#technique

(Currently) Fully Undetected same-process native/.NET assembly shellcode injector based on RecycledGate by thefLink, which is also based on HellsGate + HalosGate + TartarusGate to ensure undetectable native syscalls even if one technique fails.

https://github.com/florylsk/RecycledInjector

#ParsedReport #CompletenessLow
04-07-2023

APT Profile: Turla

https://socradar.io/apt-profile-turla

Report completeness: Low

Actors/Campaigns:
Turla (motivation: cyber_espionage, financially_motivated, hacktivism, cyber_criminal)
Tomiris (motivation: cyber_espionage)
Dalbit (motivation: cyber_espionage)
Oilrig

Threats:
Uroburos
Watering_hole_technique
Andromeda
Kopiluwak
Quietcanary
Agent_btz
Tunnussched
Gazer
Carbon
Turla_silentmoon
Kazuar
Maze
Witchcoven
Neuron
Nautilus
Bondupdater
Topinambour
Rocketman
Process_injection_technique

Victims:
Government entities, militaries, embassies, education, high-tech, pharmaceuticals, retail, countries in europe, asia, middle east, france, romania, kazakhstan, poland, tajikistan, austria, russia, united states, saudi arabia, germany, india, armenia, belarus, netherlands, iran, uzbekistan, iraq

Industry:
Energy, Retail, Military, Education, Government, Healthcare

Geo:
Tajikistan, France, Austria, Uzbekistan, Russian, Iraq, Ukraine, Iranian, Belarus, Asia, Netherlands, Armenia, Kazakhstan, Russia, Iran, Germany, India, Romania, Poland

CVEs:
CVE-2013-3346 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 9.3
X-Force: Patch: Official fix
Soft:
- adobe acrobat (9.5.1, 9.3.3, 10.1, 9.4.2, 9.2, 9.3.4, 11.0.1, 9.5, 9.1, 10.1.5, 9.5.4, 10.0, 9.4.3, 9.5.3, 10.1.6, 10.0.3, 9.4.4, 11.0.2, 9.0, 10.1.1, 9.4.5, 9.4.1, 9.4.6, 9.3.2, 9.1.1, 9.3, 10.0.1, 9.1.3, 9.3.1, 10.1.2, 10.1.4, 11.0, 9.4.7, 9.1.2, 10.0.2, 10.1.3, 9.4, 9.5.2)
- adobe acrobat reader (11.0.2, 10.1, 10.0, 10.1.1, 9.5.1, 10.1.2, 10.1.3, 9.4.3, 10.0.3, 9.2, 10.1.6, 9.5.4, 9.1, 9.4.6, 10.1.5, 9.1.3, 9.5.3, 9.1.2, 9.3.3, 9.4.2, 9.1.1, 9.4.5, 11.0.1, 11.0.3, 9.3.4, 9.3, 9.0, 9.4, 9.3.2, 9.5, 9.5.2, 10.1.4, 10.0.1, 9.4.7, 9.4.4, 9.3.1, 10.0.2, 9.4.1, 11.0)

CVE-2013-5065 [Vulners]
CVSS V3.1: 7.2,
Vulners: Exploitation: True
X-Force: Risk: 7.2
X-Force: Patch: Official fix
Soft:
- microsoft windows xp (*)
- microsoft windows 2003 server (*)


TTPs:
Tactics: 1
Technics: 49

IOCs:
File: 1

Soft:
winlogon

Languages:
visual_basic, python, javascript, java

#ParsedReport #ExtractedSchema

Classified images:
schema: 12, chart: 2, windows: 2

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Turla - это группа передовых постоянных угроз (APT) с многолетней историей проведения кампаний кибершпионажа против широкого круга жертв в различных отраслях. Группа известна своей скрытностью и адаптивностью, она использует различные техники и инструменты для получения доступа к целевым системам. Turla в основном нацелена на организации в Украине, но ее жертвы находятся по всему миру, и группа была связана с несколькими громкими кампаниями кибершпионажа. Совпадающие характеристики Turla и Tomiris, другой APT-группы, сбили с толку исследователей кибербезопасности, и Turla остается активной и грозной угрозой.
-----

Turla - это передовая постоянная угроза (APT) из России, которая действует с конца 1990-х годов и считается одним из самых ранних примеров кибершпионажа. Ориентируясь в первую очередь на правительственные организации, военные и посольства, Turla имеет долгую историю проведения кампаний кибершпионажа против широкого круга жертв в различных отраслях, таких как высокие технологии, фармацевтика и розничная торговля. Группа известна своей скрытностью и адаптивностью, она часто меняет свою тактику, чтобы избежать обнаружения и сохранить устойчивость в целевых сетях.

Для получения первоначального доступа к целевым системам Turla использует спирфишинг, атаки "водяных дыр" и распространение вредоносного ПО по USB. Группа также захватывает просроченные домены, связанные с финансово мотивированным вредоносным ПО, и использует спутниковую связь для управления своим вредоносным ПО и утечки данных. Инструменты Turla включают вредоносные программы, разработанные на заказ, и общедоступные инструменты, такие как Agent.btz, ComRAT, KopiLuwak, TunnusSched, Gazer, Carbon, Hyperstack и Kazuar, которые используют уязвимости в Microsoft Windows, Adobe Flash и Oracle Java.

Turla в основном нацелена на организации в Украине, но ее жертвы находятся по всему миру, с особым вниманием к странам Европы, Азии и Ближнего Востока. Группа связана с несколькими громкими кампаниями кибершпионажа, включая Moonlight Maze, Agent.btz, Epic Turla, Witchcoven и RUAG Espionage Incident.

Национальный центр кибербезопасности Великобритании (NCSC) раскрыл в 2019 году, что Turla взяла под контроль инструменты Neuron и Nautilus, которые, как считалось ранее, были связаны с Turla, и в основном использовала их против целей, расположенных на Ближнем Востоке. Они также раскрыли, что Turla использовала иранские веб-оболочки и применяла панели управления PoisonFrog C2, изначально связанные с COBALT GYPSY (APT34), для распространения своего вредоносного ПО.

Пересекающиеся характеристики Turla и Tomiris, другой APT-группы, сбили с толку исследователей кибербезопасности. Аналитики Касперского обнаружили, что Tomiris стояла за некоторыми атаками, которые ранее приписывались Turla. В качестве возможной операции под ложным флагом или оппортунистического хода, призванного посеять смуту, Tomiris была замечена в использовании вредоносных инструментов Turla, что вызвало предположения о сотрудничестве или обмене информацией между этими группами.

Turla остается активной и грозной угрозой в мире кибершпионажа, имея за плечами долгую историю успешных кампаний против дорогостоящих целей. Адаптивность, скрытность и настойчивость этой группы делают ее опасным противником, который, вероятно, продолжит атаковать организации по всему миру.

#ParsedReport #CompletenessLow
04-07-2023

Hunting Ducks A Threat Hunters Take on Ducktail Stealer. Triage of the Loader

https://www.nextron-systems.com/2023/06/29/hunting-ducks-a-threat-hunters-take-on-ducktail-stealer

Report completeness: Low

Threats:
Ducktail_stealer

Victims:
Marketing companies

Geo:
Vietnamese

ChatGPT TTPs:
do not use without manual check
T1140, T1189, T1486, T1560, T1573, T1588, T1598

IOCs:
File: 5
Hash: 2

Soft:
net core, telegram, microsoft onedrive

Algorithms:
zip, aes

YARA: Found

Links:
https://github.com/icsharpcode/ILSpy
https://github.com/Neo23x0/signature-base/blob/master/yara/mal\_ducktail\_compromised\_certs\_jun23.yar

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: DuckTail Stealer - это вредоносная программа, направленная на маркетинговые компании, распространяемая по электронной почте в виде поддельных маркетинговых кампаний и предложений о найме на работу. Она предназначена для проникновения в компании, имеющие доступ к рекламным аккаунтам в Интернете, и распространения вредоносной рекламы. Она быстро развивается, часто меняя свои загрузчики и сертификаты.
-----

DuckTail Stealer - известная вредоносная программа, направленная в первую очередь на маркетинговые компании. Она распространяется по электронной почте в виде поддельных маркетинговых кампаний и предложений о найме, со ссылками на ZIP-архивы, содержащие безобидные изображения, видео и поддельные документы. Документы, однако, на самом деле являются исполняемыми файлами, которые загружают вредоносную программу DuckTail. Эти файлы обычно представляют собой автономные двоичные файлы .NET apphost, которые имеют большой размер и могут быть запущены даже на машинах без установленной соответствующей среды выполнения. Кроме того, они часто используют сертификаты с кодовой подписью и вьетнамскими именами, а также используют API Telegram для утечки украденных данных.

Полезная нагрузка зашифрована AES и сжата, и ее можно определить с помощью SmartAssembly. Также полезную нагрузку можно обнаружить с помощью правил Yara. Кроме того, было замечено, что злоумышленники, стоящие за DuckTail, используют для размещения вредоносных архивов легитимные облачные сервисы хранения данных, такие как Google Drive, OneDrive и iCloud.

Основная цель DuckTail - проникновение в компании, имеющие доступ к рекламным аккаунтам в Интернете. Для этого он фокусируется на учетных записях Facebook Business, собирает с них дополнительную информацию и изменяет их данные. DuckTail также подозревается в распространении вредоносной рекламы через законные аккаунты Facebook.

Правила Valhalla охватывают загрузчики .NET, полезные нагрузки stealer, сценарии PowerShell и другие инструменты, используемые DuckTail, а тактика, используемая злоумышленниками, не претерпела значительных изменений с момента ее обнаружения. Однако DuckTail быстро развивается, меняя свои загрузчики и сертификаты часто в течение нескольких недель.

#ParsedReport #CompletenessMedium
04-07-2023

The suspected Maha grass organization uses the WarHawk backdoor variant Spyder to spy on many countries

https://mp-weixin-qq-com.translate.goog/s/ewGyvlmWUD45XTVsoxeVpg?_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=en&_x_tr_pto=wapp

Report completeness: Medium

Actors/Campaigns:
Dropping_elephant (motivation: cyber_espionage)
Sidewinder

Threats:
Spyder
Warhawk
Remcos_rat

Victims:
China, Pakistan, Nepal police, Bangladesh air force

Industry:
Energy, Military, Education, Government

Geo:
China, Nepal, Bangladesh, Asian, Pakistan, Asia

TTPs:
Tactics: 1
Technics: 0

IOCs:
Registry: 2
Url: 16
File: 12
Hash: 9
IP: 2

Soft:
wechat, android

Algorithms:
xor, base64

Functions:
GetComputerNameExW, GetUserNameW, GetNativeSystemInfo, CreateInterfaace

Win API:
CreateMutexA, ComputerNameExW, UserNameW, NativeSystemInfo

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Maha Grass (APT-Q-36) - это южноазиатская APT-организация, ведущая деятельность по кибершпионажу против стран азиатского региона с 2009 года. Недавно Центром разведки угроз QiAnXin была обнаружена партия вредоносных образцов, связанных с Maha Grass. Они содержат бэкдор Spyder, имеющий много общего с ранее раскрытым бэкдором WarHawk, и легкий бэкдор, написанный на языке C#. QiAnXin Threat Intelligence Center рекомендует пользователям остерегаться фишинговых атак и принимать необходимые меры безопасности для защиты своих данных.
-----

Maha Grass, также известная как Patchwork, White Elephant, Hangover, Dropping Elephant и т.д., является южноазиатской организацией APT (Advanced Persistent Threat) с внутренним номером отслеживания APT-Q-36. Она активна с 2009 года и ведет деятельность по кибершпионажу против стран азиатского региона, нацеливаясь на организации в области государственного управления, вооруженных сил, электроэнергетики, промышленности, научных исследований и образования, дипломатии и экономики. Недавно Центр разведки угроз QiAnXin обнаружил партию вредоносных образцов, связанных с Maha Grass, в ходе ежедневного процесса отслеживания и анализа образцов.

Вредоносный образец маскируется под иконки документов, таких как Word, Excel и PDF, и может быть разделен на два типа. Первый тип, или оригинальная версия, был обнаружен в апреле, а второй тип, или новая версия, - в июне. Обе версии образца содержат информацию C2, но данные о конфигурации немного отличаются. Среди целей образца - Китай, Пакистан, полиция Непала и ВВС Бангладеш.

Бэкдор Spyder, используемый злоумышленниками, имеет много общего с ранее раскрытым бэкдором WarHawk, а судя по цифровому сертификату ранних образцов и связанным с ними образцам троянского коня Remcos, бэкдор Spyder, скорее всего, находится в руках Mahacao. Функции, поддерживаемые бэкдором, включают загрузку и выполнение последующих полезных нагрузок, выполнение команд, сбор и возврат информации о файлах и загрузку файлов. Он собирает информацию о зараженном устройстве, включая hwid (Machine GUID) в качестве идентификатора жертвы в коммуникации C2. После выбора определенной команды он отправляет "hwid=%s&deploy=%d&bakmout=1" на C2. Он также будет многократно взаимодействовать с C2, загружать и запускать последующие полезные нагрузки, и процесс взаимодействия подробно описан в тексте.

Кроме того, мы обнаружили еще один легкий бэкдор, написанный на C#, с одного из IP-адресов, используемых злоумышленниками. Этот бэкдор очень прост и, скорее всего, использовался в сочетании с другими вредоносными программами во время атаки.

Центр анализа угроз QiAnXin предупреждает пользователей о необходимости остерегаться фишинговых атак, не открывать ссылки из неизвестных источников, размещенные в социальных сетях, не нажимать и не выполнять вложения электронной почты из неизвестных источников, не запускать неизвестные файлы с преувеличенными названиями и не устанавливать приложения из неофициальных источников. Важно своевременно создавать резервные копии важных файлов, обновлять и устанавливать патчи.

#rstcloud
Нас включили в реестр отечественного ПО!
https://reestr.digital.gov.ru/reestr/1613350/

#rstcloud
Мы сами ходим в WHOIS сервера и парсим ответы от них (есть даже отдельное API)
Так вот!
Обновили парсеры для доменов: .fi (Finland), .tm (Turkmenistan), .gd (Grenada), .direct, .foundation, .ngo, .repair, .sport, .med, .love, .support, .sydney, .amsterdam, .rocks, .place

#ParsedReport #CompletenessLow
05-07-2023

BlueNoroff \| How DPRK s macOS RustBucket Seeks to Evade Analysis and Detection

https://www.sentinelone.com/blog/bluenoroff-how-dprks-macos-rustbucket-seeks-to-evade-analysis-and-detection

Report completeness: Low

Actors/Campaigns:
Lazarus

Threats:
Rustbucket
Applescript

Victims:
Macos users

Geo:
Dprk

ChatGPT TTPs:
do not use without manual check
T1543.001, T1036, T1519.001, T1064, T1543.003, T1547.001

IOCs:
Hash: 43
File: 2
Domain: 2

Soft:
macos

Algorithms:
xor, zip

Functions:
system

Languages:
rust, objective_c

Platforms:
arm, intel, apple, x86

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Кампания RustBucket - это сложная APT-атака на пользователей macOS, приписываемая APT-группе BlueNoroff. Она начинается с апплета, маскирующегося под приложение PDF Viewer, и написана на Swift и Objective-C. Он имеет два универсальных двоичных файла Mach-O, вариант A и вариант B, причем последний содержит механизм сохранения. Угрожающий субъект прилагает значительные усилия для уклонения от анализа и обнаружения, и SentinelOne обеспечивает защиту от известных компонентов вредоносной программы RustBucket.
-----

Кампания RustBucket - это сложная APT, направленная на пользователей macOS. Она с большой долей уверенности приписывается APT BlueNoroff, которая, как принято считать, является дочерней компанией более широкой группы кибер-атак КНДР, известной как Lazarus. Атака начинается с апплета, который маскируется под приложение PDF Viewer. Этот апплет используется для записи второй стадии вредоносного ПО в папку /Users/Shared/, которая не требует разрешений и доступна для вредоносного ПО без необходимости обхода TCC.

Было установлено, что полезные нагрузки Stage 2 написаны на языках Swift и Objective-C и скомпилированы для кремниевых архитектур Intel и Apple. Размеры и артефакты кода образцов Stage 2 различны, но все полезные нагрузки имеют задачу получения Stage 3 с командно-контрольного сервера. В одном из новых вариантов Stage 2, написанном на Swift, строка User-Agent написана в нижнем регистре, что может указывать на то, что угрожающие субъекты анализируют строки пользовательских агентов на стороне сервера, чтобы отсеять нежелательные вызовы к C2.

Были найдены два универсальных двоичных файла Mach-O, вариант A и вариант B; вариант A имеет размер 11,84 МБ, а вариант B - 8,12 МБ. Вариант B содержит механизм сохранения, отсутствующий в предыдущих версиях RustBucket, в виде жестко закодированного LaunchAgent, записанного на диск по адресу \~/Library/LaunchAgents/com.apple.systemupdate.plist. Файл ErrorCheck записывает копию себя в \~/Library/Metadata/System Update.

Обширные усилия, предпринятые для уклонения от анализа и обнаружения, показывают, что угрожающий субъект знает о растущем распространении защитного ПО среди организаций, имеющих в своем парке устройства на базе macOS. Компания SentinelOne отслеживает кампанию RustBucket и продолжает анализ известных полезных нагрузок. Они также обеспечивают защиту от известных компонентов вредоносного ПО RustBucket, а также от попыток установить механизмы сохранения на устройствах macOS.

#ParsedReport #CompletenessLow
05-07-2023

Email crypto phishing scams: stealing from hot and cold crypto wallets

https://securelist.com/hot-and-cold-cryptowallet-phishing/110136

Report completeness: Low

Victims:
Users of hot and cold wallets

Industry:
Financial

IOCs:
Url: 2

Soft:
node.js

Wallets:
coinbase

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что злоумышленники постоянно находят новые способы кражи цифровых денег, и пользователям криптовалют необходимо быть бдительными, чтобы защитить свои активы. Холодные кошельки более безопасны, чем горячие, но киберпреступники становятся все более изощренными в своей тактике.
-----

Криптовалюты становятся все более популярными, в результате чего злоумышленники постоянно находят новые способы кражи цифровых денег. Горячие кошельки являются самым популярным вариантом хранения криптовалют благодаря своей простоте и удобству использования, но они также наиболее уязвимы для атак. Киберпреступники рассылают сообщения якобы от легитимной криптовалютной биржи, требуя от пользователей подтвердить транзакцию или еще раз верифицировать кошелек. Эти атаки обычно не очень изощренные, так как они обычно не направлены на крупные суммы денег. Холодные кошельки, с другой стороны, более безопасны и часто используются для хранения больших сумм денег. Однако пользователи все равно должны сохранять бдительность, поскольку киберпреступники становятся все более изощренными в своих методах.

В марте-мае 2023 года антиспам-решения Касперского заблокировали более 85 000 мошеннических писем, направленных на пользователей криптовалют. Пик количества писем пришелся на март - почти 35 000 писем, затем 19 902 в апреле и 30 816 в мае. Очевидно, что злоумышленники понимают, что чем сложнее добраться до добычи, тем больше она будет. Поэтому они используют более сложную тактику, пытаясь получить доступ к холодным кошелькам.

#education #inseca

TI в России набирает популярность и вместе с этим растет потребность в системном обучении специалистов по киберразведке. RST Cloud выступил партнером одного из первых курсов по Threat Intelligence в России. Курс заточен на практику и учит мыслить, как TI-аналитик.

За 5 недель вы на практике пройдете весь жизненный цикл TI и научитесь:
- создавать собственный ландшафт угроз в MITRE
- анализировать TI-отчёты
- определять тактики и техники MITRE ATT&CK, используемые злоумышленниками
- настраивать opensource TI-платформу
- создавать инструменты для сбора, хранения и анализа данных из открытых источников с помощью Python
- и не только

В программу курса включен вебинар «CTI на практике. Работа с RST Cloud». Николай Арефьев, сооснователь RST Cloud, расскажет как работать с открытыми TI-данными и на что стоит обращать внимание в первую очередь, чтобы не превратить эту работу в ад.

Набор открыт, присоединяйтесь: https://clck.ru/34uGTr

У аналитиков начался сезон отпусков
(Статистика по кол-ву TI-отчетов)

#rstcloud
Сбор с Twitter снова запущен на новом движке.

#ParsedReport #CompletenessLow
06-07-2023

Malicious ad for USPS fishes for banking credentials

https://www.malwarebytes.com/blog/threat-intelligence/2023/07/malicious-ad-for-usps-phishes-for-jpmorgan-chase-credentials

Report completeness: Low

Victims:
Consumers and businesses

Industry:
Education, Financial

Geo:
Ukraine

IOCs:
Domain: 5

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Malvertising - это форма вредоносной рекламы, используемая для доставки вредоносных программ, мошенничества и фишинговых атак. Важно быть бдительным при поиске пакетов в Интернете и не нажимать на подозрительные рекламные объявления. Полный комплект защиты с защитой в режиме реального времени поможет защититься от атак с использованием вредоносной рекламы.
-----

Малвертайзинг - это форма вредоносной рекламы, которая используется для доставки вредоносных программ, мошенничества и фишинговых атак ничего не подозревающим жертвам. Недавно Джесси Баумгартнер, директор по маркетингу компании Overt Operator, обнаружил вредоносную рекламную кампанию при попытке отследить посылку на сайте Почтовой службы США. Вредоносное объявление содержало официальный URL и логотип сайта USPS, однако "рекламодатель" был из Украины. При нажатии на кнопку реклама перенаправляла жертв на вредоносный сайт, который собирал их адрес, данные кредитной карты и требовал войти в их банковский счет для проверки.

Эта кампания по вредоносной рекламе является прекрасным примером того, как субъекты угроз используют выдачу себя за бренд, чтобы протащить мошенническую рекламу через популярные поисковые системы. Это также напоминание о том, что обучение и просвещение пользователей может зайти так далеко, поскольку вредоносная реклама часто выглядит совершенно законно. Поэтому для защиты от таких атак, связанных с вредоносной рекламой, необходим полный комплекс защиты в режиме реального времени. Такой пакет должен быть способен нацеливаться на начальную рекламу, вплоть до полезной нагрузки, чтобы остановить злоумышленников на их пути.

К счастью, Google и Cloudflare уже отметили вредоносные домены как фишинговые, поэтому пользователи могут быть уверены, что их информация в безопасности. Тем не менее, важно сохранять бдительность при поиске пакетов в Интернете, поскольку злоумышленники могут попытаться использовать в своих интересах ничего не подозревающих пользователей. Если вы заметили подозрительную рекламу, лучше не нажимать на нее и обратиться непосредственно на официальный сайт. Приняв эти меры предосторожности, вы сможете защитить себя от злоумышленников и их попыток украсть ваши данные.

#ParsedReport #CompletenessHigh
06-07-2023

Blank Grabber Returns With High Evasiveness

https://www.cyfirma.com/outofband/blank-grabber-returns-with-high-evasiveness

Report completeness: High

Threats:
Blankgrabber
Aurora
Uac_bypass_technique
Binder
Dll_sideloading_technique
Upx_tool
Timestomp_technique
Credential_dumping_technique

Victims:
Organizations and individuals

Industry:
Financial

TTPs:
Tactics: 8
Technics: 24

IOCs:
File: 4
Domain: 1
Hash: 4

Soft:
windows defender, discord, whatsapp, telegram, roblox, windows registry

Algorithms:
xor, sha1, sha256

Functions:
SetValue

Languages:
python

SIGMA: Found