#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Группа Flea (она же APT15, Nickel), занимающаяся продвинутыми постоянными угрозами (APT), активна как минимум с 2004 года и нацелена на правительственные организации, дипломатические структуры и неправительственные организации (НПО). В последние годы известно, что группа использует различные инструменты, в том числе новый бэкдор Graphican, инструменты "living-of-the-land" и другие инструменты, ранее связанные с Flea. Эти инструменты и методы указывают на то, что группа остается активной и продолжает разрабатывать новые инструменты, несмотря на долгие годы своей деятельности.
-----

Группа передовых постоянных угроз (APT) Flea (она же APT15, Nickel) действует как минимум с 2004 года и считается крупной и хорошо обеспеченной ресурсами группой. В последнее время в центре ее внимания оказались Северная и Южная Америка, причем группа в основном нацелена на правительственные организации, дипломатические учреждения и неправительственные организации (НПО) с целью сбора разведданных. Известно, что для этого Flea использует электронную почту в качестве первоначального вектора заражения, а также эксплуатирует общедоступные приложения и использует VPN.

С конца 2022 по начало 2023 года Flea провела новую атакующую кампанию, направленную в основном на министерства иностранных дел в Северной и Южной Америке. Группа также атаковала финансовый департамент правительства в Северной и Южной Америке и корпорацию, продающую продукцию в Центральной и Южной Америке. Была также одна исключительная жертва, расположенная в одной из европейских стран, которая ранее, в июле 2022 года, подверглась, казалось бы, несвязанной атаке вымогательского ПО.

Злоумышленники использовали целый ряд инструментов, включая новый бэкдор Graphican, инструменты "living-of-the-land" и другие инструменты, ранее связанные с Flea. Graphican является развитием известного Flea бэкдора Ketrican и использует Microsoft Graph API и OneDrive для получения командно-контрольной инфраструктуры (C&C). Среди других используемых инструментов - EWSTEW, Mimikatz, Pypykatz, Safetykatz, Lazagne, Quarks PwDump, SharpSecDump, K8Tools, EHole, веб-оболочки и эксплойт CVE-2020-1472.

Использование Flea нового бэкдора указывает на то, что группа остается активной и продолжает разрабатывать новые инструменты, несмотря на долгие годы своей деятельности. Сходство функциональных возможностей Graphican и Ketrican, а также использование Microsoft Graph API и OneDrive для получения своего C&C-сервера может свидетельствовать о том, что группа не очень обеспокоена тем, что ей приписывают активность. Похоже, что интересы группы остаются такими же, какими они были в последние годы, даже несмотря на то, что ее инструменты и методы продолжают развиваться.

#ParsedReport #CompletenessLow
21-06-2023

Kimsuky Distributing CHM Malware Under Various Subjects

https://asec.ahnlab.com/en/54678

Report completeness: Low

Actors/Campaigns:
Kimsuky

Threats:
Trojan/bat.runner
Trojan/vbs.runner
Infostealer/bat.generic
Infostealer/vbs.generic

Industry:
Financial

Geo:
Korea

ChatGPT TTPs:
do not use without manual check
T1055, T1056, T1036, T1218

IOCs:
File: 21
Path: 2
Registry: 1
Url: 4
Hash: 10

Softs:
curl

#ParsedReport #ExtractedSchema

Classified images:
windows: 10, code: 4, schema: 2

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Группа Kimsuky распространяет вредоносное ПО через файлы CHM, которые выглядят как обычные окна справки. Эти файлы могут передавать данные пользователя, что позволяет группе осуществлять более сложные атаки. Чтобы защитить себя, пользователи должны знать о рисках и принимать меры по защите, например, дважды проверять электронные письма из неизвестных источников и регулярно проводить проверку ПК.
-----

Центр реагирования на чрезвычайные ситуации безопасности АнЛаб (ASEC) внимательно следил за деятельностью группы Kimsuky, продвинутой группы постоянных угроз (APT), в течение последнего месяца мая. Традиционно эта группа распространяла вредоносное ПО через документы, но в последнее время она экспериментирует и с файлами CHM. CHM-файлы выглядят как обычные окна справки, что затрудняет для пользователей их отличить от легитимных файлов. Темы этих CHM-файлов варьируются в зависимости от того, на кого они направлены.

Когда пользователь открывает CHM-файл, вредоносные команды выполняются через объект ярлыка. Этот объект вызывает другой скрипт, который загружает два дополнительных вредоносных файла: BAT-файл и CAB-файл. Файл BAT обеспечивает утечку данных пользователя, а файл CAB загружает больше вредоносных программ, что позволяет группе осуществлять более сложные атаки. Похоже, что группа также проверяет украденные данные пользователей и загружает дополнительные вредоносные файлы только тогда, когда система становится целью.

В связи с характером этих атак пользователи должны знать о рисках и принять меры для защиты. Важно дважды проверять электронные письма из неизвестных источников и избегать открытия любых подозрительных файлов. Кроме того, пользователи должны регулярно проверять ПК и следить за тем, чтобы их продукты безопасности всегда были в актуальном состоянии. Таким образом, они могут свести к минимуму вероятность стать жертвой этих атак.

#ParsedReport #CompletenessMedium
21-06-2023

Key takeaways. Initial research exposing JOKERSPY

https://www.elastic.co/security-labs/inital-research-of-jokerspy

Report completeness: Medium

Actors/Campaigns:
Ref9134

Threats:
Jokerspy
Swiftbelt_tool
Seth_locker
Seatbelt_tool

Victims:
Japanese cryptocurrency exchange

Geo:
Japanese, Japan

TTPs:
Tactics: 6
Technics: 0

IOCs:
Domain: 1
Hash: 3
File: 4

Softs:
macos

Crypto:
bitcoin, ethereum

Algorithms:
base64, sha256

Languages:
python

Platforms:
apple

YARA: Found

Links:
https://github.com/elastic/protections-artifacts/blob/main/behavior/rules/privilege\_escalation\_potential\_privilege\_escalation\_via\_tcc\_bypass\_with\_fake\_tcc.db.toml
https://github.com/elastic/protections-artifacts/blob/main/yara/rules/MacOS\_Hacktool\_Swiftbelt.yar
https://github.com/GhostPack/Seatbelt
https://github.com/elastic/endpoint-rules/blob/1006a4d9a3d95e35149a3640fadf68a32c02afa9/rules/execution\_dylib\_extracted\_to\_new\_directory.toml#L10

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Группа угроз под названием JOKERSPY пытается использовать японскую криптовалютную биржу, используя пользовательские инструменты с открытым исходным кодом для разведки и управления. Их первоначальный доступ, скорее всего, был получен через вредоносный или заблокированный плагин или зависимость от третьей стороны.
-----

REF9134 - это вторжение в японского поставщика криптовалютных услуг, которое было обнаружено Elastic Security Labs в конце мая 2023 года. Первоначальный доступ для этой вредоносной программы, скорее всего, был получен через вредоносный или отключенный плагин или зависимость от третьей стороны, которая позволила агенту угрозы получить доступ. Вредоносная программа использовала sh.py - бэкдор на языке Python, применяемый для развертывания и выполнения других возможностей пост-эксплуатации, таких как Swiftbelt - инструмент перечисления данных после эксплойта macOS с открытым исходным кодом.

Бэкдор sh.py загружает свою конфигурацию из файла \~/Public/Safari/sar.dat, который содержит такие важные элементы, как URL-адреса команд и управления (C2), таймер сна для целей маячка и уникальный девятизначный идентификатор, присвоенный каждому агенту. Вредоносная программа собирает и передает различную системную информацию, включая имя хоста, имя пользователя, имя домена, текущий каталог, абсолютный путь исполняемого бинарного файла, версию ОС, является ли ОС 64-битной, 64-битный процесс и версию Python.

Вторжение было обнаружено оповещением конечной точки, которое зафиксировало выполнение двоичного файла (xcc). Противник выполнил самоподпись, используя встроенный инструмент macOS codesign. После выполнения xcc угрожающий агент попытался обойти разрешения TCC, создав собственную базу данных TCC и попытавшись заменить существующую. 1 июня из того же каталога, что и xcc, был замечен новый инструмент на базе Python, который использовался для выполнения Swiftbelt.

Swiftbelt вызывает код Swift, чтобы избежать создания артефактов командной строки. Предупреждение сигнатуры показало, что Swiftbelt был записан в /Users/shared/sb и выполнен с помощью интерпретатора оболочки bash, sh. Полная командная строка, которую наблюдали исследователи, была Users/Shared/sb /bin/sh -c /users/shared/sb /users/shared/sb.log 2 &1, демонстрируя, что угрожающий агент фиксировал результаты в sb.log, а ошибки направлял в STDOUT.

Группа угроз, стоящая за этим вторжением, была названа Bitdefender JOKERSPY и использует пользовательские инструменты с открытым исходным кодом для разведки и управления. Целью этой вредоносной активности является известная японская криптовалютная биржа. Предполагается, что вредоносный доступ был осуществлен через вредоносный или скрытый плагин или зависимость от третьей стороны. Точные мотивы и цели этого вторжения все еще расследуются, но уже ясно, что злоумышленники пытаются использовать криптовалютную биржу в Японии.

#ParsedReport #CompletenessHigh
21-06-2023

RedEyes Group Wiretapping Individuals (APT37)

https://asec.ahnlab.com/en/54349

Report completeness: High

Actors/Campaigns:
Apt37 (motivation: information_theft)
Scarcruft

Threats:
Goably
Kisa
W4sp
Dll_sideloading_technique
Trojan/win.loader.c5424444

Victims:
North korean defectors, human rights activists, and university professors

Industry:
Education

Geo:
Korea, Korean

TTPs:
Tactics: 5
Technics: 1

IOCs:
File: 6
Command: 2
Path: 6
Registry: 1
IP: 1
Url: 3
Hash: 6

Softs:
task scheduler, component object model

Algorithms:
zip, base64

Languages:
golang

#ParsedReport #ExtractedSchema

Classified images:
schema: 6, dump: 2, code: 8, windows: 2

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Группа RedEyes - это спонсируемая государством APT-группа, которая в основном осуществляет атаки на частных лиц, эксплуатируя платформу Ably и используя CHM-файл с вредоносным PowerShell-скриптом для выполнения Infostealer с функциями прослушки. Они используют технику повышения привилегий под названием T1546.015 для выполнения дополнительных вредоносных программ и используют FadeStealer Infostealer в бесфайловой форме. Их основной целью является кража информации и несанкционированное прослушивание людей.
-----

RedEyes - спонсируемая государством APT-группа, осуществляющая атаки на частных лиц.

В мае 2023 года Центр экстренного реагирования безопасности AhnLab (ASEC) обнаружил группу RedEyes, использующую Infostealer с функциями прослушки и бэкдор, разработанный с помощью GoLang, который эксплуатирует платформу Ably.

Для осуществления первоначального взлома угроза использовала файл CHM (Compiled HTML Help File).

Вредоносный сценарий PowerShell, выполняемый MSHTA.exe, использует команду для регистрации себя в ключе реестра автозапуска.

Угрожающий агент использует бэкдор AblyGo и MSTHA PowerShell, чтобы в конечном итоге выполнить Infostealer в безфайловой форме.

FadeStealer имеет функцию прослушивания микрофонов и извлечения данных со съемных носителей и смартфонов.

Группа RedEyes в основном занимается кражей информации и несанкционированным прослушиванием частных лиц в Южной Корее.

#ParsedReport #CompletenessLow
21-06-2023

Dissecting TriangleDB, a Triangulation spyware implant

https://securelist.com/triangledb-triangulation-implant/110050

Report completeness: Low

Actors/Campaigns:
Triangulation

Threats:
Triangledb
Chrysaor
Reign
Beacon

IOCs:
Hash: 3

Softs:
imessage, unix, macos

Algorithms:
3des, sha1, sha256, xor

Languages:
objective_c

Platforms:
apple

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея этого текста заключается в том, что недавно обнаруженная шпионская программа TriangleDB, нацеленная на iOS, использует эксплойты для получения доступа к устройству и взаимодействует с сервером C2, отправляя сообщения о сердцебиении и отслеживая изменения в папках. Среди обнаруженных интересных команд - CRXShowTables, CRXConfigureDBServer и CRXPollRecords. Также возможно, что подобный имплант может быть направлен на устройства macOS.
-----

Недавнее обнаружение шпионской программы TriangleDB, нацеленной на iOS, раскрыло некоторые интересные подробности о том, как она работает. Эта конкретная часть вредоносного ПО поставляется на устройства iOS с помощью эксплойтов, которые могут быть использованы для получения доступа к устройству, например, для выхода из песочницы iMessage и получения привилегий root через уязвимость в ядре. В ходе операции "Триангуляция" удалось найти как можно больше частей цепочки эксплойтов.

После запуска имплантат начинает взаимодействовать с сервером C2, используя для обмена данными библиотеку Protobuf. Конфигурация имплантата содержит два сервера: основной и резервный. Обычно имплантат использует основной сервер, а в случае ошибки он переключается на резервный сервер. Имплантат периодически посылает сигналы сердцебиения, которые содержат системную информацию, включая версию имплантата, идентификаторы устройства (IMEI, MEID, серийный номер и т.д.) и конфигурацию демона обновления.

Сервер C2 отвечает на сообщения сердцебиения командами. Команды передаются в виде сообщений Protobuf, имена типов которых начинаются с CRX. Смысл этих имен неясен, но имплант способен отслеживать изменения в папках, ища измененные файлы, имена которых соответствуют заданным регулярным выражениям. Мониторинг изменений осуществляется путем получения файлового дескриптора каталога Unix и назначения на него обработчика событий vnode. Когда имплант получает уведомление об изменении, обработчик событий ищет измененные файлы, соответствующие регулярному выражению, предоставленному злоумышленником. Такие файлы затем планируются для загрузки на сервер C2.

Разработчики называют расшифровку строк unmunging, а по всему коду различным сущностям были даны имена из терминологии баз данных, из-за чего имплантат получил название TriangleDB. Некоторые из обнаруженных интересных команд включают CRXShowTables (перечисление каталогов), CRXConfigureDBServer (изменение адресов сервера C2) и CRXPollRecords (отслеживание изменений в папках).

Имплант также запрашивает у операционной системы множество прав доступа (разрешений), некоторые из которых не используются в коде. Существование метода populateWithFieldsMacOSOnly означает, что устройства macOS также могут быть нацелены на подобный имплант. Таким образом, функциональные возможности, предоставляемые этими правами, могут быть реализованы в модулях.

#ParsedReport #CompletenessMedium
21-06-2023

Threat Group Assessment: Muddled Libra

https://unit42.paloaltonetworks.com/muddled-libra

Report completeness: Medium

Actors/Campaigns:
Muddled_libra (motivation: cyber_criminal, information_theft)
0ktapus

Threats:
Supply_chain_technique
Redline_stealer
Anydesk_tool
Splashtop_tool
Teamviewer_tool
Disabling_antivirus_technique
Raccoon_stealer
Credential_stealing_technique
Mimikatz_tool
Procdump_tool
Dcsync_technique
Impacket_tool
Bloodhound_tool
Adrecon
Rvtools_tool

Victims:
Organizations in the software automation, bpo, telecommunications and technology industries

Industry:
Telco, Bp_outsourcing

Geo:
America, Japan, Apac, Emea

TTPs:
Tactics: 12
Technics: 0

IOCs:
Domain: 4
IP: 27

Softs:
telegram, active directory, sysinternals psexec, confluence, microsoft office 365, outlook

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Muddled Libra - это группа угроз, которая действует с середины 2022 года и нацелена на крупные аутсорсинговые фирмы, предоставляющие услуги дорогостоящим криптовалютным учреждениям и частным лицам.
-----

Muddled Libra - это изощренная группа угроз, действующая с середины 2022 года и нацеленная на крупные аутсорсинговые фирмы, предоставляющие услуги дорогостоящим криптовалютным учреждениям и частным лицам. Группа обладает широким набором инструментов для атак, который включает в себя практическую социальную инженерию, smishing-атаки, тестирование на проникновение и инструменты криминалистики. Muddled Libra хорошо знают своих жертв и умело обходят общие средства контроля безопасности и получают конфиденциальные данные путем кражи учетных данных.

Muddled Libra уделяет особое внимание сохранению доступа к целевым средам. Группа использует различные инструменты удаленного мониторинга и управления (RMM) для создания бэкдоров и часто использует коммерческие виртуальные частные сети (VPN), чтобы скрыть свое географическое положение. Они также используют похожие домены в атаках smishing, а также прокси-сервисы по месту жительства, что помогает им смешиваться с законным трафиком.

При атаке Muddled Libra использует приманки, отправляемые непосредственно на мобильные телефоны сотрудников, утверждая, что им необходимо обновить информацию об учетной записи или пройти повторную аутентификацию в корпоративном приложении. Сообщения содержат ссылки на поддельные корпоративные домены, которые имитируют знакомые страницы входа в систему. Получив доступ, злоумышленники быстро переходят к повышению уровня доступа, используя такие инструменты для кражи учетных данных, как Mimikatz, ProcDump, DCSync, Raccoon Stealer и LAPSToolkit.

Muddled Libra также использует законные инструменты тестирования на проникновение для составления карты среды и выявления интересующих целей, и они успешно находят конфиденциальные данные в широком спектре общих хранилищ данных. Для завершения атаки группа может использовать Sysinternals PsExec или Impacket для удаленного выполнения, и они часто пытаются создать обратные прокси-оболочки или защищенные туннели оболочки (SSH) для командования и управления или эксфильтрации.

#ParsedReport #CompletenessLow
21-06-2023

Dark Pink Attack: Advanced Techniques Unveiled in Recent Analysis

https://www.secureblink.com/threat-research/dark-pink-attack-advanced-techniques-unveiled-in-recent-analysis

Report completeness: Low

Actors/Campaigns:
Darkpink (motivation: information_theft, cyber_espionage)

Threats:
Dll_sideloading_technique
Telepowerbot
Kamikakabot
Netlua_tool

Victims:
Government, military & education organizations across southeast asia

Industry:
Education, Government

Geo:
Asia-pacific, Vietnam, Indonesia, Asia

Softs:
telegram

Algorithms:
zip

Win Services:
WebClient

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея этого текста заключается в том, что хакерская группа Dark Pink APT является активным и изощренным субъектом угроз, который атакует правительственные, военные и образовательные организации в Юго-Восточной Азии, и организации должны использовать надежные меры безопасности, чтобы защитить себя от методов атаки этой группы.
-----

Хакерская группа Dark Pink APT - это постоянная угроза, действующая с середины 2021 года и нацеленная на правительственные, военные и образовательные организации в Юго-Восточной Азии. Группа использует фишинговые электронные письма с архивами ISO для первоначального заражения систем жертв, а затем устанавливает свои фирменные бэкдоры TelePowerBot и KamiKakaBot для постоянного доступа. Чтобы избежать обнаружения, группа использует побочную загрузку DLL - технику, которая позволяет выполнять вредоносный код в обход традиционных мер безопасности.

Недавно Dark Pink усовершенствовала цепочку атак, разделив функции своего имплантата KamiKakaBot на две отдельные части - управление устройством и кражу данных - и модифицировав механизм его загрузки. Кроме того, группа применила новый подход, используя частный репозиторий GitHub для размещения дополнительных модулей и облегчения загрузки компонентов вредоносного ПО на скомпрометированные системы. Чтобы расширить сферу своего влияния в зараженных сетях, Dark Pink использует сценарии PowerShell для идентификации и взаимодействия с SMB-акциями, получения ZIP-архивов из репозитория и дальнейшего распространения по сети.

Dark Pink также адаптировала свои методы эксфильтрации данных, выйдя за рамки традиционного метода отправки ZIP-архивов на каналы Telegram. Теперь для безопасной передачи похищенных данных группа использует DropBox, HTTP-эксфильтрацию, Webhooks и серверы Windows. Кроме того, сценарии PowerShell используются для создания объектов WebClient для загрузки файлов на внешние адреса.

Несмотря на разоблачение и повышенное внимание, Dark Pink остается очень активной и представляет значительную угрозу для организаций в Индонезии, Брунее и Вьетнаме. Организации должны сохранять бдительность и применять надежные меры безопасности, чтобы защититься от изощренных методов атак этой группы. Постоянное сотрудничество между компаниями, занимающимися кибербезопасностью, правоохранительными органами и пострадавшими организациями имеет важное значение для противодействия операциям группы и защиты критически важных активов.

#ParsedReport #CompletenessLow
21-06-2023

Coverage Advisory for CVE-2023-34362 MOVEit Transfer Vulnerabilitiy

https://www.zscaler.com/blogs/security-research/coverage-advisory-moveit-transfer-vulnerabilities

Report completeness: Low

Threats:
Clop
Lemurloot

Industry:
Healthcare, Financial, Government

CVEs:
CVE-2023-34362 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- progress moveit cloud (<15.0.2.39, <14.0.5.45, <14.1.6.97)
- progress moveit transfer (<2023.0.2, <2022.1.6, <2022.0.5, <2021.1.5, <2021.0.7, le2020.1.6)


IOCs:
File: 5
Registry: 1

Softs:
moveit, mysql, microsoft sql server, microsoft outlook

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Progress Software раскрыла критическую уязвимость в приложении MOVEit, которая может позволить неавторизованному злоумышленнику получить доступ к базе данных MOVEit Transfer.
-----

MOVEit - это программное обеспечение для управляемой передачи файлов, выпускаемое компанией Progress, ранее называвшейся Ipswitch. Оно используется для безопасной передачи данных с возможностью автоматизации, аналитики и обхода отказа и широко применяется в здравоохранении, финансовых услугах и государственном секторе. 31 мая 2023 года Progress Software раскрыла критическую уязвимость CVE-2023-34362 в приложении MOVEit. Эта уязвимость может позволить неавторизованному злоумышленнику получить доступ к базе данных MOVEit Transfer, получить информацию о ее внутреннем устройстве, изменить или удалить элементы.

Противник выполняет несколько шагов для внедрения вредоносной веб-оболочки. Эти шаги включают: Проверка приложения, Проверка состояния, Проверка токена, Проверка папки, Загрузка файла, Размещение данных, Выполнение SQL-инъекции, Подготовка сессии, Загрузка файла, Размещение данных и Доступ к веб-оболочке. Вредоносный файл human2.aspx маскируется под оригинальный файл human.aspx, который обычно встречается в установках MOVEit. После установки вредоносной веб-оболочки она создает случайный пароль длиной 36 символов для аутентификации. Противник взаимодействует с веб-оболочкой по протоколу HTTP с пользовательским заголовком X-siLock-Comment, который содержит пароль.

По состоянию на 7 июня 2023 года около 2500 экземпляров MOVEit Transfer находятся в открытом доступе в Интернете. Группы разработчиков программ-вымогателей все чаще нацеливаются на решения для передачи файлов, а банда CL0P Ransomware была обнаружена использующей ту же уязвимость для внедрения удаленной веб-оболочки на машину жертвы. Веб-оболочка называется LEMURLOOT и используется для кражи данных с машины жертвы и базовых баз данных MOVEit Transfer.

#ParsedReport #CompletenessLow
21-06-2023

Condi DDoS Botnet Spreads via TP-Link's CVE-2023-1389

https://www.fortinet.com/blog/threat-research/condi-ddos-botnet-spreads-via-tp-links-cve-2023-1389

Report completeness: Low

Threats:
Condi
Mirai
Havoc
Moobot
Lockdown
Tcpsynflood_technique
Synflood_technique
Tcpackflood_technique
Ackflood_technique
Tcpstomp_technique

Victims:
Tp-link archer ax21 (ax1800) routers

CVEs:
CVE-2023-1389 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- tp-link archer ax21 firmware (<1.1.4)


ChatGPT TTPs:
do not use without manual check
T1490, T1210, T1078, T1117, T1218

IOCs:
Domain: 2
Hash: 11
Url: 13
IP: 1

Softs:
telegram, android

Platforms:
mips, x86, m68k, arm

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Ботнет Condi пытается распространиться и расшириться, используя уязвимости в маршрутизаторах TP-Link Archer AX21 (AX1800). Рекомендуется как можно скорее применить последние исправления и обновления безопасности для защиты от подобных угроз.
-----

Исследователи FortiGuard Labs недавно столкнулись с DDoS-as-a-service ботнетом под названием Condi, который пытался распространиться, эксплуатируя маршрутизаторы TP-Link Archer AX21 (AX1800), уязвимые к CVE-2023-1389. С конца мая 2023 года специалисты FortiGuard Labs наблюдали растущее количество образцов Condi, собранных с их систем мониторинга, что указывает на активные попытки ботнета расшириться.

Перейдя от командно-контрольного (C2) домена cdn2.duc3k.com в одном из образцов вредоносного ПО, исследователи FortiGuard Labs обнаружили admin.duc3k.com, на котором ранее отображалось сообщение "contact @zxcr9999 telegram". В результате поиска был обнаружен Telegram-канал Condi Network, рекламирующий ботнет Condi с возможностями, совпадающими с теми, что наблюдались в образце. Telegram-канал был запущен в мае 2022 года, и угрожающий субъект монетизировал ботнет, предоставляя DDoS-услуги и продавая исходный код вредоносного ПО.

Образец вредоносной программы ARM 509f5bb6bcc0f2da762847364f7c433d1179fb2b2f4828eefb30828c485a3084 использовал несколько методов для поддержания своей работы в зараженной системе, одновременно пытаясь завершить процессы других ботнетов. Подобно ботнетам на основе Mirai, Condi не может пережить перезагрузку системы, поэтому он удаляет двоичные файлы, используемые для выключения или перезагрузки системы. Он также уничтожает любые процессы с именами двоичных файлов, содержащих определенные общие расширения, используемые другими ботнетами, а также любые процессы с длиной командной строки от 12 до 32 символов.

В отличие от большинства DDoS-ботнетов, Condi не распространяется, пробуя различные учетные данные; вместо этого он внедряет простой сканер, модифицированный из оригинального Telnet-сканера Mirai для сканирования открытых портов 80 или 8080, а затем отправляет жестко закодированный запрос на эксплуатацию для загрузки и выполнения удаленного shell-скрипта, который заразит устройство с Condi, если это уязвимое устройство TP-Link Archer AX21. Общедоступный исходный код старых версий также включает сканеры известных уязвимостей, эксплуатируемых другими вариантами Mirai.

Кампании вредоносного ПО, особенно ботнеты, всегда ищут способы расширения. Эксплуатация недавно обнаруженных (или опубликованных) уязвимостей всегда была одним из их излюбленных методов, как было показано выше для ботнета Condi. Поэтому настоятельно рекомендуется всегда применять последние исправления и обновления безопасности как можно скорее.