#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Bandit Stealer - недавно обнаруженная разновидность вредоносного ПО для похищения информации, написанная на языке Go. Он распространяется в основном через видеоролики на YouTube и предназначен для обнаружения виртуальных машин и отладчиков. Он способен осуществлять эксфильтрацию данных из зараженных систем, данных из популярных браузеров и может управляться с помощью веб-панели. Он был обнаружен на русскоязычных андеграундных форумах и использует идентичную копию файла из открытого проекта вредоносного ПО stealer. Компания CloudSEK отмечает рост количества видеороликов на YouTube, содержащих ссылки на вредоносное ПО stealer, на 200-300% в месяц.
-----

Bandit Stealer - это новая разновидность вредоносного ПО для кражи информации, написанная на языке Go. Впервые он был обнаружен исследователями CloudSEK 06 июля 2023 года и распространяется в основном через видеоролики на YouTube. Вредоносная программа предназначена для обнаружения виртуальных машин и отладчиков и отключается, если обнаруживает среду "песочницы".

Bandit Stealer собирает с зараженных систем самые разнообразные данные: данные о ПК и пользователях, скриншоты, информацию о геолокации и IP-адресах, изображения с веб-камер, данные из популярных браузеров, FTP-приложений и цифровых кошельков. В каталоге C:\Users\USERNAME\AppData\Roaming\blacklist.txt хранится составленный черный список, который позволяет определить, работает ли программа в песочнице/виртуальной среде или на реальной системе.

Управление вредоносной программой осуществляется с помощью веб-панели, которая включает в себя страницу входа в систему, интерфейс приборной панели и страницу конструктора. Для осуществления своей деятельности угрозы используют канал связи, адреса криптовалютных кошельков, URL загрузчика и имя файла. Страница сборки используется для генерации исполняемых файлов. Похищенные данные отправляются на защищенный Telegram-бот и упаковываются в ZIP-файл для удобства передачи.

Исследователи CloudSEK недавно обнаружили не менее 14 IP-адресов, обслуживающих веб-панель Bandit Stealer, большинство из которых вышли из строя в течение 24 часов. Все эти IP-адреса работали через порт 8080. Также было обнаружено сообщение с упоминанием этой вредоносной программы на одном из русскоязычных подпольных форумов, где за нее поручился один из участников угроз.

Вредоносная программа нацелена на более чем 25 криптовалютных кошельков и 17 веб-браузеров, включая Firefox, Chrome и Edge. Она способна перехватывать сохраненные регистрационные данные, файлы cookie, историю посещений и данные кредитных карт, хранящиеся в пользовательском профиле браузера. Пример перехвата cookies Firefox программой Bandit Stealer был найден в логах, извлеченных из ее веб-панели.

Вредоносная программа использует идентичную копию файла "blacklist.txt" из открытого проекта вредоносной программы-кражи под названием EMPYREAN, доступного на Github. В нем также содержится скриншот процесса уничтожения антиреверсивных инструментов с помощью Command Prompt и PowerShell. Еще один скриншот демонстрирует использование бота Telegram во вредоносной программе в качестве канала связи C2. Собранные данные упаковываются в ZIP-файл и передаются на сервер C2, принадлежащий Telegram (149.154.167.220).

С ноября 2022 года компания CloudSEK заметила увеличение на 200-300% за месяц количества видеороликов на YouTube, содержащих в описании ссылки на вредоносные программы-крадуны, такие как Vidar, RedLine и Raccoon. Это один из наиболее распространенных механизмов доставки вредоносных программ среди угроз.

#ParsedReport #CompletenessMedium
11-07-2023

Legion Stealer targeting PUBG players

https://blog.cyble.com/2023/07/11/legion-stealer-targeting-pubg-players

Report completeness: Medium

Actors/Campaigns:
Dev-0960

Threats:
Legion_stealer
Legion
Meteor_wiper
Beacon
Credential_dumping_technique

Victims:
Players of popular game playerunknown's battle grounds (pubg)

Industry:
Entertainment

TTPs:
Tactics: 6
Technics: 16

IOCs:
File: 8
Command: 1
Registry: 3
Hash: 2

Soft:
microsoft visual studio, visual studio, windows defender, lox stud, chrome, chromium, comodo dragon, opera, slimjet, vivaldi, have more...

Wallets:
zcash, jaxx, electrum, atomicwallet, guarda_wallet, coinomi

Crypto:
ethereum

Algorithms:
sha256, zip, sha1

Functions:
GetPasswords, GetCookies

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Угрожающие организации используют совместную работу на GitHub для распространения вредоносных программ, бэкдоров и эксплойтов через репозитории. Недавно был обнаружен вредоносный файл, маскирующийся под хакерский проект PUBG bypass. Это вредоносное ПО обладает целым рядом методов обхода защиты и предназначено для извлечения конфиденциальной информации из веб-браузеров, криптовалютных кошельков и игровых файлов. Пользователям важно проявлять осторожность при загрузке и запуске файлов и скриптов.
-----

GitHub - это веб-платформа, обеспечивающая контроль версий и совместную работу над проектами по разработке программного обеспечения. Угрозы могут использовать GitHub для распространения вредоносных программ, бэкдоров или эксплойтов через репозитории, используя совместную работу пользователей, чтобы заставить их выполнить вредоносный код. Недавно компания Cyble Research and Intelligence Labs (CRIL) обнаружила страницу GitHub, маскирующуюся под хакерский проект PUBG bypass, но на самом деле распространяющую вредоносный файл.

Этот вредоносный файл представлял собой 32-разрядный исполняемый файл, скомпилированный с использованием .NET и обфусцированный с помощью неизвестного обфускатора. При выполнении он содержал ряд команд, направленных на обход обнаружения, несанкционированный доступ и использование уязвимостей, имеющихся в скомпрометированной системе. Эти команды включали в себя манипуляции с настройками Windows Defender, извлечение информации из реестра и сбор сведений о системе. Кроме того, вредоносная программа выполняла сканирование по жестко заданному списку имен прикладных процессов, связанных с программами виртуализации и средствами анализа вредоносных программ. Если на компьютере жертвы обнаруживались активные процессы, вредоносная программа выполняла действия по их завершению.

Полезная нагрузка Legion Stealer также содержала список имен компьютеров, имен пользователей и аппаратных идентификаторов, которые использовались в качестве идентификаторов для определения того, работает ли она в контролируемой среде. Если имя компьютера, имя пользователя или аппаратный идентификатор совпадали с любой записью в списке, крадущий завершал свою работу. После выполнения защитных действий похититель приступал к сбору системной информации и извлечению конфиденциальных данных из таких браузеров, как Brave, Chrome, Chromium, Comodo Dragon, Edge, Epic Privacy, Iridium, Opera, Opera GX, Slimjet, UR Browser, Vivaldi и Yandex.

Вредоносная программа также нацеливалась на такие криптовалютные кошельки, как Zcash, Armory, Bytecoin, Jaxx, Exodus, Ethereum, Electrum, AtomicWallet, Guarda и Coinomi, запрашивая и считывая файлы, расположенные в соответствующих каталогах. Кроме того, злоумышленники искали файлы сессий Minecraft и cookies Roblox, перехватывали изображения с веб-камер и делали скриншоты системы жертвы. Похищенные данные сжимались и передавались на сервер Discord.

Этот инцидент подчеркивает важность осторожности при загрузке и запуске файлов и скриптов. Многие геймеры испытывают искушение использовать читы или хаки для получения нечестного преимущества в играх, часто доверяя игровому контенту без должной осторожности. ТА используют этот спрос, маскируя свои вредоносные программы под игровые читы или обходные пути. Рост числа похитителей информации вызывает озабоченность, поскольку они помогают ТА получить первоначальный доступ, что позволяет им компрометировать корпоративные сети и усиливать угрозы. CRIL будет продолжать следить за появлением новых штаммов вредоносного ПО и фишинговых кампаний в природе и обновлять блоги с оперативной информацией для защиты пользователей от подобных атак.

#ParsedReport #CompletenessMedium
11-07-2023

SCARLETEEL 2.0: Fargate, Kubernetes, and Crypto

https://sysdig.com/blog/scarleteel-2-0

Report completeness: Medium

Actors/Campaigns:
Scarleteel (motivation: financially_motivated)

Threats:
Pandora
Mirai
Netcat_tool
Xmrig_miner

Industry:
Iot, Financial

Geo:
Russian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1218, T1564, T1566, T1053, T1003, T1083, T1071, T1563, T1552

IOCs:
IP: 4
Domain: 3
Url: 1
File: 1

Soft:
fargate, docker, curl, alpine docker, systemd

Crypto:
monero

Algorithms:
base64

Functions:
get_aws_data, send_aws_data, notraces

Languages:
php, javascript

Links:
https://github.com/RhinoSecurityLabs/pacu
https://github.com/moparisthebest/static-curl
https://github.com/unknownhad/AWSAttacks/blob/main/10-01-2023
https://github.com/inguardians/peirates

#ParsedReport #ExtractedSchema

Classified images:
table: 2, code: 1, schema: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: SCARLETEEL - это угроза, которая атакует облачные среды и похищает интеллектуальную собственность. Для защиты от атак SCARLETEEL организациям необходимо иметь несколько уровней защиты.
-----

Операция SCARLETEEL - это постоянно развивающаяся угроза, которая уже некоторое время атакует облачные среды. Команда Sysdig Threat Research Team впервые сообщила о них в феврале прошлого года, и с тех пор они усовершенствовали свою тактику, чтобы обойти меры безопасности и стать еще более скрытными. Их целью является не только криптомайнинг, но и кража интеллектуальной собственности. Их методы стали включать в себя атаку на кластеры AWS Fargate и Kubernetes, что позволяет значительно расширить возможности атак.

Для эксплуатации облачных сред SCARLETEEL использует различные инструменты, включая контейнеры с блокнотами JupyterLab, скрипты GitHub, вредоносные программы Pandora, peirates и клиент AWS. С помощью этих инструментов злоумышленники получают доступ к учетным данным AWS, повышают привилегии до AdministratorAccess, запускают инстансы EC2 с майнерами, загружают и выполняют инструменты, осуществляют эксфильтрацию данных, отправляют и получают данные из доменов C2.

Для защиты от этой угрозы организации должны иметь несколько уровней защиты. К ним относятся обнаружение угроз во время выполнения программы, управление уязвимостями, CSPM и CIEM. Без этих уровней организация рискует понести значительные финансовые потери из-за SCARLETEEL. Кроме того, для защиты от этих атак организации должны поддерживать все программное обеспечение и приложения в актуальном состоянии и обеспечивать надлежащую политику контроля доступа.

#ParsedReport #CompletenessHigh
13-07-2023

CustomerLoader: a new malware distributing a wide variety of payloads. Introduction

https://blog.sekoia.io/customerloader-a-new-malware-distributing-a-wide-variety-of-payloads

Report completeness: High

Threats:
Customerloader
Dotrunpex
Kraken_keylogger
Redline_stealer
Formbook
Vidar_stealer
Stealc
Raccoon_stealer
Lumma_stealer
Stormkitty_stealer
Agent_tesla
Darkcloud
Kraken
Asyncrat_rat
Quasar_rat
Remcos_rat
Xworm_rat
Njrat
Warzone_rat
Sbit_rat
Nanocore_rat
Sectop_rat
Lgoogloader
Amadey
Tzw_ransomware
Wannacry
Amsi_bypass_technique
Seo_poisoning_technique

TTPs:
Tactics: 3
Technics: 9

IOCs:
Url: 12
File: 4
Hash: 7
IP: 5
Domain: 52

Soft:
windows defender, slack

Algorithms:
base64, aes, zip

Win API:
AmsiScanBuffer

YARA: Found

Links:
https://github.com/NotPrab/.NET-Obfuscator

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: CustomerLoader - это новая вредоносная программа для .NET, связанная с сервисом Loader-as-a-Service, который используется для доставки различных вредоносных полезных нагрузок. Аналитики Sekoia.io обнаружили несколько цепочек заражения CustomerLoader, которые используются в фишинговых кампаниях и на сайтах с поддельными установщиками. Sekoia.io продолжит наблюдение за развитием CustomerLoader и поиск новых вредоносных программ.
-----

CustomerLoader - это новая вредоносная программа .NET, связанная с сервисом Loader-as-a-Service, который был обнаружен в начале июня 2023 года. Вредоносная программа используется для загрузки, расшифровки и выполнения полезной нагрузки из вредоносных фишинговых писем, видеороликов YouTube и веб-страниц. Полезная нагрузка, доставляемая CustomerLoader, представляет собой образцы dotRunpeX, которые поставляют различные семейства вредоносных программ, включая инфокрады, троянские программы удаленного доступа (RAT) и товарные программы-вымогатели.

Аналитики Sekoia.io обнаружили три цепочки заражений, распространяющих CustomerLoader в дикой природе. Эти злоумышленники использовали CustomerLoader в своей кампании распространения и почти наверняка являются клиентами сервиса Loader-as-a-Service. Вредоносная программа использует различные техники для обфускации своего кода и скрытия его выполнения, маскируясь под легитимное приложение. Кроме того, он исправляет функцию AmsiScanBuffer из amsi.dll, которая проверяет содержимое буфера на наличие потенциального вредоносного кода, возвращая константу AMSI_RESULT_CLEAN для метода AmsiScanBuffer в случае записи в память вредоносной полезной нагрузки.

Вредоносная программа загружает HTML-страницу со встроенного URL; Извлекает из страницы загрузки закодированную строку base64 с помощью регулярного выражения: /!!!(.*?)!!!/ Декодирует строку base64 и расшифровывает ее; Использует технику отражающего кода для выполнения полезной нагрузки в памяти.

В период с 31 мая по 20 июня 2023 года образцы CustomerLoader напрямую общались по IP-адресу с сервером C2 5.42.94 . 169 по протоколу HTTP. 20 июня 2023 года CustomerLoader переключил свой C2-сервер и коммуникации на доменное имя kyliansuperm92139124 . sbs и HTTPS. Домен kyliansuperm92139124 . sbs защищен системой Cloudflare, что предотвращает сканирование и сбор полезной нагрузки исследователями безопасности. Однако этот домен является прокси для C2-коммуникаций, а внутренний сервер всегда находится по адресу 5.42.94 . 169.

CustomerLoader был замечен в фишинговых кампаниях, на украденных аккаунтах YouTube, а также в виде поддельного инсталлятора, выдающего себя за сайт программы для проведения видеоконференций Slack.

Аналитики Sekoia.io выявили более 50 доменов, используемых для широкого распространения товарного вредоносного ПО. Также были замечены дополнительные запросы к другим вредоносным доменам, вероятно, связанным с инфраструктурой одного злоумышленника. Эта инфраструктура, как правило, используется для размещения сайтов-распространителей и перенаправления на домены файлового хостинга.

По мнению аналитиков Sekoia.io, CustomerLoader, скорее всего, связан с сервисом Loader-as-a-Service и используется несколькими угрожающими субъектами, в том числе и теми, которые ранее были замечены в проведении долгосрочных кампаний с крупной и устойчивой инфраструктурой. Чтобы предоставить нашим клиентам оперативную информацию, Sekoia.io продолжит следить за развитием CustomerLoader и вести проактивный поиск новых вредоносных программ и инфраструктуры противника.

#ParsedReport #CompletenessLow
13-07-2023

Cisco Talos Intelligence Blog. Malicious campaigns target government, military and civilian entities in Ukraine, Poland

https://blog.talosintelligence.com/malicious-campaigns-target-entities-in-ukraine-poland

Report completeness: Low

Actors/Campaigns:
Ghostwriter

Threats:
Agent_tesla
Cobalt_strike
Beacon
Njrat
Confuserex_tool
Picassoloader
Binder

Victims:
Government entities, military organizations and civilian users in ukraine and poland

Industry:
Government, Financial, Military

Geo:
Belarusian, Ukrainian, Poland, Ukraine, Polish

IOCs:
File: 4

Soft:
microsoft office, microsoft excel, windows explorer

Algorithms:
aes, rc4

Functions:
SetQueryNetSessionCount

Win API:
DllUnregisterServer

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Компания Cisco Talos недавно обнаружила агента постоянных угроз, проводящего кампании против государственных структур, военных организаций и гражданских пользователей в Украине и Польше. В качестве вредоносных файлов используются документы Microsoft Excel и PowerPoint, содержащие официальные изображения и текст, убеждающий пользователя включить макросы, а конечная полезная нагрузка, обнаруженная в кампании июля 2023 года, включает троян удаленного доступа (RAT) AgentTesla, маяки Cobalt Strike и njRAT.
-----

Недавно компания Cisco Talos обнаружила агента постоянных угроз, проводящего кампании против государственных структур, военных организаций и гражданских пользователей в Украине и Польше. Предполагается, что целью этих операций является сбор конфиденциальной информации и получение удаленного доступа к системам. Активность была обнаружена как в апреле 2022 года, так и в начале этого месяца, что свидетельствует об устойчивости агента.

Вредоносные файлы, используемые злоумышленником, представляют собой документы Microsoft Excel и PowerPoint, содержащие официальные изображения и текст, убеждающие пользователя включить макросы. В документах Excel отображаются легитимные документы, связанные с военными организациями, или общие описания того, как включить макросы VBA, а в файлах PowerPoint отсутствуют какие-либо слайды, но при этом выполняется код VBA.

Кампания "Июль 2023" была приписана украинской Группой реагирования на компьютерные аварии (CERT-UA) группе угроз UNC1151 и представляла собой форму платежной инструкции с кодом VBA от Государственной казначейской службы Украины. В Польше и Украине также были замечены типовые кампании, направленные на гражданские объекты, например, электронные таблицы Excel, маскирующиеся под формы деклараций по налогу на добавленную стоимость (НДС).

Среди последних полезных нагрузок, обнаруженных в ходе кампании "Июль 2023", - троян удаленного доступа (RAT) AgentTesla, маяки Cobalt Strike и njRAT. Вредоносный VBA-код отвечает за сброс исполняемого файла-загрузчика или DLL, который использует управляемый AES (алгоритм Rijndael) для расшифровки вложенных данных. Загрузчик имеет имя PicassoLoader и обфусцирован с помощью ConfuserEx, обфускатора, широко используемого для обфускации .NET-кода.

#ParsedReport #CompletenessLow
13-07-2023

Stories from the SOC: OneNote MalSpam Detection & response

https://cybersecurity.att.com/blogs/security-essentials/stories-from-the-soc-onenote-malspam-detection-response

Report completeness: Low

IOCs:
File: 3
Domain: 5
Hash: 5

Soft:
onenote, microsoft word, microsoft excel, curl, outlook

Algorithms:
sha256, sha1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Угрожающие организации используют вредоносные вложения OneNote для установки вредоносного ПО на системы ничего не подозревающих жертв. SentinelOne смог обнаружить и устранить вредоносные файлы, а SECTOR создал поисковый запрос на основе эвристики для поиска любых потенциальных событий, связанных с вредоносным ПО. Были предприняты меры по устранению проблемы, и важно помнить о важности использования функции поиска угроз в сочетании с функцией Deep Visibility компании SentinelOne для повышения уровня безопасности.
-----

Начиная с 22 декабря 2022 года, угрожающие организации рассылают вредоносные вложения OneNote по фишинговым письмам с целью установки вредоносного ПО на системы ничего не подозревающих жертв. В то время как в большинстве фишинговых писем используются макросы и скрипты, OneNote не поддерживает эту функцию, что усложняет обнаружение данного типа атак. В результате необходимо было выявить и проанализировать тактику, технику и процедуры (TTP), используемые злоумышленниками.

Наблюдаемые ТТП включали использование Powershell.exe, Curl.exe после запуска скрытого процесса, а также подключение к внешнему сайту для попытки установки и выполнения вредоносного ПО. SentinelOne удалось обнаружить и обезвредить вредоносные файлы, а также выявить DNS-запросы к minaato . com, файлообменному сайту. Кроме того, SECTOR создал эвристический поисковый запрос для поиска возможных событий, связанных с вредоносным ПО, о которых SentinelOne мог не предупредить.

При дальнейшем исследовании SECTOR обнаружил событие, когда ping.exe успешно связывался с вредоносным доменом. Также было обнаружено, что вредоносная ссылка была скрыта под наложенным изображением стоковой компании Microsoft и предлагала пользователю нажать кнопку открытия. Это позволяло злоумышленнику получить доступ к системе пользователя и получить внутреннюю информацию.

Для устранения проблемы пострадавшим клиентам было предложено удалить все файлы с затронутых устройств, сбросить все пользовательские пароли, просканировать свои активы, глобально заблокировать IOC и установить правила блокировки на своих межсетевых экранах. Кроме того, следует помнить о важности использования функции поиска угроз в сочетании с функцией Deep Visibility от SentinelOne для повышения уровня безопасности.

#ParsedReport #CompletenessMedium
13-07-2023

Cloudy With a Chance of Credentials \| AWS-Targeting Cred Stealer Expands to Azure, GCP

https://www.sentinelone.com/labs/cloudy-with-a-chance-of-credentials-aws-targeting-cred-stealer-expands-to-azure-gcp

Report completeness: Medium

Actors/Campaigns:
Teamtnt

Threats:
Solarmarker
Lockfile
Netstat_tool
Upx_tool
Zgrab_scanner_tool
Masscan_tool
Tsunami_botnet

Victims:
Amazon web services (aws) credentials, azure, google cloud platform (gcp) services, exposed docker instances

Geo:
Netherlands

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1078, T1083, T1098, T1099, T1105, T1129, T1140, T1518.001

IOCs:
File: 17
Hash: 21
Coin: 1
Domain: 4

Soft:
docker, curl, redis, postgresql

Crypto:
monero

Algorithms:
sha1, base64

Languages:
php, golang

Links:
https://github.com/zmap/zgrab2
https://github.com/robertdavidgraham/masscan

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Замечено, что один из злоумышленников расширил инструментарий, позволяющий использовать учетные данные Azure, Google Cloud Platform (GCP) и Amazon Web Services (AWS), что свидетельствует о сходстве с командой криптоджекеров TeamTNT. Организациям следует принять меры по защите своих приложений и снижению уязвимости от внешних подключений.
-----

В июне 2023 года было замечено, что один из участников кампании по краже учетных данных в облачных средах расширил свой инструментарий и стал использовать сервисы Azure и Google Cloud Platform (GCP). Ранее этот агент использовал только учетные данные Amazon Web Services (AWS). Он использовал модуль распространения, похожий на червя, и нацеливался на открытые экземпляры Docker. Эти кампании имеют сходство с инструментами печально известной группы криптоджекеров TeamTNT, хотя в случае использования скриптовых инструментов атрибуция остается сложной.

Компания Permiso Security, сообщившая о первой кампании по краже учетных данных AWS в декабре 2022 года, отследила и проанализировала файлы, относящиеся к новому воплощению этой кампании. Основу кампании по-прежнему составляли скрипты оболочки, однако был также обнаружен двоичный файл исполняемого и связываемого формата (ELF), написанный на языке Golang. Компания Aqua также сообщила об элементах наблюдаемого ею злоупотребления образами Docker.

Актор больше не размещает файлы в открытом каталоге, а использует жестко заданную комбинацию имени пользователя и пароля, передаваемых в качестве аргументов команде curl. Инфраструктура перешла от Nice IT Services к AnonDns, провайдеру динамических доменных имен (DDNS), при этом используется несколько поддоменов AnonDNS. Логика сбора учетных данных направлена на следующие сервисы и технологии: конфигурация AWS IAM, конфигурация учетных данных безопасности EC2 и ресурсы IAM.

Сходство между этими кампаниями по краже учетных данных и кампанией TeamTNT, нацеленной на Kubelet, о которой Sysdig сообщал в октябре 2022 года, весьма велико. Скрипты aws.sh выполняют профилирование системы, а функция get_docker проверяет, является ли среда контейнером Docker, и запускает docker inspect для каждого запущенного контейнера, сохраняя результат в $CSOF. Data.sh - это сценарий постэксплойта, который собирает данные о системе и отправляет их на сервер злоумышленника.

Двоичный ELF-файл с UPX-пакетом, основанный на Golang, поставляет еще один shell-скрипт и выполняет сканирование системы с помощью Masscan и Zgrab. Затем он обращается к C2 с помощью curl, добавляя в URI запроса IP-адрес и порт уязвимости.

Мы полагаем, что данный агент активно настраивает и совершенствует свои инструменты, вероятно, готовясь к более масштабным кампаниям. Организации могут подготовиться к этим атакам, обеспечив правильную настройку приложений и исправление ошибок по мере поступления исправлений. Доступ к Docker должен быть ограничен в соответствии с потребностями организации, но при этом снижен уровень риска от внешних подключений.

#ParsedReport #CompletenessLow
12-07-2023

Routers from the Underground: Exposing AVrecon

https://blog.lumen.com/routers-from-the-underground-exposing-avrecon

Report completeness: Low

Threats:
Avrecon_rat
Beacon
Qakbot
Emotet
Zuo_rat
Hiatusrat

Victims:
Small-office/home-office (soho) routers

ChatGPT TTPs:
do not use without manual check
T1071, T1133, T1132, T1055, T1057, T1093, T1107, T1064, T1105, T1005, have more...

IOCs:
Domain: 2
IP: 4

Soft:
microsoft outlook

Languages:
php

Platforms:
mips, arm

Links:
https://github.com/blacklotuslabs/IOCs/blob/main/AVrecon\_IOCs.txt

#ParsedReport #ExtractedSchema

Classified images:
code: 1, table: 4, schema: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Компания Black Lotus Labs выявила масштабную ботнет-кампанию с участием скомпрометированных маршрутизаторов по всему миру, известную под названием AVrecon и предназначенную для осуществления целого ряда преступных действий. В результате распространения ботнета было обнаружено более 70 000 различных IP-адресов, а его размер оценивается в 41 100 устройств. Она также использует многоуровневую архитектуру и нацелена на основные архитектуры маршрутизаторов SOHO.
-----

Компания Black Lotus Labs обнаружила масштабную ботнет-кампанию с использованием взломанных маршрутизаторов по всему миру. Вредоносная программа работала незамеченной в течение двух лет и проникла на более чем 70 000 машин в более чем 20 странах. Она была разработана для осуществления целого ряда преступных действий, включая подмену паролей, мошенничество с цифровой рекламой и использование прокси-сервисов по месту жительства.

Вредоносная программа, известная как AVrecon, была написана на языке C и ориентирована на ARM-встроенные устройства. Она способна выполнять несколько вредоносных действий, таких как уничтожение существующих процессов, сбор информации о хосте, запуск удаленной оболочки, загрузка последующих двоичных файлов и настройка прокси-сервера. Кроме того, он пытается извлечь конфигурационную информацию из легитимных файлов, таких как nvram или xmldbc, на зараженной машине. Если ни одна из этих попыток не увенчалась успехом, он удаляет себя с хост-машины.

В результате распространения ботнета более 70 000 различных IP-адресов связываются с C2 вредоносной программы. Большинство IP-адресов поддерживают связь только в течение одного-двух дней, после чего покидаются или исправляются, в то время как заражения, длящиеся более двух дней, считаются устойчивыми. Таким образом, размер ботнета оценивается в 41 100 устройств.

Используя многоуровневую архитектуру, 12 из 15 серверов второго уровня обменивались данными с одним сервером более высокого уровня, расположенным по адресу 51.15.19 . 245 в течение 30 дней подряд. Это свидетельствует о том, что угроза была направлена на использование возможностей основных архитектур маршрутизаторов SOHO, представленных на рынке.

#ParsedReport #CompletenessLow
13-07-2023

PoC Exploit: Fake Proof of Concept with Backdoor Malware

https://www.uptycs.com/blog/new-poc-exploit-backdoor-malware

Report completeness: Low

Victims:
Systems with cve-2023-35829 and cve-2023-20871 vulnerabilities

CVEs:
CVE-2023-20871 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: 7.3
X-Force: Patch: Official fix
Soft:
- vmware fusion (<13.0.2)

CVE-2023-35829 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: 7.8
X-Force: Patch: Official fix

CVE-2022-34918 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: 7.4
X-Force: Patch: Official fix
Soft:
- linux linux kernel (<5.10.130, <5.15.54, <5.18.11)
- debian debian linux (11.0)
- canonical ubuntu linux (14.04, 18.04, 20.04, 16.04, 22.04)
- netapp h300s firmware (-)
- netapp h500s firmware (-)
have more...

ChatGPT TTPs:
do not use without manual check
T1036.003, T1486, T1179, T1059, T1083, T1063, T1053, T1135, T1098, T1482, have more...

IOCs:
Url: 5
Domain: 1
Hash: 1
IP: 1

Soft:
curl

Functions:
copy_to_kworker, add_to_bashrc, check_for_pidfile, curl_func, new_sn, prepare_root_shell, setup_modprobe_payoad

Links:
https://github.com/randorisec/CVE-2022-34918-LPE-PoC
https://github.com/ChriSanders22/CVE-2023-35829-poc/
https://github.com/ChriSanders22/CVE-2023-20871-poc/
https://github.com/apkc/CVE-2023-35829-poc

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Команда исследователей угроз Uptycs обнаружила вредоносный PoC, который использует скрытый бэкдор для утечки данных и предоставления несанкционированного доступа. Организациям необходимо быть в курсе последних угроз и использовать для защиты своих систем современные средства мониторинга и обнаружения, такие как Uptycs XDR.
-----

Команда исследователей угроз Uptycs недавно обнаружила обманчивую концепцию (proof of concept, PoC), содержащую скрытый бэкдор. Этот вредоносный PoC был широко распространен в Интернете и успел завоевать значительное число пользователей, прежде чем его гнусная сущность была раскрыта. При более внимательном изучении его кода команда заметила несоответствия в файле modprobe.c, которые указывали на наличие бэкдора. PoC использует функции copy_to_kworker() и add_to_bashrc() для создания персистентности и осуществляет утечку данных через файл transfer.sh.

Используя Uptycs XDR, команда обнаружила, что бинарный файл в первую очередь выполняет роль загрузчика, получая скрипт из удаленного источника и выполняя его на скомпрометированной системе. После выполнения скрипт получает доступ к файлу /etc/passwd и изменяет файл \~/.ssh/authorized_keys, предоставляя неавторизованный доступ. Данная комбинация действий привела к обнаружению среднего уровня в Uptycs XDR.

Команда уже сталкивалась с подобным методом работы, распространение вредоносного ПО через вредоносные PoC не является чем-то новым. Тот же профиль, ChriSander22, распространяет еще один фальшивый PoC для VMware Fusion CVE-2023-20871. Его содержимое аналогично CVE-2023-35829, с тем же файлом aclocal.m4, запускающим установку скрытого бэкдора.

Этот инцидент подчеркивает растущие риски кибербезопасности, о которых необходимо помнить организациям, поскольку злоумышленники продолжают находить новые способы распространения своих вредоносных PoC. Организациям важно быть в курсе последних угроз и использовать для защиты своих систем современные средства мониторинга и обнаружения, такие как Uptycs XDR. Это позволит обеспечить защиту от новейших вредоносных PoC и других киберугроз.