#ParsedReport #CompletenessMedium
13-07-2023

Cloudy With a Chance of Credentials \| AWS-Targeting Cred Stealer Expands to Azure, GCP

https://www.sentinelone.com/labs/cloudy-with-a-chance-of-credentials-aws-targeting-cred-stealer-expands-to-azure-gcp

Report completeness: Medium

Actors/Campaigns:
Teamtnt

Threats:
Solarmarker
Lockfile
Netstat_tool
Upx_tool
Zgrab_scanner_tool
Masscan_tool
Tsunami_botnet

Victims:
Amazon web services (aws) credentials, azure, google cloud platform (gcp) services, exposed docker instances

Geo:
Netherlands

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1078, T1083, T1098, T1099, T1105, T1129, T1140, T1518.001

IOCs:
File: 17
Hash: 21
Coin: 1
Domain: 4

Soft:
docker, curl, redis, postgresql

Crypto:
monero

Algorithms:
sha1, base64

Languages:
php, golang

Links:
https://github.com/zmap/zgrab2
https://github.com/robertdavidgraham/masscan

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Замечено, что один из злоумышленников расширил инструментарий, позволяющий использовать учетные данные Azure, Google Cloud Platform (GCP) и Amazon Web Services (AWS), что свидетельствует о сходстве с командой криптоджекеров TeamTNT. Организациям следует принять меры по защите своих приложений и снижению уязвимости от внешних подключений.
-----

В июне 2023 года было замечено, что один из участников кампании по краже учетных данных в облачных средах расширил свой инструментарий и стал использовать сервисы Azure и Google Cloud Platform (GCP). Ранее этот агент использовал только учетные данные Amazon Web Services (AWS). Он использовал модуль распространения, похожий на червя, и нацеливался на открытые экземпляры Docker. Эти кампании имеют сходство с инструментами печально известной группы криптоджекеров TeamTNT, хотя в случае использования скриптовых инструментов атрибуция остается сложной.

Компания Permiso Security, сообщившая о первой кампании по краже учетных данных AWS в декабре 2022 года, отследила и проанализировала файлы, относящиеся к новому воплощению этой кампании. Основу кампании по-прежнему составляли скрипты оболочки, однако был также обнаружен двоичный файл исполняемого и связываемого формата (ELF), написанный на языке Golang. Компания Aqua также сообщила об элементах наблюдаемого ею злоупотребления образами Docker.

Актор больше не размещает файлы в открытом каталоге, а использует жестко заданную комбинацию имени пользователя и пароля, передаваемых в качестве аргументов команде curl. Инфраструктура перешла от Nice IT Services к AnonDns, провайдеру динамических доменных имен (DDNS), при этом используется несколько поддоменов AnonDNS. Логика сбора учетных данных направлена на следующие сервисы и технологии: конфигурация AWS IAM, конфигурация учетных данных безопасности EC2 и ресурсы IAM.

Сходство между этими кампаниями по краже учетных данных и кампанией TeamTNT, нацеленной на Kubelet, о которой Sysdig сообщал в октябре 2022 года, весьма велико. Скрипты aws.sh выполняют профилирование системы, а функция get_docker проверяет, является ли среда контейнером Docker, и запускает docker inspect для каждого запущенного контейнера, сохраняя результат в $CSOF. Data.sh - это сценарий постэксплойта, который собирает данные о системе и отправляет их на сервер злоумышленника.

Двоичный ELF-файл с UPX-пакетом, основанный на Golang, поставляет еще один shell-скрипт и выполняет сканирование системы с помощью Masscan и Zgrab. Затем он обращается к C2 с помощью curl, добавляя в URI запроса IP-адрес и порт уязвимости.

Мы полагаем, что данный агент активно настраивает и совершенствует свои инструменты, вероятно, готовясь к более масштабным кампаниям. Организации могут подготовиться к этим атакам, обеспечив правильную настройку приложений и исправление ошибок по мере поступления исправлений. Доступ к Docker должен быть ограничен в соответствии с потребностями организации, но при этом снижен уровень риска от внешних подключений.

#ParsedReport #CompletenessLow
12-07-2023

Routers from the Underground: Exposing AVrecon

https://blog.lumen.com/routers-from-the-underground-exposing-avrecon

Report completeness: Low

Threats:
Avrecon_rat
Beacon
Qakbot
Emotet
Zuo_rat
Hiatusrat

Victims:
Small-office/home-office (soho) routers

ChatGPT TTPs:
do not use without manual check
T1071, T1133, T1132, T1055, T1057, T1093, T1107, T1064, T1105, T1005, have more...

IOCs:
Domain: 2
IP: 4

Soft:
microsoft outlook

Languages:
php

Platforms:
mips, arm

Links:
https://github.com/blacklotuslabs/IOCs/blob/main/AVrecon\_IOCs.txt

#ParsedReport #ExtractedSchema

Classified images:
code: 1, table: 4, schema: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Компания Black Lotus Labs выявила масштабную ботнет-кампанию с участием скомпрометированных маршрутизаторов по всему миру, известную под названием AVrecon и предназначенную для осуществления целого ряда преступных действий. В результате распространения ботнета было обнаружено более 70 000 различных IP-адресов, а его размер оценивается в 41 100 устройств. Она также использует многоуровневую архитектуру и нацелена на основные архитектуры маршрутизаторов SOHO.
-----

Компания Black Lotus Labs обнаружила масштабную ботнет-кампанию с использованием взломанных маршрутизаторов по всему миру. Вредоносная программа работала незамеченной в течение двух лет и проникла на более чем 70 000 машин в более чем 20 странах. Она была разработана для осуществления целого ряда преступных действий, включая подмену паролей, мошенничество с цифровой рекламой и использование прокси-сервисов по месту жительства.

Вредоносная программа, известная как AVrecon, была написана на языке C и ориентирована на ARM-встроенные устройства. Она способна выполнять несколько вредоносных действий, таких как уничтожение существующих процессов, сбор информации о хосте, запуск удаленной оболочки, загрузка последующих двоичных файлов и настройка прокси-сервера. Кроме того, он пытается извлечь конфигурационную информацию из легитимных файлов, таких как nvram или xmldbc, на зараженной машине. Если ни одна из этих попыток не увенчалась успехом, он удаляет себя с хост-машины.

В результате распространения ботнета более 70 000 различных IP-адресов связываются с C2 вредоносной программы. Большинство IP-адресов поддерживают связь только в течение одного-двух дней, после чего покидаются или исправляются, в то время как заражения, длящиеся более двух дней, считаются устойчивыми. Таким образом, размер ботнета оценивается в 41 100 устройств.

Используя многоуровневую архитектуру, 12 из 15 серверов второго уровня обменивались данными с одним сервером более высокого уровня, расположенным по адресу 51.15.19 . 245 в течение 30 дней подряд. Это свидетельствует о том, что угроза была направлена на использование возможностей основных архитектур маршрутизаторов SOHO, представленных на рынке.

#ParsedReport #CompletenessLow
13-07-2023

PoC Exploit: Fake Proof of Concept with Backdoor Malware

https://www.uptycs.com/blog/new-poc-exploit-backdoor-malware

Report completeness: Low

Victims:
Systems with cve-2023-35829 and cve-2023-20871 vulnerabilities

CVEs:
CVE-2023-20871 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: 7.3
X-Force: Patch: Official fix
Soft:
- vmware fusion (<13.0.2)

CVE-2023-35829 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: 7.8
X-Force: Patch: Official fix

CVE-2022-34918 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: 7.4
X-Force: Patch: Official fix
Soft:
- linux linux kernel (<5.10.130, <5.15.54, <5.18.11)
- debian debian linux (11.0)
- canonical ubuntu linux (14.04, 18.04, 20.04, 16.04, 22.04)
- netapp h300s firmware (-)
- netapp h500s firmware (-)
have more...

ChatGPT TTPs:
do not use without manual check
T1036.003, T1486, T1179, T1059, T1083, T1063, T1053, T1135, T1098, T1482, have more...

IOCs:
Url: 5
Domain: 1
Hash: 1
IP: 1

Soft:
curl

Functions:
copy_to_kworker, add_to_bashrc, check_for_pidfile, curl_func, new_sn, prepare_root_shell, setup_modprobe_payoad

Links:
https://github.com/randorisec/CVE-2022-34918-LPE-PoC
https://github.com/ChriSanders22/CVE-2023-35829-poc/
https://github.com/ChriSanders22/CVE-2023-20871-poc/
https://github.com/apkc/CVE-2023-35829-poc

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Команда исследователей угроз Uptycs обнаружила вредоносный PoC, который использует скрытый бэкдор для утечки данных и предоставления несанкционированного доступа. Организациям необходимо быть в курсе последних угроз и использовать для защиты своих систем современные средства мониторинга и обнаружения, такие как Uptycs XDR.
-----

Команда исследователей угроз Uptycs недавно обнаружила обманчивую концепцию (proof of concept, PoC), содержащую скрытый бэкдор. Этот вредоносный PoC был широко распространен в Интернете и успел завоевать значительное число пользователей, прежде чем его гнусная сущность была раскрыта. При более внимательном изучении его кода команда заметила несоответствия в файле modprobe.c, которые указывали на наличие бэкдора. PoC использует функции copy_to_kworker() и add_to_bashrc() для создания персистентности и осуществляет утечку данных через файл transfer.sh.

Используя Uptycs XDR, команда обнаружила, что бинарный файл в первую очередь выполняет роль загрузчика, получая скрипт из удаленного источника и выполняя его на скомпрометированной системе. После выполнения скрипт получает доступ к файлу /etc/passwd и изменяет файл \~/.ssh/authorized_keys, предоставляя неавторизованный доступ. Данная комбинация действий привела к обнаружению среднего уровня в Uptycs XDR.

Команда уже сталкивалась с подобным методом работы, распространение вредоносного ПО через вредоносные PoC не является чем-то новым. Тот же профиль, ChriSander22, распространяет еще один фальшивый PoC для VMware Fusion CVE-2023-20871. Его содержимое аналогично CVE-2023-35829, с тем же файлом aclocal.m4, запускающим установку скрытого бэкдора.

Этот инцидент подчеркивает растущие риски кибербезопасности, о которых необходимо помнить организациям, поскольку злоумышленники продолжают находить новые способы распространения своих вредоносных PoC. Организациям важно быть в курсе последних угроз и использовать для защиты своих систем современные средства мониторинга и обнаружения, такие как Uptycs XDR. Это позволит обеспечить защиту от новейших вредоносных PoC и других киберугроз.

#ParsedReport #CompletenessLow
13-07-2023

Trojanized Application Preying on TeamViewer Users

https://blog.cyble.com/2023/07/13/trojanized-application-preying-on-teamviewer-users

Report completeness: Low

Threats:
Teamviewer_tool
Njrat
Process_hacker_tool

Victims:
Organizations located in middle eastern nations

TTPs:
Tactics: 6
Technics: 10

IOCs:
File: 2
Hash: 3
Registry: 2
Path: 1
Url: 1

Soft:
windows registry

Algorithms:
sha256, base64, sha1

Win API:
GetAsyncKeyState

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Лаборатория Cyble Research & Intelligence Labs (CRIL) отслеживает тревожную тенденцию, когда агенты угроз (АУ) используют доверие к популярным легитимным приложениям, чтобы обманом заставить пользователей загрузить и выполнить вредоносные файлы, такие как njRAT. Эта атака вредоносного ПО представляет собой серьезную угрозу конфиденциальности, безопасности и целостности пострадавших систем, и CRIL активно отслеживает троянские приложения, чтобы защитить читателей от подобных вредоносных действий.
-----

Лаборатория Cyble Research & Intelligence Labs (CRIL) отслеживает тревожную тенденцию, когда угрожающие лица (УУ) используют доверие к популярным легитимным приложениям, чтобы обманом заставить пользователей загрузить и выполнить вредоносные файлы. Один из таких случаев связан с обманным использованием файла приложения TeamViewer, который использовался для распространения вредоносной программы njRAT, известной под названием Bladabindi. Этот троянец удаленного доступа (RAT) был впервые обнаружен в 2012 году и в основном используется в атаках, направленных на организации, расположенные в странах Ближнего Востока.

njRAT может выполнять различные вредоносные действия, такие как регистрация нажатий клавиш, создание скриншотов, кража паролей, эксфильтрация данных, доступ к веб-камерам и микрофонам, загрузка дополнительных файлов и т.д. Как правило, он распространяется через фишинговые кампании, взломанное программное обеспечение на файлообменных сайтах, а также путем загрузки с диска. В данном случае образец вредоносной программы представляет собой 32-разрядный Smart Installer с хэшем SHA 256 224ae485b6e4c1f925fff5d9de1684415670f133f3f8faa5f23914c78148fc31, который загружает в папку Windows два файла, один из которых является njRAT, а другой - легитимным приложением TeamViewer.

Для достижения стойкости вредоносная программа создает в системном реестре две записи автозапуска и мьютекс с именем 301b5fcf8ce2fab8868e80b6c1f912fe. Кроме того, он изменяет значение переменной среды SEE_MASK_NOZONECHECKS в реестре Windows на 1 и создает регламент брандмауэра, позволяющий осуществлять дальнейшую связь со своим командно-контрольным сервером (C&C). Затем njRAT занимается кейлоггингом, создавая специальный поток, который устанавливает непрерывный цикл для постоянного мониторинга нажатий клавиш. Кроме того, он собирает различную системную информацию, такую как версия операционной системы Windows, пакет обновления, текущая дата, имя пользователя, информация о веб-камерах, архитектура системы и определенные ключи реестра, которая кодируется по схеме кодирования base64 для облегчения эксфильтрации.

После сбора данных njRAT устанавливает соединение с командно-контрольным (C&C) сервером для передачи собранной информации. После этого он переходит в состояние покоя, ожидая инструкций от C&C-сервера. До того как пользователь получает доступ к приложению TeamViewer, RAT незаметно проводит вредоносные операции внутри скомпрометированной системы.

Несмотря на то, что njRAT существует уже почти десять лет, он по-прежнему остается излюбленным инструментом удаленного администрирования среди ТП. Подобные атаки вредоносного ПО представляют значительную угрозу для конфиденциальности, безопасности и целостности пострадавших систем. Cyble Research and Intelligence Labs (CRIL) ведет активный мониторинг троянских приложений, чтобы информировать о них наших читателей и обеспечить их защиту от подобных вредоносных действий.

#ParsedReport #CompletenessMedium
13-07-2023

LokiBot Campaign Targets Microsoft Office Document Using Vulnerabilities and Macros

https://www.fortinet.com/blog/threat-research/lokibot-targets-microsoft-office-document-using-vulnerabilities-and-macros

Report completeness: Medium

Threats:
Lokibot_stealer
Follina_vuln
Ollydbg_tool
Rock

CVEs:
CVE-2022-30190 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- microsoft windows server 2012 (r2, -)
- microsoft windows 10 (1607, -, 1809, 20h2, 21h1, 21h2)
- microsoft windows 8.1 (-)
- microsoft windows server 2016 (-)
- microsoft windows server 2008 (-, r2)
have more...
CVE-2021-40444 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- microsoft windows server 2008 (r2, -)
- microsoft windows 10 (1607, -, 1809, 1909, 2004, 20h2, 21h1)
- microsoft windows server 2016 (-, 2004, 20h2)
- microsoft windows rt 8.1 (-)
- microsoft windows server 2012 (-)
have more...

IOCs:
File: 9
Url: 2
Hash: 8
Domain: 1
Path: 1
IP: 1

Soft:
microsoft office

Algorithms:
sha256

Functions:
Sleep, SetFileAttributes

Win API:
RtlDecompressBufferEx, NtGlobalFlag, GetTickCount, FindWindowW, VirtualAllocEx, MoveFileExW

Languages:
visual_basic, python, php

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: LokiBot - троянец для похищения информации, активный с 2015 года и атакующий преимущественно системы Windows. Злоумышленники используют вредоносные документы Microsoft Office для эксплуатации известных уязвимостей и встраивания макросов, которые при выполнении забрасывают вредоносную программу LokiBot на систему жертвы. Пользователям следует проявлять осторожность при работе с любыми документами Office или неизвестными файлами, а также обновлять программное обеспечение и операционные системы последними патчами безопасности для защиты от вредоносных программ.
-----

В ходе недавнего исследования, проведенного компанией FortiGuard Labs, исследователи обнаружили вредоносные документы Microsoft Office, предназначенные для использования известных уязвимостей: CVE-2021-40444 и CVE-2022-30190. Эти уязвимости позволяют злоумышленникам внедрять в документы Office вредоносные макросы, которые при выполнении забрасывают на систему жертвы вредоносную программу LokiBot.

LokiBot - троянец для похищения информации, активный с 2015 года и атакующий преимущественно системы Windows. Вредоносный документ, ставший объектом исследования, содержал файл document.xml.rels с внешней ссылкой с использованием MHTML, которая перенаправляла пользователей на сайт облачного файлообменника GoFile. При переходе по ссылке загружался файл с именем defrt.html, который эксплуатировал вторую уязвимость. Затем VBA-скрипт создавал INF-файл для загрузки DLL, которая использовалась для загрузки инжектора с URL https://vertebromed.md/temp/dhssdf.exe.

Файл-инжектор, написанный на языке Visual Basic, использовался для расшифровки полезной нагрузки, которая затем распаковывалась с помощью API RtlDecompressBufferEx. После проверки среды инжектор с помощью функции VirtualAllocEx выделял память для последующего выполнения LokiBot.

LokiBot предназначен для сбора конфиденциальной информации с зараженных машин, включая веб-браузеры, FTP, электронную почту и многочисленные программные средства. Для расшифровки полезной нагрузки он использует жестко закодированный ключ, а его MD5-хэш, полученный из MachineGuid, служит в качестве мьютекса, гарантирующего, что несколько экземпляров LokiBot не будут запущены одновременно. Он также использует API MoveFileExW для создания папки %APPDATA%\Roaming\576094 и файла 47DD9F.exe, который помечается как скрытый.

Злоумышленники, создавшие LokiBot, постоянно обновляют методы первоначального доступа, что позволяет их вредоносной кампании оставаться активной и эффективной. Пользователям следует проявлять осторожность при работе с любыми документами Office или неизвестными файлами, особенно содержащими ссылки на внешние веб-сайты. Снизить риск эксплуатации вредоносных программ поможет обновление программного обеспечения и операционных систем с помощью последних патчей безопасности.

#ParsedReport #CompletenessLow
13-07-2023

Criminals target businesses with malicious extension for Meta's Ads Manager and accidentally leak stolen accounts

https://www.malwarebytes.com/blog/threat-intelligence/2023/07/criminals-target-businesses-with-malicious-extension-for-metas-ads-manager-and-accidentally-leak-stolen-accounts

Report completeness: Low

Threats:
Ducktail_stealer

Victims:
Facebook business users

Industry:
Financial

Geo:
Vietnamese

IOCs:
File: 4
Domain: 1
Hash: 22

Soft:
chrome, google chrome, instagram

Platforms:
arm, x86

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея данного текста - обратить внимание на вредоносную кампанию, направленную на бизнес-аккаунты Facebook, и на необходимость соблюдения пользователями мер предосторожности при нажатии на сообщения, обещающие оптимизировать их рекламные кампании в Facebook. Кроме того, в тексте даются рекомендации о том, что следует предпринять жертвам этой вредоносной кампании, чтобы защитить себя.
-----

Вредоносная кампания, направленная на бизнес-аккаунты Facebook, которую мы недавно раскрыли, свидетельствует о постоянных попытках злоумышленников использовать социальные сети и облачные платформы. Преступники, стоящие за этой атакой, заманивали жертв с помощью поддельного программного обеспечения Ads Manager, которое они рекламировали в Facebook. С помощью вредоносных расширений Google Chrome злоумышленники похитили и извлекли регистрационные данные более 800 жертв по всему миру, 310 из которых находились в США. Злоумышленники попытались заменить вредоносный файл на новый, размещенный на сайте MediaFire, но он был распознан как вредоносный и заблокирован.

Вероятно, взломанные бизнес-аккаунты Facebook служат для преступников финансовым стимулом, поскольку часть похищенных рекламных бюджетов они реинвестируют в размещение вредоносной рекламы, чтобы заманить в ловушку новых жертв. Важно помнить, что "серебряной пули" не существует, и все, что звучит слишком хорошо, чтобы быть правдой, вполне может оказаться замаскированным мошенничеством. Бизнес-пользователям следует проявлять повышенную осторожность, нажимая на сообщения, обещающие оптимизировать их рекламные кампании в Facebook.

Если вы случайно загрузили один из этих вредоносных инсталляторов Facebook Ad Manager, Malwarebytes прикроет вас. Мы уже засекли несколько компонентов этих кампаний и добавили дополнительную защиту для оптимального обнаружения. Жертвам следует отозвать доступ к неизвестным пользователям из профиля учетной записи Business Manager, которые могли быть добавлены мошенниками, а также просмотреть историю операций. Важно также сохранять бдительность и внимательно следить за любыми подозрительными действиями или сообщениями, которые могут быть связаны с этой вредоносной кампанией.

#ParsedReport #CompletenessMedium
13-07-2023

New invitation from APT29 to use CCleaner. Stage0: SVG Dropper

https://lab52.io/blog/2344-2

Report completeness: Medium

Actors/Campaigns:
Duke

Threats:
Html_smuggling_technique

Victims:
Norwegian embassy

Geo:
Norwegian

TTPs:
Tactics: 1
Technics: 0

IOCs:
Path: 1
File: 3
Domain: 1
Url: 1
Hash: 7

Soft:
process explorer

Functions:
CreateRequest

Win API:
NtAllocateVirtualMemory, NtProtectVirtualMemory, InternetOpenA, InternetConnectA, HttpOpenRequestA, HttpSendRequestA, InternetReadFile, InternetCloseHandle, GetUserNameA, GetComputerNameExA, have more...

YARA: Found

#ParsedReport #ExtractedSchema

Classified images:
code: 8, windows: 2, schema: 1, dump: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что APT29 использует новую технику атаки, отправляя по электронной почте вложение в формате .svg, которое загружает файл .iso, содержащий две библиотеки, и устанавливает соединение с C2. Это новинка в тактике APT29 и подчеркивает важность сохранения бдительности и адаптации к новым методам атак.
-----

APT29 - одна из наиболее активных угроз последнего десятилетия. В последнее время они стали использовать в своих операциях новые методы. На этот раз в качестве вектора вторжения в очередной кампании использовалось приглашение по электронной почте с темой "Приглашение на празднование Санта-Люсии", выдаваемое за посольство Норвегии. Вложение было выполнено в формате .svg, при открытии которого выполнялся скрипт для монтирования и загрузки файла с расширением .iso, содержащего следующий этап заражения. Такой способ использования файла в качестве дроппера является новинкой в тактике APT29, что позволяет следить за подобными вложениями в будущем.

После открытия файла был загружен ISO (invitation.iso), содержащий две библиотеки: CCleanerReactivator.dll и CCleanerDU.dll. CCleanerReactivator.dll загружалась первой и служила мостом для загрузки вредоносного кода, содержащегося в библиотеке CCleanerDU.dll. Этот код отвечал за установление соединения с C2, загрузку необходимых для этого функций wininet.dll и регистрацию жертвы в C2 с помощью PUT-запроса, использующего упрощенный 4-значный идентификатор жертвы.

Взаимодействие с C2 изменилось по сравнению с предыдущими кампаниями. Ранее регистрация осуществлялась с помощью POST-пересылки зашифрованного JSON-файла с именами пользователя и компьютера, однако в новой итерации шелл-код загружается непосредственно с C2. Такое изменение тактики подчеркивает важность сохранения бдительности и адаптации к новым методам атак.

#ParsedReport #CompletenessLow
13-07-2023

Detecting BPFDoor Backdoor Variants Abusing BPF Filters

https://www.trendmicro.com/en_us/research/23/g/detecting-bpfdoor-backdoor-variants-abusing-bpf-filters.html

Report completeness: Low

Actors/Campaigns:
Sandworm

Threats:
Bpfdoor
Red_menshen
Mirai
Symbiote

Victims:
Telecommunications companies in turkey and hong kong

Industry:
Logistic, Telco, Education, Government

Geo:
Asian

TTPs:

ChatGPT TTPs:
do not use without manual check
T1205

IOCs:
File: 2
Hash: 39

Soft:
esxi

Algorithms:
sha256

Win API:
setsockopt

Win Services:
bits

Links:
https://github.com/trendmicro/telfhash
https://github.com/torvalds/linux/blob/master/Documentation/networking/filter.rst

#ParsedReport #ExtractedSchema

Classified images:
code: 3, windows: 10, chart: 2, schema: 1, dump: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Компания Red Menshen постоянно совершенствует свой бэкдор BPFDoor, использующий технологию Berkeley Packet Filter (BPF) для обхода межсетевых экранов и сетевых защитных решений, и объектом атаки стали компании телекоммуникационного сектора в Турции и Гонконге. Команды безопасности должны быть в курсе этой развивающейся угрозы и тщательно проверять свои серверы.
-----

С 2021 года APT-группа Red Menshen последовательно совершенствует свой бэкдор BPFDoor, использующий технологию Berkeley Packet Filter (BPF) для обхода межсетевых экранов и сетевых защитных решений в ОС Linux и Solaris. Trend Micro обнаруживает версии BPFDoor для Linux и Solaris как Backdoor.Linux.BPFDOOR и Backdoor.Solaris.BPFDOOR.ZAJE соответственно. В 2022 году количество BPF-фильтров компании Red Menshen увеличилось в шесть раз.

Наиболее интересной особенностью BPFDoor является возможность загрузки пакетных фильтров в ядро операционной системы. Linux Socket Filtering (LSF) - это аналог Berkeley Packet Filter (BPF) в реализации Linux. Эти фильтры позволяют активизировать бэкдор с помощью одного сетевого пакета. При получении пакета, содержащего "магическое число", BPFDoor открывает обратную оболочку, которая принимает любую команду, удаленно отправленную злоумышленником.

Варианты с 2018 по 2022 год содержат одну и ту же программу BPF, принимающую определенные магические числа для протоколов TCP (Transmission Control Protocol), UDP (User Datagram Protocol) и ICMP (Internet Control Message Protocol). В более позднем варианте добавлен дополнительный способ активации бэкдора с помощью TCP-пакета, содержащего магическое число 0x393939 по определенному смещению. Последний вариант содержит программу BPF, состоящую из 205 инструкций, которая проверяет первый 4-битный полубайт 48-битного (6 байт) MAC-адреса назначения пакета. Это означает, что бэкдор активизируется только в том случае, если MAC-адрес назначения начинается с 0x4.

Согласно данным телеметрии Trend Micro, объектами атак этого агента угроз являются компании телекоммуникационного сектора в Турции и Гонконге. Защитникам этих компаний следует тщательно проверять свои серверы. Одним из способов сделать это является составление списка запущенных процессов, вставляющих BPF-фильтры в Linux-сервер, с помощью инструмента командной строки ss.

Встраивание байткода BPF в образцы вредоносного ПО представляет собой новую проблему для служб безопасности, особенно для аналитиков и сетевых защитников. Такие инструменты, как IDA Pro и большинство дизассемблеров, могут быть расширены с помощью плагинов, а команда разработчиков ядра Linux предоставляет несколько инструментов командной строки для работы с BPF-фильтрами. Однако в настоящее время в учебном курсе по вредоносному ПО BPF-фильтры не рассматриваются.

Соответствующей методикой фреймворка ATT&CK является Traffic Signaling (T1205) и ее подметодика Traffic Signaling: Socket Filters (T1205-002). Атаки с использованием BPFDoor могут предоставить злоумышленникам полный доступ к зараженному компьютеру, поэтому командам безопасности важно знать об этой развивающейся угрозе.

#ParsedReport #CompletenessHigh
13-07-2023

Diplomats Beware: Cloaked Ursa Phishing With a Twist

https://unit42.paloaltonetworks.com/cloaked-ursa-phishing

Report completeness: High

Actors/Campaigns:
Duke (motivation: cyber_espionage)

Threats:
Mispadu
Wildfire
Dll_hijacking_technique
Quarterrig
Snowyamber

Victims:
Diplomatic missions globally and the turkish ministry of foreign affairs

Industry:
Transport, Military, Government

Geo:
America, Polish, Argentina, Spain, Turkey, Poland, Canada, Turkmenistan, Cyprus, Libya, Norway, Russian, Apac, Emea, Slovakia, Uzbekistan, Kyrgyzstan, Latvia, Ukraine, Iraq, Denmark, Estonia, Netherlands, Kuwait, Russia, Turkish, Sudan, Albania, Japan, Ireland, Greece

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1071, T1036, T1101, T1090, T1105, T1082

IOCs:
File: 18
Hash: 11
Domain: 4
Url: 6
Email: 3

Soft:
microsoft word, windows file explorer, microsoft visual c++, microsoft teams

Algorithms:
sha256, base64, xor

Functions:
Windows

Win API:
NtQueryObject, NtMapViewOfSection, NtCreateThreadEx, NtGetContextThread, NtSetContextThread, NtResumeThread, RtlUserThreadStart

Languages:
javascript

Links:
https://github.com/Dump-GUY/Malware-analysis-and-Reverse-engineering/blob/main/APT29\_C2-Client\_Dropbox\_Loader/APT29-DropboxLoader\_analysis.md
https://github.com/pan-unit42/tweets/blob/master/2023-03-10-IOCs-for-CloakedUrsa-APT29-Activity.txt

#ParsedReport #ExtractedSchema

Classified images:
windows: 1, code: 3, schema: 1, dump: 1