить, переустановив Windows и отключив уязвимые двоичные файлы UEFI. Мониторинг субъектов угроз может помочь минимизировать риски от BlackLotus и других подобных вредоносных программ.
-----

Буткит BlackLotus - это вредоносная программа, которая продается на хакерских форумах с октября 2022 года и является первым известным буткитом, способным обойти Secure Boot в системах Microsoft Windows 11. Его размер составляет 80 кб, а стоимость покупки - 5000 долларов или 200 долларов для обновления. Вредоносная программа имеет защиту Ring0/Kernel от удаления и такие функции, как анти-VM, анти-отладка и обфускация кода.

Она позволяет обойти Secure Boot, эксплуатируя уязвимость CVE-2022-21894, которую Microsoft исправила в январе 2022 года, но не добавила уязвимые подписанные двоичные файлы в список отзыва UEFI. Атака начинается с программы установки, которая пытается повысить привилегии с помощью метода обхода UAC, затем вредоносные двоичные файлы и файлы с уязвимостью CVE-2022-21894 разворачиваются в системный раздел EFI, где при перезагрузке компьютера сохраняется MOK-ключ злоумышленника. Буткит развертывает HTTP-загрузчик, который связывается с C&C для выполнения полученных команд, загрузки и запуска полезной нагрузки.

Для устранения стойкого заражения буткитом BlackLotus необходимо переустановить Windows и с помощью утилиты mokutil удалить зарегистрированный злоумышленником ключ MOK. Также важно отключить уязвимые двоичные файлы UEFI, используемые для обхода UEFI Secure Boot, а также использовать продукты безопасности и поддерживать их и систему в актуальном состоянии. Мониторинг субъектов угроз, чтобы быть в курсе текущих угроз, может помочь минимизировать риски от BlackLotus и других вредоносных программ, таких как те, что исходят от APT28 (Fancy Bear) и APT41 (Double Dragon).

#ParsedReport #CompletenessMedium
20-06-2023

Unpacking RDStealer: An Exfiltration Malware Targeting RDP Workloads

https://www.bitdefender.com/blog/businessinsights/unpacking-rdstealer-an-exfiltration-malware-targeting-rdp-workloads

Report completeness: Medium

Actors/Campaigns:
Redcloud (motivation: cyber_espionage)
Lazarus

Threats:
Rdstealer
Logutil
Dll_sideloading_technique
Cobalt_strike
Asyncrat_rat
Shadowpad
Xshell_tool
Radrat_rat
Clay

Victims:
East asia

Geo:
Asia, China

ChatGPT TTPs:
do not use without manual check
T1036, T1055, T1036, T1083, T1071, T1078, T1090, T1105, T1059, T1085, have more...

IOCs:
Path: 14
File: 9

Softs:
esxi, keepass, google chrome, remote desktop connection manager, libreoffice

Algorithms:
zip

Functions:
WritePersist

Win API:
OpenClipboard, GetClipboardData, CryptUnprotectData

Languages:
rust, dotnet, php

Platforms:
x86

#ParsedReport #ExtractedSchema

Classified images:
windows: 2, schema: 1, table: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Недавно компания Bitdefender Labs обнаружила сложную шпионскую операцию, направленную на Восточную Азию, которая продолжается как минимум с начала 2022 года, с использованием специально разработанного вредоносного ПО, использующего ряд скрытных методов. Атака демонстрирует растущую сложность современных кибератак и необходимость создания архитектуры "защита в глубину" для защиты от них.
-----

Компания Bitdefender Labs недавно опубликовала исследование, в котором подробно описывается сложная операция по шпионажу, направленная на Восточную Азию и продолжающаяся по крайней мере с начала 2022 года. Злоумышленники не были связаны с конкретным субъектом угрозы, но цель совпадает с интересами групп, базирующихся в Китае. Вредоносное ПО, используемое в этой атаке, разработано на заказ и использует ряд скрытных методов, таких как боковая загрузка DLL и папки, исключенные из сканирования решениями безопасности.

Первая обнаруженная пользовательская вредоносная программа, RDStealer, специализируется на сборе данных, включая перехват содержимого буфера обмена и возможность перехвата клавиатуры. Она также способна отслеживать входящие соединения по протоколу удаленного рабочего стола (RDP) и компрометировать удаленную машину, если включено отображение клиентских дисков. RDStealer написан на языке программирования Go и использует несколько библиотек кода для обеспечения своей функциональности. После сбора данных с хоста RDStealer отправляет уведомление на командно-контрольный сервер (C2) о подключении клиента и начинает перекачку данных с подключенного RDP-клиента.

Кроме того, была обнаружена вторая пользовательская вредоносная программа под названием Logutil. Logutil также написан на языке Go и реализует возможности загрузки/выгрузки и выполнения команд. Он использует технику боковой загрузки DLL для обхода обнаружения, злоупотребляет службой Windows Management Instrumentation (Winmgmt) и может получать команды с удаленного C2-сервера путем выполнения HTTP GET-запроса.

Эта атака демонстрирует растущую сложность современных кибератак и необходимость создания архитектуры "защита в глубину" для защиты от них. Автоматизированные средства защиты должны быть развернуты на всех потенциальных точках входа, подверженных угрозам, включая антивирусы нового поколения, защиту репутации IP/URL/домена и защиту от ранее неизвестных угроз. Это даст пользователям возможность обнаруживать и блокировать большинство инцидентов безопасности до того, как они смогут нанести какой-либо ущерб.

#ParsedReport #CompletenessLow
20-06-2023

SeroXen Mechanisms: Exploring Distribution, Risks, and Impact

https://www.trendmicro.com/en_us/research/23/f/seroxen-mechanisms-exploring-distribution-risks-and-impact.html

Report completeness: Low

Threats:
Seroxen_rat
Batcloak_tool
Hvnc_tool
Jlaive_tool
Batcrypt
Crybat
Exe2bat_tool
Scrubcrypt

Victims:
Gamers playing popular titles such as roblox, valorant, counter strike, call of duty, and fortnite

Industry:
Financial, Entertainment

ChatGPT TTPs:
do not use without manual check
T1089, T1117, T1036, T1113, T1111

Softs:
tiktok, telegram, discord, roblox, photoshop, csgo, valorant, fortnite

Links:
https://github.com/topics/discord-token-grabber

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что киберпреступники используют вредоносные инструменты, такие как SeroXen и BatCloak, для распространения вредоносного ПО через различные платформы, в основном нацеленные на геймеров с целью кражи внутриигровых предметов.-----

SeroXen и BatCloak - это два вредоносных инструмента, предназначенных для уклонения от обнаружения, которые могут использоваться для развертывания вредоносных программ с высокой степенью уклонения. Используя методы обфускации FUD, киберпреступники смогли успешно распространить SeroXen и другие вредоносные программы через различные платформы и каналы, такие как YouTube, TikTok и популярные хакерские форумы. Этот тип вредоносного ПО продается с ежемесячным или пожизненным лицензионным ключом, часто с использованием криптовалюты. Анализ показал, что основной целью этих вредоносных кампаний являются геймеры с целью кражи внутриигровых предметов. Кроме того, сообщалось о тактике прямого вымогательства и угрозах жизни жертв через "прихлопывание".

#ParsedReport #CompletenessMedium
19-06-2023

Tsunami DDoS Malware Distributed to Linux SSH Servers

https://asec.ahnlab.com/en/54647

Report completeness: Medium

Actors/Campaigns:
Kono_dio_da

Threats:
Tsunami_botnet
Logcleaner_tool
Shellbot
Xmrig_miner
Chinaz
Kaiten
Mirai
Bashlite
Rshell
Synflood_technique
Ackflood_technique
Flooder
Udpflood_technique
Portscan_tool
Httpflood_technique

Victims:
Poorly managed linux ssh servers

Industry:
Iot

ChatGPT TTPs:
do not use without manual check
T1027, T1059, T1036, T1089, T1098, T1090, T1021, T1566

IOCs:
IP: 2
Domain: 7
File: 1
Coin: 1
Hash: 12

Softs:
docker, hadoop, unix

Crypto:
monero

Functions:
setuid, setgid

Languages:
perl

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: ASEC обнаружила кампанию вредоносных атак с использованием бота Tsunami DDoS Bot, направленную на устройства IoT и серверы Linux. Угрожающие субъекты, стоящие за этой кампанией, использовали комбинацию других вредоносных программ, включая ShellBot, XMRig CoinMiner и Log Cleaner. Вредоносные атаки включают попытки входа на серверы SSH с помощью словарных атак и выполнение вредоносных команд.
-----

Центр реагирования на чрезвычайные ситуации безопасности АнЛаб (ASEC) обнаружил кампанию вредоносных атак с участием бота Tsunami DDoS Bot. Этот вредоносный бот используется для атак на устройства Интернета вещей (IoT) и серверы Linux. Угрожающие субъекты, стоящие за этой кампанией, используют комбинацию других вредоносных программ, включая ShellBot, XMRig CoinMiner и Log Cleaner.

Эта атака начинается с того, что угрожающий субъект пытается войти на плохо управляемые SSH-серверы, осуществляя атаки по словарю. Если в системе Linux используются простые учетные данные (ID/PW), она может быть уязвима для атак методом перебора или атаки по словарю, что позволяет субъекту угрозы выполнять вредоносные команды. После успешного входа в систему угрожающий агент выполняет команду для загрузки и запуска различных типов вредоносного ПО. Ключевой файл представляет собой Bash-скрипт типа загрузчика, который устанавливает дополнительные вредоносные программы.

Tsunami является вариантом вредоносной программы Kaiten DDoS bot и модифицирован агентом угрозы, чтобы иметь имя "ddoser v0.69". Он использует протокол IRC для связи с C&C-серверами, записывает свой собственный путь в файл /etc/rc.local и изменяет имя своего процесса на "kworker/0:0", чтобы скрыться. Он собирает системную информацию, выполняет команды и открывает обратные оболочки. ShellBot также является IRC-ботом, который использует протокол IRC, как Tsunami, и распространяется в общедоступном Docker-контейнере вместе с Tsunami.

Log Cleaner - это инструмент, используемый для удаления или изменения определенных журналов в файлах журналов. Предполагается, что агент угрозы установил Log Cleaner, чтобы затруднить последующий анализ нарушения. Вредоносная программа Log Cleaner включает MIG Logcleaner v2.0 и 0x333shadow Log Cleaner. MIG LogCleaner способен принимать в качестве аргументов различные опции, как показано ниже, для удаления нужных журналов из систем Linux, Unix и BSD. Он также может удалять строки, содержащие определенную строку, заменять строку или добавлять новую строку.

Файл ping6 представляет собой вредоносную программу ELF с простой структурой, которая перед выполнением командной строки устанавливает идентификатор пользователя и идентификатор группы как учетную запись root. CoinMiner, установленный агентом угрозы, - это XMRig CoinMiner, который используется для добычи монет Monero для агента угрозы.

#ParsedReport #CompletenessLow
21-06-2023

Analysis of Ransomware With BAT File Extension Attacking MS-SQL Servers (Mallox)

https://asec.ahnlab.com/en/54704

Report completeness: Low

Threats:
Targetcompany
Remcos_rat
Process_hollowing_technique

Victims:
Poorly managed ms-sql servers

IOCs:
File: 4
Hash: 1
Url: 1

Softs:
ms-sql, windows powershell

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Бесфайловые атаки становятся все более распространенными, поэтому организациям следует знать о них и принимать меры по защите от них.
-----

Центр экстренного реагирования на чрезвычайные ситуации AhnLab Security Emergency Response Center (ASEC) недавно обнаружил программу-вымогатель Mallox с расширением файла BAT, распространяемую на плохо управляемых серверах MS-SQL. Это пример бесфайловой атаки, которая становится все более распространенной, поскольку вредоносные программы устанавливаются на плохо управляемые серверы баз данных MS-SQL.

На рисунке 1 в журнале ASD показан URL загрузки в деталях обнаружения как Tst.bat, а на рисунке 2 показано, как был загружен BAT-файл. Согласно журналу, этот процесс воспроизводится через AhnLab EDR для анализа поведения вымогательского ПО.

Плохо управляемые серверы MS-SQL обычно подвергаются атакам методом грубой силы и по словарю, когда учетные данные не были должным образом защищены. Серверы MS-SQL часто устанавливаются вместе в процессе установки ERP и бизнес-решений, а также непосредственно строятся как серверы баз данных.

#ParsedReport #CompletenessLow
21-06-2023

Fortinet Reverses Flutter-based Android Malware Fluhorse

https://www.fortinet.com/blog/threat-research/fortinet-reverses-flutter-based-android-malware-fluhorse

Report completeness: Low

Actors/Campaigns:
Moneymonger

Threats:
Fluhorse

Geo:
Asia

IOCs:
Hash: 20
Url: 3
File: 3

Softs:
android, flutter, openssl

Algorithms:
aes-128-cbc, sha256, zip, aes

Functions:
main

Platforms:
arm

Links:
https://github.com/dart-lang/sdk/blob/main/runtime/vm/constants\_x64.h#L22
https://github.com/shounakmulay/Telephony/blob/develop/lib/telephony.dart#L27
https://github.com/Impact-I/reFlutter/releases

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Android/Fluhorse - это недавно обнаруженное семейство вредоносных программ, использующих Flutter SDK для создания вредоносных приложений на различных платформах. Оно распространяется с вредоносного URL-адреса и заманивает жертв, заставляя их ввести свои учетные данные.
-----

Android/Fluhorse - это недавно обнаруженное семейство вредоносных программ, использующих Flutter SDK для создания приложений на различных платформах. Впервые эта вредоносная программа была замечена в мае 2023 года и имела базовую обфускацию, но образец, найденный в июне, был упакован, что указывает на дальнейшую зрелость. Она распространяется с вредоносного URL hxxps://fasd1 . oss-ap-southeast-1.aliyuncs.com/ETC .apk и была доступна в Азии с 12 июня. Эта вредоносная программа выдает себя за легитимное приложение для электронной системы оплаты проезда, используемой в Южной Азии, и заманивает жертв ввести свои учетные данные. Затем она крадет эти данные, а также коды 2FA (двухфакторной аутентификации), прослушивая входящие SMS и перенаправляя их на веб-сайт, контролируемый злоумышленниками. Жертвы могли загрузить эту вредоносную программу более 100 000 раз.

Вредоносный пакет Dart с именем sms_fluter содержит основную полезную нагрузку вредоносной программы (com.dsfdgfd.sdfsdf.MainActivity). Он использует пакет Dart Telephony, который позволяет ему прослушивать входящие SMS в фоновом режиме, отправлять сообщение на удаленный веб-сайт в асинхронной задаче и читать ответ. Обращение Flutter-приложений в статическое состояние - это прорыв для исследователей антивирусных программ, поскольку в будущем ожидается появление большего количества вредоносных Flutter-приложений. Необходимо наращивать опыт и совершенствовать инструменты для работы с этими образцами.

#ParsedReport #CompletenessMedium
21-06-2023

Graphican: Flea Uses New Backdoor in Attacks Targeting Foreign Ministries

https://symantec-enterprise-blogs.security.com/threat-intelligence/flea-backdoor-microsoft-graph-apt15

Report completeness: Medium

Actors/Campaigns:
Playful_taurus
Fancy_bear

Threats:
Graphican
Lolbin_technique
Ketrican
Bs2005
Graphite
Safetykatz_tool
Mimikatz_tool
Pypykatz_tool
Credential_dumping_technique
Pupykatz_tool
Lazagne
Quarks
Pwdump_tool
Sharpsecdump_tool
Impacket_tool
K8tools_tool
Ehole_tool
Antsword
Behinder
Chinachopper
Godzilla_loader

Industry:
Government, Ngo, Financial

Geo:
Russian, China, Americas, Chinese, America

CVEs:
CVE-2020-1472 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- microsoft windows server 2008 (r2)
- microsoft windows server 2012 (r2, -)
- microsoft windows server 2016 (-, 1903, 1909, 2004)
- microsoft windows server 2019 (-)
- fedoraproject fedora (31, 32, 33)
have more...

IOCs:
File: 1
Hash: 46
IP: 2
Domain: 5

Softs:
internet explorer, microsoft exchange

Algorithms:
sha256

Links:
https://github.com/AlessandroZ/LaZagne
https://github.com/gentilkiwi/mimikatz

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Группа Flea (она же APT15, Nickel), занимающаяся продвинутыми постоянными угрозами (APT), активна как минимум с 2004 года и нацелена на правительственные организации, дипломатические структуры и неправительственные организации (НПО). В последние годы известно, что группа использует различные инструменты, в том числе новый бэкдор Graphican, инструменты "living-of-the-land" и другие инструменты, ранее связанные с Flea. Эти инструменты и методы указывают на то, что группа остается активной и продолжает разрабатывать новые инструменты, несмотря на долгие годы своей деятельности.
-----

Группа передовых постоянных угроз (APT) Flea (она же APT15, Nickel) действует как минимум с 2004 года и считается крупной и хорошо обеспеченной ресурсами группой. В последнее время в центре ее внимания оказались Северная и Южная Америка, причем группа в основном нацелена на правительственные организации, дипломатические учреждения и неправительственные организации (НПО) с целью сбора разведданных. Известно, что для этого Flea использует электронную почту в качестве первоначального вектора заражения, а также эксплуатирует общедоступные приложения и использует VPN.

С конца 2022 по начало 2023 года Flea провела новую атакующую кампанию, направленную в основном на министерства иностранных дел в Северной и Южной Америке. Группа также атаковала финансовый департамент правительства в Северной и Южной Америке и корпорацию, продающую продукцию в Центральной и Южной Америке. Была также одна исключительная жертва, расположенная в одной из европейских стран, которая ранее, в июле 2022 года, подверглась, казалось бы, несвязанной атаке вымогательского ПО.

Злоумышленники использовали целый ряд инструментов, включая новый бэкдор Graphican, инструменты "living-of-the-land" и другие инструменты, ранее связанные с Flea. Graphican является развитием известного Flea бэкдора Ketrican и использует Microsoft Graph API и OneDrive для получения командно-контрольной инфраструктуры (C&C). Среди других используемых инструментов - EWSTEW, Mimikatz, Pypykatz, Safetykatz, Lazagne, Quarks PwDump, SharpSecDump, K8Tools, EHole, веб-оболочки и эксплойт CVE-2020-1472.

Использование Flea нового бэкдора указывает на то, что группа остается активной и продолжает разрабатывать новые инструменты, несмотря на долгие годы своей деятельности. Сходство функциональных возможностей Graphican и Ketrican, а также использование Microsoft Graph API и OneDrive для получения своего C&C-сервера может свидетельствовать о том, что группа не очень обеспокоена тем, что ей приписывают активность. Похоже, что интересы группы остаются такими же, какими они были в последние годы, даже несмотря на то, что ее инструменты и методы продолжают развиваться.