#ParsedReport #ExtractedSchema

Classified images:
schema: 2, code: 3, chart: 1, chats: 1, dump: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: NoName057(16) - пророссийская хактивистская группа, которая проводила DDoS-атаки на европейские, украинские и американские сайты государственных учреждений, СМИ и частных компаний, используя инструментарий атаки DDoSia. Вполне вероятно, что в ближайшей перспективе будут наблюдаться дальнейшие события.
-----

NoName057(16) - пророссийская хактивистская группа, разработавшая в начале 2022 года набор инструментов для атак DDoSia. Он использовался для проведения DDoS-атак на европейские, украинские и американские сайты государственных учреждений, СМИ и частных компаний. Основной коммуникационной платформой группы является канал Telegram, который насчитывает более 45 000 подписчиков. DDoSia написана на языке Python с использованием потоков процессора, а в апреле 2023 года была выпущена новая версия с дополнительным механизмом защиты для сокрытия списка целей.

Чтобы использовать DDoSia, пользователи должны зарегистрироваться через бота Telegram, @DDosiabot. Затем пользователи скачивают необходимые файлы и помещают файл client_id.txt в ту же папку, что и выбранный исполняемый файл. После запуска вредоносная программа выполняет POST-запрос на URL hxxp:// IP /client/login для аутентификации с C2. После аутентификации C2 возвращает токен, который затем используется для GET-запроса по адресу hxxp:// IP /client/get_targets. Этот запрос получает список целей, который зашифрован.

В новой версии DDoSia реализован механизм шифрования, чтобы сделать вредоносную программу более безопасной и трудной для обнаружения. Эта версия была написана на языке Go и выполняет функцию Decrypt_AESGCM для получения списка целей. Цели хранятся в словаре в формате JSON, который содержит такие поля, как IPv4-адрес и параметры для нацеливания на определенные URL-адреса. Группа продолжает обновлять проект DDoSia, делая его совместимым с различными операционными системами и усиливая безопасность.

Основными целями NoName057(16) являются Украина и страны НАТО, а вторичными - Франция, Великобритания, Италия, Канада и другие страны ЕС. Две основные цели - украинские сайты, связанные с testportal.gov.ua и e-journal.iea.gov.ua. В результате атаки пострадали многие отрасли экономики, включая образование, финансовый и транспортный секторы, а также государственные структуры. После того как президент Франции Макрон объявил о поставке Киеву системы противовоздушной обороны, были атакованы многочисленные цели, связанные с французской транспортной группой RATP.

NoName057(16) активно развивает свои возможности, вероятно, благодаря активному сообществу и растущему вниманию со стороны сообщества CTI. Вполне вероятно, что в ближайшей перспективе мы будем наблюдать дальнейшее развитие событий.

#ParsedReport #CompletenessHigh
29-06-2023

TTPs #10 : Operation GoldGoblin - Attack strategy analysis to selectively infiltrate using zero-day vulnerabilities

https://thorcert.notion.site/TTPs-10-Operation-GoldGoblin-bab695345e984edbb8fe5e16e36face6

Report completeness: High

Actors/Campaigns:
Goldgoblin
Lazarus
Bookcodes
Dream_job

Threats:
Watering_hole_technique
Racket_loader
Giddyupstda
Domino
Iobit_tool
Winrm_tool
Netstat_tool
Uac_bypass_technique
Dll_sideloading_technique
Process_injection_technique
Beacon
Upx_tool
Volgmer
Deathnote
Carbon
Kisa

Victims:
Media company, software developers, groupware developer, security software developer, hosting service, aerospace and defense industries, 207 pcs of 61 institutions

Industry:
Aerospace, Maritime

Geo:
Korean, Korea

CVEs:
CVE-2021-34527 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- microsoft windows server 2008 (r2, -)
- microsoft windows server 2012 (r2, -)
- microsoft windows 10 (1607, -, 1809, 1909, 2004, 20h2, 21h1)
- microsoft windows 8.1 (-)
- microsoft windows server 2016 (-, 2004, 20h2)
have more...

TTPs:
Tactics: 12
Technics: 35

IOCs:
File: 9
Command: 3
Path: 13
Registry: 2

Soft:
windows service, local security authority, windows registry

Algorithms:
cbc, base64, xor, aes-128, aes

Functions:
CreateProcess_asuser

Win API:
CreateProcess, TerminateProcess, MoveFile

Languages:
python

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Группа Lazarus - это группа киберугроз, нацеленная на Южную Корею и известная как одна из самых угрожающих групп. Они совершенствуют свои методы атаки, используя информацию, собранную в ходе предыдущих инцидентов вторжения, и для защитников важно понимать поток и процесс атаки со стратегической тактической точки зрения, чтобы защититься от этих типов атак.
-----

Группа Lazarus - это группа киберугроз, нацеленная на Южную Корею, и известна как одна из самых угрожающих групп среди групп атак, нацеленных на Южную Корею сегодня. В этой операции злоумышленники вставляли вредоносные скрипты на страницы новостных статей и эксплуатировали их в качестве страниц-"водопоев". Для проникновения в компанию злоумышленникам удалось использовать уязвимость нулевого дня в определенной программе безопасности. Проникнув в медиакомпанию, злоумышленник создал страницу "водяной дыры", которая могла использовать уязвимость нулевого дня. Расследование инцидента проводилось в сотрудничестве с различными организациями по кибербезопасности, такими как Корейское агентство Интернета и безопасности, Бюро расследований безопасности Национального полицейского агентства, Центр кибербезопасности, AhnLab и Kaspersky.

Вредоносный код, используемый злоумышленником, был в виде данных, хранящихся в реестре. После расшифровки lrmons.dll внедрялся в память и выполнял функции удаленного управления. В имени вредоносного кода используются две случайные строчные буквы, за которыми следует "proc.sys". Вредоносная программа proc.sys работает как служба и использует алгоритм шифрования RC5 и AES128 для расшифровки значений данных, хранящихся в реестре. Она выполняет вредоносное ПО типа загрузчика через внедрение в память. Вредоносный код использует веб-протоколы и симметричную криптографию для передачи данных по каналу C2.

Через wsmprovhost.exe вредоносный код mi.dll выполняется с помощью техники боковой загрузки DLL. Вредоносная программа mi.dll расшифровывает и исполняет uso.dat, зашифрованную вредоносную программу удаленного управления. Вредоносный код uso.dat расшифровывается (AES 128) с помощью mi.dll и выполняется через инъекцию в память. Она имеет функцию получения дополнительных команд от листа управления и выполнения их в памяти. Вредоносный код также использует динамическое разрешение API, где функция API, используемая вредоносной программой, хранится в виде хэша, а функция API вызывается путем сравнения значения хэша.

Очевидно, что группа Lazarus развивает свою технику атак, используя информацию, собранную в ходе предыдущих инцидентов вторжения. Операция BookCodes - кластер, выпущенный в 2020 году, который был осуществлен посредством целенаправленной атаки "водяная дыра" и использовал уязвимости в программном обеспечении безопасности. Operation Dream Job (Death Note) - кластер, атаковавший иностранные аэрокосмические и оборонные предприятия в 2020 году. FALLCHILL известен как один из основных инструментов удаленного контроля HIDDEN COBRA и был подтвержден в 2018 году в инциденте с участием хостинг-сервиса, разработчика группового ПО и разработчика защитного ПО.

Для защиты от этих типов атак Корейское агентство по Интернету и безопасности выявляет ТТП злоумышленников в процессе реагирования на инциденты, а процесс и контрмеры подготавливаются и распространяются на основе рамочной программы ATT&CK. Защитникам важно понимать поток и процесс атаки со стратегической тактической точки зрения, а не с точки зрения шаблона или техники. Также важно иметь точное представление о защитной среде и вместе решать проблемы среды и TTPs атакующего. Система защиты, основанная на IoC (индикатор компрометации, вредоносный IP - простые индикаторы, такие как вредоносные домены), очень полезна. Однако злоумышленники могут легко приобрести и отказаться от инфраструктуры атак, связанной с простыми индикаторами. Но TTP не такие. Атакующим трудно легко приобрести или отбросить ТТП. Защита от ТТП требует понимания и решения общей оборонной среды.

#ParsedReport #CompletenessLow
30-06-2023

Malware Execution Method Using DNS TXT Record

https://asec.ahnlab.com/en/54916

Report completeness: Low

Actors/Campaigns:
Aggaa

Threats:
Agent_tesla
Trojan/win.generic.r526355
Trojan/win.injector.c4641320

IOCs:
Domain: 1
File: 4
Hash: 3
Url: 8

Algorithms:
base64

Languages:
javascript

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Вредоносные субъекты используют записи DNS TXT не так, как обычно, для выполнения вредоносных программ, что ставит перед исследователями безопасности новую задачу по обнаружению и предотвращению вредоносных действий.
-----

Центр реагирования на чрезвычайные ситуации безопасности АнЛаб (ASEC) подтвердил случаи использования записей DNS TXT в процессе выполнения вредоносных программ. Это значительное событие, поскольку такой способ выполнения вредоносных программ не является распространенным, и поэтому открывает новые возможности для анализа и обнаружения вредоносных программ.

Записи DNS TXT, первоначально предназначенные для ввода человекочитаемых заметок, теперь используются для отображения различных типов информации, таких как предотвращение спама в электронной почте, проверка владения доменом и другие. Основное назначение записей DNS TXT двояко: 1) предотвращение спама по электронной почте путем проверки того, приходят ли письма из надежного источника, и 2) подтверждение владения доменом путем загрузки записи TXT, содержащей определенную информацию, или путем изменения существующей записи.

Однако недавно было обнаружено, что злоумышленники используют записи DNS TXT не совсем обычным способом. Этот вид вредоносной деятельности был обнаружен, когда субъект угрозы отправил фишинговое электронное письмо с файлом дополнения PowerPoint (PPAM), выдавая его за запрос заказа. Когда вредоносный макрос был выполнен, PowerShell использовался для запуска инструмента nslookup и запроса TXT-записи DNS. Код вредоносного макроса был простым и не обфусцированным, но он включал команду выполнения следующего желаемого процесса в записи DNS TXT.

При проверке DNS TXT-записи сервера угрожающего субъекта было обнаружено, что она содержит данные, которые значительно отклоняются от типичных целей DNS TXT-записей. Эти данные содержали команды PowerShell, что позволяло выполнять их при запросе DNS TXT-записи. Дополнительно загруженный вредоносный файл был идентифицирован как основанный на .NET Infostealer типа AgentTesla.

V3 обнаруживает и блокирует вредоносное ПО, представленное в этом сообщении, используя приведенные ниже псевдонимы. Этот новый метод использования записей DNS TXT для выполнения вредоносных программ ставит перед исследователями безопасности новую задачу по обнаружению и предотвращению вредоносных действий. Чтобы опередить злоумышленников, важно быть в курсе последних тенденций для выявления и блокирования вредоносных действий.

#ParsedReport #CompletenessMedium
30-06-2023

Meduza Stealer: What Is It & How Does It Work?

https://www.uptycs.com/blog/what-is-meduza-stealer-and-how-does-it-work

Report completeness: Medium

Actors/Campaigns:
Dev-0960

Threats:
Meduza

Victims:
Windows users and organizations

Industry:
Entertainment, Financial

Geo:
Georgia, Germany, Armenia, Kazakhstan, Russia, Belarus, Kyrgyzstan, Tajikistan, Turkmenistan, Moldova, Uzbekistan

ChatGPT TTPs:
do not use without manual check
T1545.003, T1566.003, T1573.001, T1582.001, T1031, T1058, T1082, T1546, T1078, T1083, have more...

IOCs:
Url: 1
Registry: 9
Coin: 7
Hash: 2

Soft:
telegram, chromium, epic privacy browser amigo vivaldi kometa orbitum, torch, slimjet, waterfox urbrowser, cryptotab, moonchild, superbird, k-meleon, have more...

Wallets:
metamask, coin98, guarda_wallet, guild_wallet, mobox, tronlink, sollet, duinocoin_wallet, crocobit, ronin_wallet, have more...

Crypto:
binance, casper, starcoin, ethereum, polkadot

Algorithms:
base64

Functions:
GetUserName, GetComputerName, GetCurrentHWProfile

Win API:
GetUserGeoID, GetGeoInfoA

Platforms:
x86

YARA: Found

#ParsedReport #ExtractedSchema

Classified images:
table: 1, code: 1, windows: 1, schema: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Meduza Stealer - это вредоносная программа, предназначенная для атак на пользователей Windows и организации с целью кражи конфиденциальных данных. Он активно развивается, его трудно обнаружить, и он использует сложные методы, чтобы войти в доверие и ускользнуть от обнаружения.-----

Meduza Stealer - это вредоносное ПО, предназначенное для атак на пользователей Windows и организации с целью кражи конфиденциальных данных, таких как учетные данные для входа в систему, история просмотров, закладки и расширения криптокошелька. Это активно разрабатываемый инструмент с изощренными маркетинговыми стратегиями, призванными завоевать доверие и ускользнуть от обнаружения. Администратор агрессивно рекламирует Meduza Stealer на киберпреступных форумах и каналах Telegram, а антивирусному ПО трудно его обнаружить.

Как только Meduza Stealer проникает на компьютер, он выполняет проверку геолокации и приступает к сбору обширной информации, включая системную информацию, данные браузера, данные менеджера паролей, информацию реестра, связанную с майнингом, и сведения об установленных играх. Данные упаковываются и загружаются на сервер злоумышленника, включая личные и финансовые данные.

Meduza Stealer использует интерфейсы прикладного программирования (API) и реализует функцию исключения стран. Он использует API GetUserGeoID и GetGeoInfoA на машине жертвы для получения данных о стране и сравнения их с заранее определенным списком. Если страна жертвы не входит в этот список, вредоносная программа пытается установить соединение с сервером злоумышленника. Она также делает скриншот текущего экрана Windows и конвертирует его в формат base64.

Угонщик специально фокусируется на извлечении данных из расширений, связанных с 2FA и менеджерами паролей, а также расширений криптовалютных кошельков из веб-браузеров через программные плагины или дополнения. Он также сканирует приложение Telegram Desktop, проверяя реестр на наличие идентификационных данных.

#ParsedReport #CompletenessMedium
30-06-2023

Malvertising Used as Entry Vector for BlackCat, Actors Also Leverage SpyBoy Terminator

https://www.trendmicro.com/en_us/research/23/f/malvertising-used-as-entry-vector-for-blackcat-actors-also-lever.html

Report completeness: Medium

Actors/Campaigns:
Blackcat

Threats:
Blackcat
Terminator_tool
Anydesk_tool
4shared
Cobalt_strike
Beacon
Adfind_tool
Powerview
Powersploit
Lazagne_tool
Bitsadmin
Jadtre
Putty_tool
Clop
Creal_stealer

ChatGPT TTPs:
do not use without manual check
T1036.003, T1082.003, T1112, T1566.001, T1518.001, T1117, T1056.004, T1083.003, T1059.003, T1016, have more...

IOCs:
Domain: 8
Url: 36
File: 11
Path: 5
IP: 16
Command: 2
Hash: 105

Soft:
winscp, wordpress, active directory, sysinternals, psexec, curl, windows defender

Algorithms:
zip, sha256

Languages:
python

Links:
https://github.com/AlessandroZ/LaZagne

#ParsedReport #ExtractedSchema

Classified images:
windows: 14, schema: 3, code: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Вредоносные субъекты используют malvertising для распространения вредоносного ПО через клонированные веб-страницы легитимных организаций, пытаясь получить привилегии администратора высшего уровня и установить персистентный и бэкдорный доступ с помощью различных инструментов и техник.
-----

Злоумышленники используют технику под названием malvertising для распространения вредоносного ПО через клонированные веб-страницы легитимных организаций. Киберпреступники получают доступ к привилегиям администратора высшего уровня и пытаются установить постоянство и бэкдор-доступ.

В одном случае заражение началось, когда пользователь искал WinSCP Download на Bing и нажал на вредоносную рекламу, отображавшуюся над результатами органического поиска. Пользователь был перенаправлен на клонированную веб-страницу загрузки WinSCP, которая загрузила ISO-файл с зараженной веб-страницы WordPress. Также был загружен исполняемый файл, переименованный в msiexec.exe, а также DLL с отложенной загрузкой, которая действовала как дроппер. Эта DLL содержала настоящий установщик WinSCP и вредоносную среду выполнения Python. Были созданы две установки Python3.10 - легитимная и содержащая троянизированный python310.dll.

Затем угрожающий агент загрузил модифицированный/троянизированный обфусцированный файл python310.dll, содержащий маяк Cobalt Strike, подключающийся к серверу C&C. Они также использовали AdFind, PowerView, WMI, LaZagne, PsExec, BitsAdmin и curl, сбросили сценарий KillAV BAT для подделки защиты Trend и установили инструмент удаленного управления AnyDesk в среду для поддержания постоянства.

Дальнейшее расследование показало, что эта деятельность привела к заражению BlackCat (он же ALPHV). Угрожающий агент также использовал SpyBoy terminator, антивирусное средство или средство обнаружения и реагирования на конечные точки (EDR), чтобы подделать защиту, предоставляемую агентами. Данные были удалены с помощью клиента PuTTY Secure Copy (PSCP). Тот же C&C-домен, который использовал агент угрозы, был связан с возможно связанным с ним файлом Cl0p ransomware.

#ParsedReport #CompletenessLow
30-06-2023

Distributing malicious batch files (*.bat) disguised as document viewers (Kimsuky)

https://asec.ahnlab.com/ko/54952

Report completeness: Low

Actors/Campaigns:
Kimsuky

Threats:
Trojan/vbs.agent.sc190255
Trojan/vbs.agent.sc190256

Geo:
Indo-pacific, Korean

IOCs:
File: 26
Url: 20
Path: 7
Registry: 1
Command: 1
Hash: 4

Soft:
onenote, outlook, chrome, task scheduler

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: ASEC подтвердила распространение вредоносных кодов группой Kimsuky, которые могут загружать скрипты для выполнения вредоносных команд, когда пользователи нажимают на определенные файлы. Пользователи должны принять меры предосторожности для защиты своих устройств, убедившись, что их антивирусное программное обеспечение обновлено, и избегая нажатия на незнакомые ссылки или вложения в электронных письмах.
-----

Центр реагирования на чрезвычайные ситуации безопасности АнЛаб (ASEC) подтвердил распространение вредоносного кода в виде пакетных файлов (*.bat). Анализ вредоносного кода показал, что он был распространен группой Kimsuky, причем имя файла замаскировано под просмотрщик программ для работы с документами, такими как Word и Hangul. Вредоносный код загружает различные скрипты в зависимости от антивирусного процесса, установленного на устройстве пользователя, что позволяет злоумышленнику задавать вредоносные команды, которые будут отправляться, когда пользователь нажимает на файл ярлыка для запуска Outlook и браузера. Предполагается, что вредоносный код распространялся через электронные письма.

Кроме того, злоумышленник заменяет шаблон документа по умолчанию Normal.dotm и модифицирует файлы ярлыков браузеров и электронной почты. Это означает, что когда пользователи запускают документы Word, программы интернет-браузера, такие как Chrome, и файлы ярлыков (*.lnk) программ Outlook, они могут получить вредоносные сценарии. По мере того как вредоносный код загружает и выполняет различные скрипты, могут выполняться дополнительные неподтвержденные вредоносные действия в зависимости от команд, присутствующих в скрипте.

В этой ситуации пользователям необходимо быть особенно осторожными и принимать меры предосторожности для защиты своих устройств от вредоносных действий. Они должны убедиться, что их антивирусное программное обеспечение обновлено, и проверять любые подозрительные файлы или электронные письма перед их загрузкой или выполнением. Кроме того, им следует избегать нажатия на незнакомые ссылки или вложения в электронных письмах и убедиться, что их антивирусное программное обеспечение может обнаружить подозрительное поведение на их устройстве.

#ParsedReport #CompletenessLow
30-06-2023

Proxyjacking: The Latest Cybercriminal Side Hustle

https://www.akamai.com/blog/security-research/proxyjacking-new-campaign-cybercriminal-side-hustle

Report completeness: Low

Actors/Campaigns:
Anonymous_sudans (motivation: cyber_criminal)

Threats:
Proxyjacking_technique
Meris_botnet

Victims:
Ssh servers, compromised web server, peer2profit, honeygain, companies in libya, meris and anonymous sudan

Geo:
Libya

ChatGPT TTPs:
do not use without manual check
T1078, T1059, T1497, T1555, T1567

IOCs:
File: 2
Hash: 1

Soft:
docker, curl

Links:
https://github.com/curl/curl

#ParsedReport #ExtractedSchema

Classified images:
windows: 2, code: 1, schema: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Киберпреступники используют новую технику - proxyjacking - для получения прибыли за счет использования неиспользуемой полосы пропускания жертвы, и это представляет серьезную угрозу как для корпоративного мира, так и для рядовых потребителей.
-----

Команда Akamai Security Intelligence Response Team (SIRT) раскрыла кампанию проксиджекинга, в рамках которой киберпреступники используют уязвимые SSH-серверы, запуская службы Docker для совместного использования пропускной способности жертвы и получения прибыли. По сравнению с криптоджекингом, который также используется для заработка на взломанных устройствах, проксиджекинг - более скрытная альтернатива, которая может вызвать еще больше головной боли при атаках 7-го уровня. С помощью proxyjacking злоумышленники не только крадут ресурсы, но и используют неиспользуемую пропускную способность канала жертвы. Такие компании, как Peer2Profit и Honeygain, предоставляют обычным пользователям возможность заработать на своей дополнительной полосе пропускания, но они часто не задают вопросов о том, как был получен новый прокси-узел, оставляя место для незаконной деятельности.

Атака начинается с того, что злоумышленник получает доступ к системе жертвы, используя взломанный веб-сервер для распространения необходимых зависимостей. Попав внутрь, злоумышленник запускает вредоносный скрипт Bash, чтобы превратить систему в узел прокси-сети Peer2Profit или Honeygain. Этот скрипт разработан как скрытный и надежный, он пытается работать независимо от программного обеспечения, установленного на хост-системе. Было обнаружено, что вредоносный скрипт на самом деле содержит утилиту для майнинга криптовалюты, а также другие эксплойты и инструменты взлома.

Ценность прокси-серверов для киберпреступников заключается в их способности запутывать следы, затрудняя отслеживание вредоносной деятельности до ее истоков. Направляя вредоносный трафик через множество узлов-аналогов, прежде чем он достигнет места назначения, преступники могут остаться незамеченными. Кроме того, благодаря относительно низкому использованию процессора и использованию неиспользуемой пропускной способности интернета, проксиджекинг зачастую сложнее обнаружить, чем криптоджекинг.

Проксиджекинг с целью получения прибыли - яркий пример того, как злоумышленники постоянно ищут инновационные стратегии для максимизации своей прибыли при минимизации усилий. Возможность монетизировать прокси как филиалы основных компаний делает этот вектор серьезной угрозой как для корпоративного мира, так и для рядовых потребителей. Повышение осведомленности и внедрение превентивных мер позволит эффективно противостоять этому новому случаю использования старой техники.

#ParsedReport #CompletenessHigh
29-06-2023

PhonyC2: Revealing a New Malicious Command & Control Framework by MuddyWater

https://www.deepinstinct.com/blog/phonyc2-revealing-a-new-malicious-command-control-framework-by-muddywater

Report completeness: High

Actors/Campaigns:
Muddywater (motivation: cyber_espionage)
Darkbit

Threats:
Muddyc3
Ligolo
Chisel_tool
Beacon
Powerstats
Log4shell_vuln
Powgoop
Metasploit_tool
Simplehelp_tool
Ehorus_tool

Geo:
Iranian, Israel, Israeli

CVEs:
CVE-2023-27350 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- papercut papercut ng (<20.1.7, <21.2.11, <22.0.9)
- papercut papercut mf (<22.0.9, <21.2.11, <20.1.7)


TTPs:
Tactics: 4
Technics: 9

IOCs:
File: 4
Path: 5
Registry: 3
IP: 29
Domain: 20
Url: 1
Command: 2
Hash: 6

Soft:
papercut, windows registry

Algorithms:
base64, zip

Languages:
python

Links:
https://github.com/ahmedkhlief/muddyc3-Revived/
https://github.com/ekzhang/bore
https://github.com/deepinstinct/PhonyC2-MuddyWater-Research
https://github.com/sophoslabs/IoCs/blob/master/papercut-nday-indicators-of-compromise.csv
https://github.com/ahmedkhlief/muddyc3-Revived/tree/master/core

#ParsedReport #ExtractedSchema

Classified images:
code: 17, windows: 2, schema: 2

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: MuddyWater - это группа кибершпионажа, выявленная группой исследования угроз Deep Instinct, которая использует фреймворк PhonyC2 для эксплуатации систем, часто с помощью социальной инженерии и PowerShell. Этот фреймворк был замечен в атаке на Институт Техниона, а также в активной кампании по эксплуатации PaperCut. Команда обнаружила доменные имена, зарегистрированные MuddyWater, которые активны и сегодня.
-----

MuddyWater, подчиненный элемент иранского Министерства разведки и безопасности (MOIS), является группой кибершпионажа, выявленной группой исследования угроз Deep Instinct. Команда обнаружила новую структуру C2 (командование и управление), созданную и используемую MuddyWater по крайней мере с 2021 года, под названием PhonyC2. Эта структура была использована в атаке на Институт Техниона и в настоящее время используется в активной кампании по эксплуатации PaperCut. Эта структура похожа на предыдущую структуру C2, созданную MuddyWater, MuddyC3.

MuddyWater в первую очередь использует социальную инженерию в качестве начальной точки доступа для заражения полностью исправленных систем. Организациям следует продолжать укреплять системы и следить за активностью PowerShell. В апреле 2023 года команда Deep Instinct обнаружила три вредоносных сценария PowerShell в составе архива под названием PhonyC2_v6.zip. Поскольку журнал изменений или история версий отсутствуют, команда исследовала исходный код, чтобы лучше понять структуру и функциональность этого C2-фреймворка.

Система написана на языке Python 3 и состоит из нескольких скриптов, которые работают вместе для создания полезной нагрузки, подключающейся к C2 и ожидающей инструкций от оператора. Это позволяет оператору выполнять команды на всех подключенных компьютерах одновременно, например, полезную нагрузку ransomware, а также сохранять устойчивость при перезапуске зараженного узла.

Команда также обнаружила IP-адреса, связанные с PhonyC2, которые фигурируют в отчете Microsoft об атаке Technion, а также в других отчетах Talos и Group-IB. Кроме того, команда обнаружила доменные имена, зарегистрированные в 2021 году компанией MuddyWater, которые активны и сегодня.

В мае 2023 года компания Microsoft упомянула, что наблюдала, как MuddyWater эксплуатирует CVE-2023-27350 в программе управления печатью PaperCut, и предоставила индикаторы различных вторжений PaperCut. Deep Instinct обнаружил, что два IP-адреса из этих вторжений являются серверами PhonyC2 на основе шаблонов URL.

MuddyWater постоянно обновляет C2-фреймворк и меняет TTP, чтобы избежать обнаружения, как видно из блога и расследования утечки кода PhonyC2. Более новая версия PhonyC2, чем V6, была замечена при сканировании URL на IP 195.20.17 . 44, причем к закодированной полезной нагрузке был добавлен доброкачественный HTML-код для дальнейшего сокрытия их деятельности. В подсети 195.20.17.0/24 этого сервера был обнаружен IP-адрес с пассивным DNS-ответом am1211.iransos . me, который, как подозревает команда, арендуется каким-то иранским VPS-провайдером, используемым MuddyWater.

#ParsedReport #CompletenessLow
30-06-2023

Cobalt Strikes Deployment with Hardware Breakpoint for AMSI Bypass. Cobalt Strike s Deployment with Hardware Breakpoint for AMSI Bypass

https://labs.k7computing.com/index.php/cobalt-strikes-deployment-with-hardware-breakpoint-for-amsi-bypass

Report completeness: Low

Threats:
Cobalt_strike
Amsi_bypass_technique

Victims:
Domain logon users

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1059, T1566, T1086, T1574, T1547, T1545, T1218, T1064, T1053, T1543, have more...

IOCs:
Hash: 3

Algorithms:
gzip, base64, xor

Win API:
AddVectoredExceptionHandler

Links:
https://github.com/EricZimmerman/LECmd
https://github.com/Sentinel-One/CobaltStrikeParser