#ParsedReport #CompletenessHigh
11-07-2023

Hunting for A New Stealthy Universal Rootkit Loader

https://www.trendmicro.com/en_us/research/23/g/hunting-for-a-new-stealthy-universal-rootkit-loader.html

Report completeness: High

Threats:
Fivesys
Poortry
Vmprotect_tool
Terminator_tool
Disabling_antivirus_technique

Victims:
Gaming sector in china

Industry:
Entertainment, Financial

Geo:
Chinese, China

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1218.002, T1574.001, T1090, T1090.004, T1572, T1112

IOCs:
Path: 1
Registry: 1
Url: 1
Domain: 12
IP: 2

Soft:
windows kernel, windows defender

Algorithms:
exhibit

Languages:
javascript

#ParsedReport #ExtractedSchema

Classified images:
code: 25, schema: 4, windows: 15, chart: 4, dump: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Злоумышленники используют руткиты для того, чтобы скрыть вредоносный код от средств защиты, ослабить защиту и долгое время оставаться незамеченными. Эти руткиты используются сложными группами, обладающими навыками и ресурсами для разработки подобных инструментов, и представляют опасность благодаря своей способности скрывать целевые атаки на ранних этапах цепочки поражения.
-----

Недавно мы обнаружили новый подписанный код руткита, который взаимодействует с крупной командно-контрольной инфраструктурой. Этот руткит был подписан в рамках процесса Windows Hardware Quality Lab (WHQL) компании Microsoft, что затрудняет его идентификацию и обнаружение. Судя по всему, злоумышленники происходят из Китая и в основном нацелены на игровой сектор в этой стране.

Вредоносные субъекты демонстрируют компетентность в использовании инструментов, тактик и процедур (TTP). Поиск 64-битных подписанных руткитов сейчас сложнее, чем в прошлом, из-за увеличения количества подписанных драйверов, более высокой стоимости разработки и отсутствия технических возможностей для включения руткитов ядра в свой арсенал вредоносного ПО или доступа к техникам, необходимым для обхода защитных средств, добавленных в новые версии Windows. Мы выявили два различных кластера образцов, которые имели много общих черт между собой, что указывает на то, что злоумышленник, создавший эти образцы, все еще находится на стадии тестирования и разработки.

Драйвер первого этапа отвечает за все сетевые взаимодействия с C&C-серверами. Он инициирует все взаимодействия из пространства ядра, используя WSK, сетевой программный интерфейс (NPI) в режиме ядра, и периодически соединяется с C&C-сервером для получения конфигурации. Он также может выступать в роли загрузчика драйверов ядра, получая побайтно данные от C&C-сервера, декодируя и расшифровывая их, загружая в память, разбирая полученный Portable Executable (PE) файл и вызывая точку входа в драйвер. Функция уведомления об отключении на первом этапе проверяет, был ли получен и загружен в память с C&C-сервера плагин ядра для очистки. Кроме того, создается служба с именем BaohuName, которая будет запущена при повторном старте системы.

Второй этап отвечает за установку прокси-сервера на машину и перенаправление трафика веб-браузеров на удаленную прокси-машину. Сначала он редактирует конфигурацию прокси-сервера Windows и внедряет в браузер JavaScript, который, исходя из URL-адреса, может перенаправить его на другой сервер. Мы обнаружили, что драйверы и известный руткит FiveSys имеют много общего с точки зрения функциональности, схожести кода, инфраструктуры и виктимологии.

Злоумышленники будут продолжать использовать руткиты для сокрытия вредоносного кода от средств защиты, ослабления защитных механизмов и длительной незаметности. Эти руткиты будут активно использоваться сложными группами, обладающими как навыками обратного инжиниринга низкоуровневых компонентов системы, так и необходимыми ресурсами для разработки подобных инструментов. Это означает, что основная опасность руткитов такого рода заключается в их способности скрывать сложные целевые атаки, которые будут использоваться на ранних этапах цепочки поражения, позволяя злоумышленнику ослабить защиту до того, как полезная нагрузка будет запущена в среду жертвы.

#ParsedReport #CompletenessMedium
11-07-2023

Breaking into the Bandit Stealer Malware Infrastructure. Technical Analysis

https://www.cloudsek.com/blog/breaking-into-the-bandit-stealer-malware-infrastructure

Report completeness: Medium

Actors/Campaigns:
Dev-0960

Threats:
Bandit_stealer
Vidar_stealer
Redline_stealer
Raccoon_stealer
Process_hacker_tool
Ollydbg_tool
Empyrean

Victims:
Individuals and companies whose data was stolen from web browsers, digital wallets and ftp applications

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1071, T1218, T1486, T1564, T1566, T1574, T1577

IOCs:
Path: 1
File: 1
IP: 1
Hash: 3

Soft:
telegram, chrome, 7star, vivaldi, orbitum, microsoft edge, torch, kometa, centbrowser, amigo, have more...

Wallets:
coinbase, saturn_wallet, metamask, coin98, ronin_wallet, multidoge, tronlink, kardiachain, terra_station, electron_cash, have more...

Crypto:
bitcoin, binance, litecoin, ethereum, monero, dogecoin

Algorithms:
zip

Win API:
IsDebuggerPresent, CheckRemoteDebuggerPresent

Win Services:
vgauthservice

Languages:
javascript, python

Links:
https://github.com/addi00000/empyrean/blob/28add58d1fa7f6523ab8b958e8e4ede764593612/src/components/antidebug.py#L19

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Bandit Stealer - недавно обнаруженная разновидность вредоносного ПО для похищения информации, написанная на языке Go. Он распространяется в основном через видеоролики на YouTube и предназначен для обнаружения виртуальных машин и отладчиков. Он способен осуществлять эксфильтрацию данных из зараженных систем, данных из популярных браузеров и может управляться с помощью веб-панели. Он был обнаружен на русскоязычных андеграундных форумах и использует идентичную копию файла из открытого проекта вредоносного ПО stealer. Компания CloudSEK отмечает рост количества видеороликов на YouTube, содержащих ссылки на вредоносное ПО stealer, на 200-300% в месяц.
-----

Bandit Stealer - это новая разновидность вредоносного ПО для кражи информации, написанная на языке Go. Впервые он был обнаружен исследователями CloudSEK 06 июля 2023 года и распространяется в основном через видеоролики на YouTube. Вредоносная программа предназначена для обнаружения виртуальных машин и отладчиков и отключается, если обнаруживает среду "песочницы".

Bandit Stealer собирает с зараженных систем самые разнообразные данные: данные о ПК и пользователях, скриншоты, информацию о геолокации и IP-адресах, изображения с веб-камер, данные из популярных браузеров, FTP-приложений и цифровых кошельков. В каталоге C:\Users\USERNAME\AppData\Roaming\blacklist.txt хранится составленный черный список, который позволяет определить, работает ли программа в песочнице/виртуальной среде или на реальной системе.

Управление вредоносной программой осуществляется с помощью веб-панели, которая включает в себя страницу входа в систему, интерфейс приборной панели и страницу конструктора. Для осуществления своей деятельности угрозы используют канал связи, адреса криптовалютных кошельков, URL загрузчика и имя файла. Страница сборки используется для генерации исполняемых файлов. Похищенные данные отправляются на защищенный Telegram-бот и упаковываются в ZIP-файл для удобства передачи.

Исследователи CloudSEK недавно обнаружили не менее 14 IP-адресов, обслуживающих веб-панель Bandit Stealer, большинство из которых вышли из строя в течение 24 часов. Все эти IP-адреса работали через порт 8080. Также было обнаружено сообщение с упоминанием этой вредоносной программы на одном из русскоязычных подпольных форумов, где за нее поручился один из участников угроз.

Вредоносная программа нацелена на более чем 25 криптовалютных кошельков и 17 веб-браузеров, включая Firefox, Chrome и Edge. Она способна перехватывать сохраненные регистрационные данные, файлы cookie, историю посещений и данные кредитных карт, хранящиеся в пользовательском профиле браузера. Пример перехвата cookies Firefox программой Bandit Stealer был найден в логах, извлеченных из ее веб-панели.

Вредоносная программа использует идентичную копию файла "blacklist.txt" из открытого проекта вредоносной программы-кражи под названием EMPYREAN, доступного на Github. В нем также содержится скриншот процесса уничтожения антиреверсивных инструментов с помощью Command Prompt и PowerShell. Еще один скриншот демонстрирует использование бота Telegram во вредоносной программе в качестве канала связи C2. Собранные данные упаковываются в ZIP-файл и передаются на сервер C2, принадлежащий Telegram (149.154.167.220).

С ноября 2022 года компания CloudSEK заметила увеличение на 200-300% за месяц количества видеороликов на YouTube, содержащих в описании ссылки на вредоносные программы-крадуны, такие как Vidar, RedLine и Raccoon. Это один из наиболее распространенных механизмов доставки вредоносных программ среди угроз.

#ParsedReport #CompletenessMedium
11-07-2023

Legion Stealer targeting PUBG players

https://blog.cyble.com/2023/07/11/legion-stealer-targeting-pubg-players

Report completeness: Medium

Actors/Campaigns:
Dev-0960

Threats:
Legion_stealer
Legion
Meteor_wiper
Beacon
Credential_dumping_technique

Victims:
Players of popular game playerunknown's battle grounds (pubg)

Industry:
Entertainment

TTPs:
Tactics: 6
Technics: 16

IOCs:
File: 8
Command: 1
Registry: 3
Hash: 2

Soft:
microsoft visual studio, visual studio, windows defender, lox stud, chrome, chromium, comodo dragon, opera, slimjet, vivaldi, have more...

Wallets:
zcash, jaxx, electrum, atomicwallet, guarda_wallet, coinomi

Crypto:
ethereum

Algorithms:
sha256, zip, sha1

Functions:
GetPasswords, GetCookies

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Угрожающие организации используют совместную работу на GitHub для распространения вредоносных программ, бэкдоров и эксплойтов через репозитории. Недавно был обнаружен вредоносный файл, маскирующийся под хакерский проект PUBG bypass. Это вредоносное ПО обладает целым рядом методов обхода защиты и предназначено для извлечения конфиденциальной информации из веб-браузеров, криптовалютных кошельков и игровых файлов. Пользователям важно проявлять осторожность при загрузке и запуске файлов и скриптов.
-----

GitHub - это веб-платформа, обеспечивающая контроль версий и совместную работу над проектами по разработке программного обеспечения. Угрозы могут использовать GitHub для распространения вредоносных программ, бэкдоров или эксплойтов через репозитории, используя совместную работу пользователей, чтобы заставить их выполнить вредоносный код. Недавно компания Cyble Research and Intelligence Labs (CRIL) обнаружила страницу GitHub, маскирующуюся под хакерский проект PUBG bypass, но на самом деле распространяющую вредоносный файл.

Этот вредоносный файл представлял собой 32-разрядный исполняемый файл, скомпилированный с использованием .NET и обфусцированный с помощью неизвестного обфускатора. При выполнении он содержал ряд команд, направленных на обход обнаружения, несанкционированный доступ и использование уязвимостей, имеющихся в скомпрометированной системе. Эти команды включали в себя манипуляции с настройками Windows Defender, извлечение информации из реестра и сбор сведений о системе. Кроме того, вредоносная программа выполняла сканирование по жестко заданному списку имен прикладных процессов, связанных с программами виртуализации и средствами анализа вредоносных программ. Если на компьютере жертвы обнаруживались активные процессы, вредоносная программа выполняла действия по их завершению.

Полезная нагрузка Legion Stealer также содержала список имен компьютеров, имен пользователей и аппаратных идентификаторов, которые использовались в качестве идентификаторов для определения того, работает ли она в контролируемой среде. Если имя компьютера, имя пользователя или аппаратный идентификатор совпадали с любой записью в списке, крадущий завершал свою работу. После выполнения защитных действий похититель приступал к сбору системной информации и извлечению конфиденциальных данных из таких браузеров, как Brave, Chrome, Chromium, Comodo Dragon, Edge, Epic Privacy, Iridium, Opera, Opera GX, Slimjet, UR Browser, Vivaldi и Yandex.

Вредоносная программа также нацеливалась на такие криптовалютные кошельки, как Zcash, Armory, Bytecoin, Jaxx, Exodus, Ethereum, Electrum, AtomicWallet, Guarda и Coinomi, запрашивая и считывая файлы, расположенные в соответствующих каталогах. Кроме того, злоумышленники искали файлы сессий Minecraft и cookies Roblox, перехватывали изображения с веб-камер и делали скриншоты системы жертвы. Похищенные данные сжимались и передавались на сервер Discord.

Этот инцидент подчеркивает важность осторожности при загрузке и запуске файлов и скриптов. Многие геймеры испытывают искушение использовать читы или хаки для получения нечестного преимущества в играх, часто доверяя игровому контенту без должной осторожности. ТА используют этот спрос, маскируя свои вредоносные программы под игровые читы или обходные пути. Рост числа похитителей информации вызывает озабоченность, поскольку они помогают ТА получить первоначальный доступ, что позволяет им компрометировать корпоративные сети и усиливать угрозы. CRIL будет продолжать следить за появлением новых штаммов вредоносного ПО и фишинговых кампаний в природе и обновлять блоги с оперативной информацией для защиты пользователей от подобных атак.

#ParsedReport #CompletenessMedium
11-07-2023

SCARLETEEL 2.0: Fargate, Kubernetes, and Crypto

https://sysdig.com/blog/scarleteel-2-0

Report completeness: Medium

Actors/Campaigns:
Scarleteel (motivation: financially_motivated)

Threats:
Pandora
Mirai
Netcat_tool
Xmrig_miner

Industry:
Iot, Financial

Geo:
Russian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1218, T1564, T1566, T1053, T1003, T1083, T1071, T1563, T1552

IOCs:
IP: 4
Domain: 3
Url: 1
File: 1

Soft:
fargate, docker, curl, alpine docker, systemd

Crypto:
monero

Algorithms:
base64

Functions:
get_aws_data, send_aws_data, notraces

Languages:
php, javascript

Links:
https://github.com/RhinoSecurityLabs/pacu
https://github.com/moparisthebest/static-curl
https://github.com/unknownhad/AWSAttacks/blob/main/10-01-2023
https://github.com/inguardians/peirates

#ParsedReport #ExtractedSchema

Classified images:
table: 2, code: 1, schema: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: SCARLETEEL - это угроза, которая атакует облачные среды и похищает интеллектуальную собственность. Для защиты от атак SCARLETEEL организациям необходимо иметь несколько уровней защиты.
-----

Операция SCARLETEEL - это постоянно развивающаяся угроза, которая уже некоторое время атакует облачные среды. Команда Sysdig Threat Research Team впервые сообщила о них в феврале прошлого года, и с тех пор они усовершенствовали свою тактику, чтобы обойти меры безопасности и стать еще более скрытными. Их целью является не только криптомайнинг, но и кража интеллектуальной собственности. Их методы стали включать в себя атаку на кластеры AWS Fargate и Kubernetes, что позволяет значительно расширить возможности атак.

Для эксплуатации облачных сред SCARLETEEL использует различные инструменты, включая контейнеры с блокнотами JupyterLab, скрипты GitHub, вредоносные программы Pandora, peirates и клиент AWS. С помощью этих инструментов злоумышленники получают доступ к учетным данным AWS, повышают привилегии до AdministratorAccess, запускают инстансы EC2 с майнерами, загружают и выполняют инструменты, осуществляют эксфильтрацию данных, отправляют и получают данные из доменов C2.

Для защиты от этой угрозы организации должны иметь несколько уровней защиты. К ним относятся обнаружение угроз во время выполнения программы, управление уязвимостями, CSPM и CIEM. Без этих уровней организация рискует понести значительные финансовые потери из-за SCARLETEEL. Кроме того, для защиты от этих атак организации должны поддерживать все программное обеспечение и приложения в актуальном состоянии и обеспечивать надлежащую политику контроля доступа.

#ParsedReport #CompletenessHigh
13-07-2023

CustomerLoader: a new malware distributing a wide variety of payloads. Introduction

https://blog.sekoia.io/customerloader-a-new-malware-distributing-a-wide-variety-of-payloads

Report completeness: High

Threats:
Customerloader
Dotrunpex
Kraken_keylogger
Redline_stealer
Formbook
Vidar_stealer
Stealc
Raccoon_stealer
Lumma_stealer
Stormkitty_stealer
Agent_tesla
Darkcloud
Kraken
Asyncrat_rat
Quasar_rat
Remcos_rat
Xworm_rat
Njrat
Warzone_rat
Sbit_rat
Nanocore_rat
Sectop_rat
Lgoogloader
Amadey
Tzw_ransomware
Wannacry
Amsi_bypass_technique
Seo_poisoning_technique

TTPs:
Tactics: 3
Technics: 9

IOCs:
Url: 12
File: 4
Hash: 7
IP: 5
Domain: 52

Soft:
windows defender, slack

Algorithms:
base64, aes, zip

Win API:
AmsiScanBuffer

YARA: Found

Links:
https://github.com/NotPrab/.NET-Obfuscator

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: CustomerLoader - это новая вредоносная программа для .NET, связанная с сервисом Loader-as-a-Service, который используется для доставки различных вредоносных полезных нагрузок. Аналитики Sekoia.io обнаружили несколько цепочек заражения CustomerLoader, которые используются в фишинговых кампаниях и на сайтах с поддельными установщиками. Sekoia.io продолжит наблюдение за развитием CustomerLoader и поиск новых вредоносных программ.
-----

CustomerLoader - это новая вредоносная программа .NET, связанная с сервисом Loader-as-a-Service, который был обнаружен в начале июня 2023 года. Вредоносная программа используется для загрузки, расшифровки и выполнения полезной нагрузки из вредоносных фишинговых писем, видеороликов YouTube и веб-страниц. Полезная нагрузка, доставляемая CustomerLoader, представляет собой образцы dotRunpeX, которые поставляют различные семейства вредоносных программ, включая инфокрады, троянские программы удаленного доступа (RAT) и товарные программы-вымогатели.

Аналитики Sekoia.io обнаружили три цепочки заражений, распространяющих CustomerLoader в дикой природе. Эти злоумышленники использовали CustomerLoader в своей кампании распространения и почти наверняка являются клиентами сервиса Loader-as-a-Service. Вредоносная программа использует различные техники для обфускации своего кода и скрытия его выполнения, маскируясь под легитимное приложение. Кроме того, он исправляет функцию AmsiScanBuffer из amsi.dll, которая проверяет содержимое буфера на наличие потенциального вредоносного кода, возвращая константу AMSI_RESULT_CLEAN для метода AmsiScanBuffer в случае записи в память вредоносной полезной нагрузки.

Вредоносная программа загружает HTML-страницу со встроенного URL; Извлекает из страницы загрузки закодированную строку base64 с помощью регулярного выражения: /!!!(.*?)!!!/ Декодирует строку base64 и расшифровывает ее; Использует технику отражающего кода для выполнения полезной нагрузки в памяти.

В период с 31 мая по 20 июня 2023 года образцы CustomerLoader напрямую общались по IP-адресу с сервером C2 5.42.94 . 169 по протоколу HTTP. 20 июня 2023 года CustomerLoader переключил свой C2-сервер и коммуникации на доменное имя kyliansuperm92139124 . sbs и HTTPS. Домен kyliansuperm92139124 . sbs защищен системой Cloudflare, что предотвращает сканирование и сбор полезной нагрузки исследователями безопасности. Однако этот домен является прокси для C2-коммуникаций, а внутренний сервер всегда находится по адресу 5.42.94 . 169.

CustomerLoader был замечен в фишинговых кампаниях, на украденных аккаунтах YouTube, а также в виде поддельного инсталлятора, выдающего себя за сайт программы для проведения видеоконференций Slack.

Аналитики Sekoia.io выявили более 50 доменов, используемых для широкого распространения товарного вредоносного ПО. Также были замечены дополнительные запросы к другим вредоносным доменам, вероятно, связанным с инфраструктурой одного злоумышленника. Эта инфраструктура, как правило, используется для размещения сайтов-распространителей и перенаправления на домены файлового хостинга.

По мнению аналитиков Sekoia.io, CustomerLoader, скорее всего, связан с сервисом Loader-as-a-Service и используется несколькими угрожающими субъектами, в том числе и теми, которые ранее были замечены в проведении долгосрочных кампаний с крупной и устойчивой инфраструктурой. Чтобы предоставить нашим клиентам оперативную информацию, Sekoia.io продолжит следить за развитием CustomerLoader и вести проактивный поиск новых вредоносных программ и инфраструктуры противника.

#ParsedReport #CompletenessLow
13-07-2023

Cisco Talos Intelligence Blog. Malicious campaigns target government, military and civilian entities in Ukraine, Poland

https://blog.talosintelligence.com/malicious-campaigns-target-entities-in-ukraine-poland

Report completeness: Low

Actors/Campaigns:
Ghostwriter

Threats:
Agent_tesla
Cobalt_strike
Beacon
Njrat
Confuserex_tool
Picassoloader
Binder

Victims:
Government entities, military organizations and civilian users in ukraine and poland

Industry:
Government, Financial, Military

Geo:
Belarusian, Ukrainian, Poland, Ukraine, Polish

IOCs:
File: 4

Soft:
microsoft office, microsoft excel, windows explorer

Algorithms:
aes, rc4

Functions:
SetQueryNetSessionCount

Win API:
DllUnregisterServer

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Компания Cisco Talos недавно обнаружила агента постоянных угроз, проводящего кампании против государственных структур, военных организаций и гражданских пользователей в Украине и Польше. В качестве вредоносных файлов используются документы Microsoft Excel и PowerPoint, содержащие официальные изображения и текст, убеждающий пользователя включить макросы, а конечная полезная нагрузка, обнаруженная в кампании июля 2023 года, включает троян удаленного доступа (RAT) AgentTesla, маяки Cobalt Strike и njRAT.
-----

Недавно компания Cisco Talos обнаружила агента постоянных угроз, проводящего кампании против государственных структур, военных организаций и гражданских пользователей в Украине и Польше. Предполагается, что целью этих операций является сбор конфиденциальной информации и получение удаленного доступа к системам. Активность была обнаружена как в апреле 2022 года, так и в начале этого месяца, что свидетельствует об устойчивости агента.

Вредоносные файлы, используемые злоумышленником, представляют собой документы Microsoft Excel и PowerPoint, содержащие официальные изображения и текст, убеждающие пользователя включить макросы. В документах Excel отображаются легитимные документы, связанные с военными организациями, или общие описания того, как включить макросы VBA, а в файлах PowerPoint отсутствуют какие-либо слайды, но при этом выполняется код VBA.

Кампания "Июль 2023" была приписана украинской Группой реагирования на компьютерные аварии (CERT-UA) группе угроз UNC1151 и представляла собой форму платежной инструкции с кодом VBA от Государственной казначейской службы Украины. В Польше и Украине также были замечены типовые кампании, направленные на гражданские объекты, например, электронные таблицы Excel, маскирующиеся под формы деклараций по налогу на добавленную стоимость (НДС).

Среди последних полезных нагрузок, обнаруженных в ходе кампании "Июль 2023", - троян удаленного доступа (RAT) AgentTesla, маяки Cobalt Strike и njRAT. Вредоносный VBA-код отвечает за сброс исполняемого файла-загрузчика или DLL, который использует управляемый AES (алгоритм Rijndael) для расшифровки вложенных данных. Загрузчик имеет имя PicassoLoader и обфусцирован с помощью ConfuserEx, обфускатора, широко используемого для обфускации .NET-кода.

#ParsedReport #CompletenessLow
13-07-2023

Stories from the SOC: OneNote MalSpam Detection & response

https://cybersecurity.att.com/blogs/security-essentials/stories-from-the-soc-onenote-malspam-detection-response

Report completeness: Low

IOCs:
File: 3
Domain: 5
Hash: 5

Soft:
onenote, microsoft word, microsoft excel, curl, outlook

Algorithms:
sha256, sha1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Угрожающие организации используют вредоносные вложения OneNote для установки вредоносного ПО на системы ничего не подозревающих жертв. SentinelOne смог обнаружить и устранить вредоносные файлы, а SECTOR создал поисковый запрос на основе эвристики для поиска любых потенциальных событий, связанных с вредоносным ПО. Были предприняты меры по устранению проблемы, и важно помнить о важности использования функции поиска угроз в сочетании с функцией Deep Visibility компании SentinelOne для повышения уровня безопасности.
-----

Начиная с 22 декабря 2022 года, угрожающие организации рассылают вредоносные вложения OneNote по фишинговым письмам с целью установки вредоносного ПО на системы ничего не подозревающих жертв. В то время как в большинстве фишинговых писем используются макросы и скрипты, OneNote не поддерживает эту функцию, что усложняет обнаружение данного типа атак. В результате необходимо было выявить и проанализировать тактику, технику и процедуры (TTP), используемые злоумышленниками.

Наблюдаемые ТТП включали использование Powershell.exe, Curl.exe после запуска скрытого процесса, а также подключение к внешнему сайту для попытки установки и выполнения вредоносного ПО. SentinelOne удалось обнаружить и обезвредить вредоносные файлы, а также выявить DNS-запросы к minaato . com, файлообменному сайту. Кроме того, SECTOR создал эвристический поисковый запрос для поиска возможных событий, связанных с вредоносным ПО, о которых SentinelOne мог не предупредить.

При дальнейшем исследовании SECTOR обнаружил событие, когда ping.exe успешно связывался с вредоносным доменом. Также было обнаружено, что вредоносная ссылка была скрыта под наложенным изображением стоковой компании Microsoft и предлагала пользователю нажать кнопку открытия. Это позволяло злоумышленнику получить доступ к системе пользователя и получить внутреннюю информацию.

Для устранения проблемы пострадавшим клиентам было предложено удалить все файлы с затронутых устройств, сбросить все пользовательские пароли, просканировать свои активы, глобально заблокировать IOC и установить правила блокировки на своих межсетевых экранах. Кроме того, следует помнить о важности использования функции поиска угроз в сочетании с функцией Deep Visibility от SentinelOne для повышения уровня безопасности.

#ParsedReport #CompletenessMedium
13-07-2023

Cloudy With a Chance of Credentials \| AWS-Targeting Cred Stealer Expands to Azure, GCP

https://www.sentinelone.com/labs/cloudy-with-a-chance-of-credentials-aws-targeting-cred-stealer-expands-to-azure-gcp

Report completeness: Medium

Actors/Campaigns:
Teamtnt

Threats:
Solarmarker
Lockfile
Netstat_tool
Upx_tool
Zgrab_scanner_tool
Masscan_tool
Tsunami_botnet

Victims:
Amazon web services (aws) credentials, azure, google cloud platform (gcp) services, exposed docker instances

Geo:
Netherlands

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1078, T1083, T1098, T1099, T1105, T1129, T1140, T1518.001

IOCs:
File: 17
Hash: 21
Coin: 1
Domain: 4

Soft:
docker, curl, redis, postgresql

Crypto:
monero

Algorithms:
sha1, base64

Languages:
php, golang

Links:
https://github.com/zmap/zgrab2
https://github.com/robertdavidgraham/masscan

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Замечено, что один из злоумышленников расширил инструментарий, позволяющий использовать учетные данные Azure, Google Cloud Platform (GCP) и Amazon Web Services (AWS), что свидетельствует о сходстве с командой криптоджекеров TeamTNT. Организациям следует принять меры по защите своих приложений и снижению уязвимости от внешних подключений.
-----

В июне 2023 года было замечено, что один из участников кампании по краже учетных данных в облачных средах расширил свой инструментарий и стал использовать сервисы Azure и Google Cloud Platform (GCP). Ранее этот агент использовал только учетные данные Amazon Web Services (AWS). Он использовал модуль распространения, похожий на червя, и нацеливался на открытые экземпляры Docker. Эти кампании имеют сходство с инструментами печально известной группы криптоджекеров TeamTNT, хотя в случае использования скриптовых инструментов атрибуция остается сложной.

Компания Permiso Security, сообщившая о первой кампании по краже учетных данных AWS в декабре 2022 года, отследила и проанализировала файлы, относящиеся к новому воплощению этой кампании. Основу кампании по-прежнему составляли скрипты оболочки, однако был также обнаружен двоичный файл исполняемого и связываемого формата (ELF), написанный на языке Golang. Компания Aqua также сообщила об элементах наблюдаемого ею злоупотребления образами Docker.

Актор больше не размещает файлы в открытом каталоге, а использует жестко заданную комбинацию имени пользователя и пароля, передаваемых в качестве аргументов команде curl. Инфраструктура перешла от Nice IT Services к AnonDns, провайдеру динамических доменных имен (DDNS), при этом используется несколько поддоменов AnonDNS. Логика сбора учетных данных направлена на следующие сервисы и технологии: конфигурация AWS IAM, конфигурация учетных данных безопасности EC2 и ресурсы IAM.

Сходство между этими кампаниями по краже учетных данных и кампанией TeamTNT, нацеленной на Kubelet, о которой Sysdig сообщал в октябре 2022 года, весьма велико. Скрипты aws.sh выполняют профилирование системы, а функция get_docker проверяет, является ли среда контейнером Docker, и запускает docker inspect для каждого запущенного контейнера, сохраняя результат в $CSOF. Data.sh - это сценарий постэксплойта, который собирает данные о системе и отправляет их на сервер злоумышленника.

Двоичный ELF-файл с UPX-пакетом, основанный на Golang, поставляет еще один shell-скрипт и выполняет сканирование системы с помощью Masscan и Zgrab. Затем он обращается к C2 с помощью curl, добавляя в URI запроса IP-адрес и порт уязвимости.

Мы полагаем, что данный агент активно настраивает и совершенствует свои инструменты, вероятно, готовясь к более масштабным кампаниям. Организации могут подготовиться к этим атакам, обеспечив правильную настройку приложений и исправление ошибок по мере поступления исправлений. Доступ к Docker должен быть ограничен в соответствии с потребностями организации, но при этом снижен уровень риска от внешних подключений.

#ParsedReport #CompletenessLow
12-07-2023

Routers from the Underground: Exposing AVrecon

https://blog.lumen.com/routers-from-the-underground-exposing-avrecon

Report completeness: Low

Threats:
Avrecon_rat
Beacon
Qakbot
Emotet
Zuo_rat
Hiatusrat

Victims:
Small-office/home-office (soho) routers

ChatGPT TTPs:
do not use without manual check
T1071, T1133, T1132, T1055, T1057, T1093, T1107, T1064, T1105, T1005, have more...

IOCs:
Domain: 2
IP: 4

Soft:
microsoft outlook

Languages:
php

Platforms:
mips, arm

Links:
https://github.com/blacklotuslabs/IOCs/blob/main/AVrecon\_IOCs.txt