#ParsedReport #CompletenessLow
13-07-2023

Criminals target businesses with malicious extension for Meta's Ads Manager and accidentally leak stolen accounts

https://www.malwarebytes.com/blog/threat-intelligence/2023/07/criminals-target-businesses-with-malicious-extension-for-metas-ads-manager-and-accidentally-leak-stolen-accounts

Report completeness: Low

Threats:
Ducktail_stealer

Victims:
Facebook business users

Industry:
Financial

Geo:
Vietnamese

IOCs:
File: 4
Domain: 1
Hash: 22

Soft:
chrome, google chrome, instagram

Platforms:
arm, x86

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея данного текста - обратить внимание на вредоносную кампанию, направленную на бизнес-аккаунты Facebook, и на необходимость соблюдения пользователями мер предосторожности при нажатии на сообщения, обещающие оптимизировать их рекламные кампании в Facebook. Кроме того, в тексте даются рекомендации о том, что следует предпринять жертвам этой вредоносной кампании, чтобы защитить себя.
-----

Вредоносная кампания, направленная на бизнес-аккаунты Facebook, которую мы недавно раскрыли, свидетельствует о постоянных попытках злоумышленников использовать социальные сети и облачные платформы. Преступники, стоящие за этой атакой, заманивали жертв с помощью поддельного программного обеспечения Ads Manager, которое они рекламировали в Facebook. С помощью вредоносных расширений Google Chrome злоумышленники похитили и извлекли регистрационные данные более 800 жертв по всему миру, 310 из которых находились в США. Злоумышленники попытались заменить вредоносный файл на новый, размещенный на сайте MediaFire, но он был распознан как вредоносный и заблокирован.

Вероятно, взломанные бизнес-аккаунты Facebook служат для преступников финансовым стимулом, поскольку часть похищенных рекламных бюджетов они реинвестируют в размещение вредоносной рекламы, чтобы заманить в ловушку новых жертв. Важно помнить, что "серебряной пули" не существует, и все, что звучит слишком хорошо, чтобы быть правдой, вполне может оказаться замаскированным мошенничеством. Бизнес-пользователям следует проявлять повышенную осторожность, нажимая на сообщения, обещающие оптимизировать их рекламные кампании в Facebook.

Если вы случайно загрузили один из этих вредоносных инсталляторов Facebook Ad Manager, Malwarebytes прикроет вас. Мы уже засекли несколько компонентов этих кампаний и добавили дополнительную защиту для оптимального обнаружения. Жертвам следует отозвать доступ к неизвестным пользователям из профиля учетной записи Business Manager, которые могли быть добавлены мошенниками, а также просмотреть историю операций. Важно также сохранять бдительность и внимательно следить за любыми подозрительными действиями или сообщениями, которые могут быть связаны с этой вредоносной кампанией.

#ParsedReport #CompletenessMedium
13-07-2023

New invitation from APT29 to use CCleaner. Stage0: SVG Dropper

https://lab52.io/blog/2344-2

Report completeness: Medium

Actors/Campaigns:
Duke

Threats:
Html_smuggling_technique

Victims:
Norwegian embassy

Geo:
Norwegian

TTPs:
Tactics: 1
Technics: 0

IOCs:
Path: 1
File: 3
Domain: 1
Url: 1
Hash: 7

Soft:
process explorer

Functions:
CreateRequest

Win API:
NtAllocateVirtualMemory, NtProtectVirtualMemory, InternetOpenA, InternetConnectA, HttpOpenRequestA, HttpSendRequestA, InternetReadFile, InternetCloseHandle, GetUserNameA, GetComputerNameExA, have more...

YARA: Found

#ParsedReport #ExtractedSchema

Classified images:
code: 8, windows: 2, schema: 1, dump: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что APT29 использует новую технику атаки, отправляя по электронной почте вложение в формате .svg, которое загружает файл .iso, содержащий две библиотеки, и устанавливает соединение с C2. Это новинка в тактике APT29 и подчеркивает важность сохранения бдительности и адаптации к новым методам атак.
-----

APT29 - одна из наиболее активных угроз последнего десятилетия. В последнее время они стали использовать в своих операциях новые методы. На этот раз в качестве вектора вторжения в очередной кампании использовалось приглашение по электронной почте с темой "Приглашение на празднование Санта-Люсии", выдаваемое за посольство Норвегии. Вложение было выполнено в формате .svg, при открытии которого выполнялся скрипт для монтирования и загрузки файла с расширением .iso, содержащего следующий этап заражения. Такой способ использования файла в качестве дроппера является новинкой в тактике APT29, что позволяет следить за подобными вложениями в будущем.

После открытия файла был загружен ISO (invitation.iso), содержащий две библиотеки: CCleanerReactivator.dll и CCleanerDU.dll. CCleanerReactivator.dll загружалась первой и служила мостом для загрузки вредоносного кода, содержащегося в библиотеке CCleanerDU.dll. Этот код отвечал за установление соединения с C2, загрузку необходимых для этого функций wininet.dll и регистрацию жертвы в C2 с помощью PUT-запроса, использующего упрощенный 4-значный идентификатор жертвы.

Взаимодействие с C2 изменилось по сравнению с предыдущими кампаниями. Ранее регистрация осуществлялась с помощью POST-пересылки зашифрованного JSON-файла с именами пользователя и компьютера, однако в новой итерации шелл-код загружается непосредственно с C2. Такое изменение тактики подчеркивает важность сохранения бдительности и адаптации к новым методам атак.

#ParsedReport #CompletenessLow
13-07-2023

Detecting BPFDoor Backdoor Variants Abusing BPF Filters

https://www.trendmicro.com/en_us/research/23/g/detecting-bpfdoor-backdoor-variants-abusing-bpf-filters.html

Report completeness: Low

Actors/Campaigns:
Sandworm

Threats:
Bpfdoor
Red_menshen
Mirai
Symbiote

Victims:
Telecommunications companies in turkey and hong kong

Industry:
Logistic, Telco, Education, Government

Geo:
Asian

TTPs:

ChatGPT TTPs:
do not use without manual check
T1205

IOCs:
File: 2
Hash: 39

Soft:
esxi

Algorithms:
sha256

Win API:
setsockopt

Win Services:
bits

Links:
https://github.com/trendmicro/telfhash
https://github.com/torvalds/linux/blob/master/Documentation/networking/filter.rst

#ParsedReport #ExtractedSchema

Classified images:
code: 3, windows: 10, chart: 2, schema: 1, dump: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Компания Red Menshen постоянно совершенствует свой бэкдор BPFDoor, использующий технологию Berkeley Packet Filter (BPF) для обхода межсетевых экранов и сетевых защитных решений, и объектом атаки стали компании телекоммуникационного сектора в Турции и Гонконге. Команды безопасности должны быть в курсе этой развивающейся угрозы и тщательно проверять свои серверы.
-----

С 2021 года APT-группа Red Menshen последовательно совершенствует свой бэкдор BPFDoor, использующий технологию Berkeley Packet Filter (BPF) для обхода межсетевых экранов и сетевых защитных решений в ОС Linux и Solaris. Trend Micro обнаруживает версии BPFDoor для Linux и Solaris как Backdoor.Linux.BPFDOOR и Backdoor.Solaris.BPFDOOR.ZAJE соответственно. В 2022 году количество BPF-фильтров компании Red Menshen увеличилось в шесть раз.

Наиболее интересной особенностью BPFDoor является возможность загрузки пакетных фильтров в ядро операционной системы. Linux Socket Filtering (LSF) - это аналог Berkeley Packet Filter (BPF) в реализации Linux. Эти фильтры позволяют активизировать бэкдор с помощью одного сетевого пакета. При получении пакета, содержащего "магическое число", BPFDoor открывает обратную оболочку, которая принимает любую команду, удаленно отправленную злоумышленником.

Варианты с 2018 по 2022 год содержат одну и ту же программу BPF, принимающую определенные магические числа для протоколов TCP (Transmission Control Protocol), UDP (User Datagram Protocol) и ICMP (Internet Control Message Protocol). В более позднем варианте добавлен дополнительный способ активации бэкдора с помощью TCP-пакета, содержащего магическое число 0x393939 по определенному смещению. Последний вариант содержит программу BPF, состоящую из 205 инструкций, которая проверяет первый 4-битный полубайт 48-битного (6 байт) MAC-адреса назначения пакета. Это означает, что бэкдор активизируется только в том случае, если MAC-адрес назначения начинается с 0x4.

Согласно данным телеметрии Trend Micro, объектами атак этого агента угроз являются компании телекоммуникационного сектора в Турции и Гонконге. Защитникам этих компаний следует тщательно проверять свои серверы. Одним из способов сделать это является составление списка запущенных процессов, вставляющих BPF-фильтры в Linux-сервер, с помощью инструмента командной строки ss.

Встраивание байткода BPF в образцы вредоносного ПО представляет собой новую проблему для служб безопасности, особенно для аналитиков и сетевых защитников. Такие инструменты, как IDA Pro и большинство дизассемблеров, могут быть расширены с помощью плагинов, а команда разработчиков ядра Linux предоставляет несколько инструментов командной строки для работы с BPF-фильтрами. Однако в настоящее время в учебном курсе по вредоносному ПО BPF-фильтры не рассматриваются.

Соответствующей методикой фреймворка ATT&CK является Traffic Signaling (T1205) и ее подметодика Traffic Signaling: Socket Filters (T1205-002). Атаки с использованием BPFDoor могут предоставить злоумышленникам полный доступ к зараженному компьютеру, поэтому командам безопасности важно знать об этой развивающейся угрозе.

#ParsedReport #CompletenessHigh
13-07-2023

Diplomats Beware: Cloaked Ursa Phishing With a Twist

https://unit42.paloaltonetworks.com/cloaked-ursa-phishing

Report completeness: High

Actors/Campaigns:
Duke (motivation: cyber_espionage)

Threats:
Mispadu
Wildfire
Dll_hijacking_technique
Quarterrig
Snowyamber

Victims:
Diplomatic missions globally and the turkish ministry of foreign affairs

Industry:
Transport, Military, Government

Geo:
America, Polish, Argentina, Spain, Turkey, Poland, Canada, Turkmenistan, Cyprus, Libya, Norway, Russian, Apac, Emea, Slovakia, Uzbekistan, Kyrgyzstan, Latvia, Ukraine, Iraq, Denmark, Estonia, Netherlands, Kuwait, Russia, Turkish, Sudan, Albania, Japan, Ireland, Greece

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1071, T1036, T1101, T1090, T1105, T1082

IOCs:
File: 18
Hash: 11
Domain: 4
Url: 6
Email: 3

Soft:
microsoft word, windows file explorer, microsoft visual c++, microsoft teams

Algorithms:
sha256, base64, xor

Functions:
Windows

Win API:
NtQueryObject, NtMapViewOfSection, NtCreateThreadEx, NtGetContextThread, NtSetContextThread, NtResumeThread, RtlUserThreadStart

Languages:
javascript

Links:
https://github.com/Dump-GUY/Malware-analysis-and-Reverse-engineering/blob/main/APT29\_C2-Client\_Dropbox\_Loader/APT29-DropboxLoader\_analysis.md
https://github.com/pan-unit42/tweets/blob/master/2023-03-10-IOCs-for-CloakedUrsa-APT29-Activity.txt

#ParsedReport #ExtractedSchema

Classified images:
windows: 1, code: 3, schema: 1, dump: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Группа хакеров Cloaked Ursa из Службы внешней разведки России (СВР) в течение последних двух лет атакует дипломатические представительства по всему миру, в том числе Министерство иностранных дел (МИД) Турции, с помощью вредоносных электронных писем, содержащих ссылки на большие файлы HTA. Для защиты от подобных угроз необходимо соблюдать меры предосторожности при загрузке вложений и взять за правило отключать JavaScript.
-----

В течение последних двух лет хакеры Службы внешней разведки (СВР) России "Cloaked Ursa" атаковали дипломатические представительства по всему миру. В последнее время они атакуют дипломатические представительства на территории Украины, используя потребность в транспортном средстве для недавно размещенных дипломатов. По меньшей мере 22 из 80 иностранных представительств в Киеве стали объектами атак. Приманки, используемые Cloaked Ursa, широко применимы в дипломатическом сообществе и повышают шансы на успешную компрометацию.

В начале 2023 года в рамках одной из новых кампаний "Cloaked Ursa" была осуществлена атака на Министерство иностранных дел Турции (МИД). Приманка представляла собой инструкции МИДа по оказанию гуманитарной помощи в связи с разрушительным землетрясением в Турции в феврале 2021 года. Приманка, скорее всего, была разослана в несколько дипломатических миссий, так как получатели должны были чувствовать патриотический долг по поддержке своей страны и ее жертв и, скорее всего, переслали бы письмо.

Вредоносные письма содержали ссылку, ведущую на сайт, с которого извлекался большой HTA-файл. Этот файл пытался загрузить несколько DLL во время выполнения и становился жертвой DLL hijacking. Загружаемому файлу присваивалось имя bmw.iso. Полезная нагрузка принимала пять возможных запросов от сервера C2, позволяя принадлежащему угрожающему субъекту C2 загружать в Dropbox команды, обернутые в формат BMP.

Кампания Министерства иностранных дел Турции дополнительно использовала Microsoft Graph API и Dropbox API для C2-коммуникаций. Это свидетельствует о стремлении Cloaked Ursa найти легитимные платформы для размещения своих C2-серверов. Для защиты от подобных угроз важно соблюдать меры предосторожности при использовании сервисов сокращения URL-адресов и загрузке вложений, обращать внимание на скрытые файлы и каталоги в архивах, например с расширениями .zip, .rar, .7z, .tar и .iso, а также взять за правило отключать JavaScript. Организация Cyber Threat Alliance (CTA) делится оперативной информацией и обеспечивает защиту от типов угроз, о которых идет речь в этой статье.

#ParsedReport #CompletenessHigh
13-07-2023

Threat Actor Profile: BianLian, The Shape-Shifting Ransomware Group

https://socradar.io/threat-actor-profile-bianlian-the-shape-shifting-ransomware-group

Report completeness: High

Actors/Campaigns:
Bianlian

Threats:
Bianlian_ransomware
Yanluowang
Atera_tool
Teamviewer_tool
Splashtop_tool
Anydesk_tool
Sharpshares_tool
Pingcastle_tool
Medusalocker
ransomware.live
Credential_dumping_technique

Victims:
Individual users, businesses, governmental organizations, healthcare facilities, and educational institutions, with a higher concentration of attacks in north america and europe

Industry:
Education, Healthcare, Government, Financial, Entertainment

Geo:
Chinese, America, Canada

CVEs:
CVE-2021-4034 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- polkit project polkit (*)
- redhat enterprise linux desktop (7.0)
- redhat enterprise linux workstation (7.0)
- redhat enterprise linux for scientific computing (7.0)
- redhat enterprise linux server (7.0, 6.0)
have more...
CVE-2022-37042 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- zimbra collaboration (9.0.0, 8.8.15)

CVE-2023-27350 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- papercut papercut ng (<20.1.7, <21.2.11, <22.0.9)
- papercut papercut mf (<22.0.9, <21.2.11, <20.1.7)

CVE-2021-34523 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9
X-Force: Patch: Official fix
Soft:
- microsoft exchange server (2013, 2019, 2016)

CVE-2022-27925 [Vulners]
CVSS V3.1: 7.2,
Vulners: Exploitation: True
X-Force: Risk: 7.2
X-Force: Patch: Official fix
Soft:
- zimbra collaboration (9.0.0, 8.8.15)


TTPs:
Tactics: 13
Technics: 34

IOCs:
File: 14
Hash: 6
Command: 1
Path: 1
IP: 5
Url: 5
Email: 2

Soft:
android, windows defender, softperfect network scanner, local security authority, active directory, psexec, windows firewall, mozilla firefox

Algorithms:
sha256

YARA: Found

#ParsedReport #ExtractedSchema

Classified images:
code: 8, chart: 10, windows: 8, chats: 2, schema: 2

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: BianLian - грозный угрожающий агент, использующий комбинацию тактик и инструментов для получения доступа к сетям, шифрования данных и требования выкупа. В последнее время они перешли к стратегии вымогательства и атакуют организации, особенно в Северной Америке и Европе. Организациям следует принять меры по обеспечению актуальности своих мер безопасности для защиты от возможной атаки BianLian.
-----

BianLian - группировка, активно действующая с 2019 года. Ее название происходит от китайского искусства смены лиц, что говорит об адаптивности и быстром развитии тактики, техники и процедур. BianLian получает первоначальный доступ к сетям, используя скомпрометированные учетные данные протокола удаленного рабочего стола (RDP), которые они, скорее всего, получают в ходе фишинговых кампаний или через брокеров первоначального доступа.

Получив доступ, они используют PowerShell и Windows Command Shell для отключения антивирусных средств, таких как Windows Defender и Anti-Malware Scan Interface (AMSI). Они используют комбинацию инструментов, собственных средств Windows и Windows Command Shell для опроса вошедших в систему пользователей, контроллеров домена, доменных трастов и подключенных устройств. Для латерального перемещения BianLian также использует PsExec и RDP с действительными учетными записями.

Затем BianLian шифрует данные жертвы и требует выкуп за их восстановление. При этом используется стратегия двойного вымогательства, когда данные шифруются после их утечки. Кроме того, они размещают объявления о жертвах на собственном сайте TOR и ориентируются на предприятия, правительственные организации, медицинские учреждения и учебные заведения, обладающие конфиденциальными данными и имеющие финансовые возможности для выплаты крупных выкупов.

Основные объекты атак BianLian расположены в Северной Америке и Европе, причем наиболее подверженной атаке страной являются США. В июле 2022 года компания BianLian переключила свое внимание с программ-вымогателей на стратегию, основанную на вымогательстве, что было отмечено в консультативном уведомлении CISA. Компания DXC Technology также сообщила о стремительном росте числа своих атак на программы-вымогатели, что еще раз подчеркивает их эффективность и темпы роста.

Очевидно, что BianLian - это грозный угрожающий субъект, чье присутствие в киберпреступном мире только растет. Благодаря быстро меняющейся тактике группа демонстрирует свою стойкость и хитрость. Организациям следует принять дополнительные меры по обеспечению безопасности и устранению всех уязвимостей, чтобы защитить себя от возможной атаки BianLian.

#ParsedReport #CompletenessMedium
13-07-2023

Storm-0978 attacks reveal financial and espionage motives

https://www.microsoft.com/en-us/security/blog/2023/07/11/storm-0978-attacks-reveal-financial-and-espionage-motives

Report completeness: Medium

Actors/Campaigns:
Dev-0978 (motivation: financially_motivated, cyber_criminal, cyber_espionage)
Cadet_blizzard (motivation: cyber_espionage)
Ruinous_ursa (motivation: cyber_espionage)
Volt_typhoon (motivation: cyber_espionage)
Phosphorus (motivation: cyber_espionage)

Threats:
Whispergate
Romcom_rat
Trigona
Impacket_tool
Underground_team_ransomware
Polymorphism_technique
Ransom:win32/industrialspy

Victims:
Microsoft, defense and government entities in europe and north america, ukrainian government and military organizations, telecommunications and finance industries, organizations potentially involved in ukrainian affairs

Industry:
Telco, Government, Financial, Military

Geo:
Russian, Ukrainian, America, Ukraine, Iranian, Russia, Chinese

CVEs:
CVE-2023-36884 [Vulners]
CVSS V3.1: 0.0,
Vulners: Exploitation: Unknown
X-Force: Risk: 8.3
X-Force: Patch: Unavailable


IOCs:
Domain: 1

Soft:
microsoft defender, office 365, microsoft defender for endpoint, microsoft 365 defender, keepass, microsoft word, windows registry, psexec

Languages:
python

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Storm-0978 - сложная киберпреступная группировка, действующая с конца 2022 г. и атакующая правительственные и военные организации преимущественно в Украине, Европе и Северной Америке. Для получения доступа к целевым системам группировка использует троянские версии популярного программного обеспечения: Industrial Spy ransomware, Underground ransomware, Trigona ransomware, а также эксплойты, направленные на уязвимости "нулевого дня". Пользователи Microsoft Defender для Office 365 защищены от вложений, пытающихся использовать CVE-2023-36884, а организации, которые не могут воспользоваться этими средствами защиты, могут установить ключ реестра FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION, чтобы избежать эксплуатации.
-----

Storm-0978 - сложная киберпреступная группировка, действующая с конца 2022 года.

Целью группы были правительственные и военные организации, прежде всего на Украине, а также организации в Европе и Северной Америке, потенциально причастные к украинским делам.

В Storm-0978 использовались троянизированные версии популярных программ, Industrial Spy ransomware, Underground ransomware, Trigona ransomware, а также эксплойты, направленные на уязвимости "нулевого дня".

Для получения доступа к целевым системам злоумышленник сбрасывал хэши паролей из Security Account Manager (SAM).

Пользователи Microsoft Defender для Office 365 защищены от вложений, пытающихся использовать CVE-2023-36884, а организации, которые не могут воспользоваться этими средствами защиты, могут установить ключ реестра FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION, чтобы избежать эксплуатации.

#ParsedReport #CompletenessMedium
11-07-2023

Cisco Talos Intelligence Blog. Undocumented driver-based browser hijacker RedDriver targets Chinese speakers and internet cafes

https://blog.talosintelligence.com/undocumented-reddriver

Report completeness: Medium

Threats:
Reddriver
Hooksigntool_tool
Reflectiveloader
Upx_tool

Victims:
Native chinese speakers

Industry:
Entertainment

Geo:
Chinese, China

ChatGPT TTPs:
do not use without manual check
T1138, T1055, T1573

IOCs:
File: 12
Hash: 11
IP: 9
Domain: 10

Soft:
google chrome, microsoft edge, jenkins

Platforms:
x64

Links:
https://github.com/strivexjun/DriverInjectDll
https://github.com/Jemmy1228/HookSigntool/tree/master
https://github.com/Cisco-Talos/IOCs/blob/main/2023/07/reddriverIOCs.txt

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Компания Cisco Talos обнаружила недокументированный вредоносный драйвер RedDriver, который использует код из нескольких инструментов с открытым исходным кодом для обхода принудительной подписи драйверов в Windows и предназначен для носителей китайского языка. Для защиты от угроз, подобных RedDriver, важно соблюдать политики применения подписей драйверов и обеспечивать правильную подпись всех драйверов.
-----

Компания Cisco Talos обнаружила несколько версий недокументированного вредоносного драйвера RedDriver - браузерного угонщика, использующего платформу фильтрации Windows Filtering Platform (WFP) для перехвата трафика браузера. Он активен как минимум с 2021 года и ориентирован на носителей китайского языка, поскольку ищет браузеры на китайском языке для захвата. Цепочка заражения RedDriver начинается с одного исполняемого файла, упакованного с помощью Ultimate Packer for eXecutables (UPX), под названием DnfClientShell32.exe. Этот исполняемый файл содержит две библиотеки DLL - DnfClient и ReflectiveLoader32. Для организации сетевого взаимодействия в нем используется код из нескольких инструментов с открытым исходным кодом, включая HP-Socket и собственную реализацию ReflectiveLoader.

Для обхода принудительной подписи драйверов в Windows RedDriver использует HookSignTool, инструмент для подделки временных меток подписи с открытым исходным кодом. Для подписи RedDriver использовалось несколько различных сертификатов подписи кода, для которых в продуктах Cisco Secure теперь есть средства обнаружения. Компания Talos уведомила Microsoft о злоупотреблении этими сертификатами, и та незамедлительно приняла меры.

Авторы RedDriver, судя по всему, обладают высокой квалификацией в области разработки драйверов и глубокими знаниями операционной системы Windows, о чем свидетельствует отсутствие сбоев и "синих экранов смерти" (BSOD). Кроме того, они, скорее всего, являются носителями китайского языка, на что указывает геолокация инфраструктуры C2 в Китае, жестко закодированный список имен процессов браузера на китайском языке, а также размещение кода на китайскоязычном форуме.

RedDriver - не единственное семейство вредоносных драйверов, использующих средства подделки временных меток. Учитывая выгоды от внедрения вредоносных драйверов, можно ожидать, что подделка временных меток подписи будет и дальше использоваться в среде угроз. Для защиты от таких угроз, как RedDriver, важно обеспечить соблюдение политик применения подписей драйверов и правильную подпись всех драйверов.

#ParsedReport #CompletenessLow
13-07-2023

The GRU's Disruptive Playbook

https://www.mandiant.com/resources/blog/gru-disruptive-playbook

Report completeness: Low

Actors/Campaigns:
Unc3810 (motivation: hacktivism, cyber_espionage)
Cyberarmyofrussia (motivation: hacktivism)
Cybercaliphate (motivation: hacktivism)
Fancy_bear (motivation: hacktivism)
Xaknet (motivation: hacktivism)

Threats:
Killdisk
Portproxy_tool
Impacket_tool
Chisel_tool
Gogetter_tool
Tanktrap_tool
Powergpoabuse_tool
Crashoverride
Paywipe
Shadylook

Victims:
Ukrainian government and civilian critical infrastructure

Industry:
Ics, Military, Government

Geo:
Russian, Yemen, Georgian, Ukraine, Russia, Romanian, Poland, Ukrainian

IOCs:
File: 4

Soft:
telegram, systemd, active directory

Platforms:
x64, x86

Links:
https://github.com/rootSySdk/PowerGPOAbuse/blob/master/PowerGPOAbuse.ps1

#ParsedReport #ExtractedSchema

Classified images:
schema: 16

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: ГРУ разработало повторяющийся пятиэтапный план действий в киберпространстве для использования в ходе вторжения российских военных на Украину, включающий операции доступа, кибершпионаж, разрушительные атаки, информационные операции, ложные идентификации и операции влияния.
-----

С момента вторжения российских войск на Украину в феврале 2022 года Mandiant Intelligence наблюдала, как они используют стандартную, повторяющуюся схему действий для достижения целей информационного противостояния. Эта стандартная пятифазная программа отличается высокой устойчивостью к обнаружению и техническим мерам противодействия и используется несколькими различными кластерами российских угроз. Подрывные действия ГРУ направлены на интеграцию всего спектра возможностей информационного противостояния и сосредоточены на украинской государственной и гражданской критической инфраструктуре.

Программа состоит из шести этапов: операции доступа, кибершпионаж, волны разрушительных атак и информационные операции. Первая фаза - получение первоначального доступа к целевой среде, вероятно, через компрометацию VPN. Вторая фаза включает в себя тактику "жизни за счет земли", например, использование инструментов, уже имеющихся в среде жертвы, и создание избыточных точек доступа. Третья фаза - повышение привилегий и латеральное перемещение по сетевой среде. Четвертая фаза - развертывание "чистильщиков" или других разрушительных инструментов, способных оказать немедленное воздействие на целевые организации. Пятый этап - использование Telegram-каналов для взятия на себя ответственности за кибератаки и утечки похищенных документов. Наконец, на шестом этапе используются операции влияния для преувеличения успеха предыдущих киберкомпонентов.

ГРУ развернуло целый ряд разрушительных средств, таких как CADDYWIPER и INDUSTROYER.V2. С момента первого применения CADDYWIPER в марте 2022 года они постоянно совершенствовали его, делая более легким и гибким. Для развертывания CADDYWIPER ГРУ использовало TANKTRAP, модифицированную утилиту PowerShell, найденную на Github, для создания объектов групповой политики (GPO), которые будут выполняться на всех системах, связанных с доменом Active Directory.

ГРУ также использовало фальшивые имена и символы известных политических деятелей и хактивистов для искажения атрибуции и получения психологических эффектов второго порядка от своих киберопераций. Telegram используется в качестве важнейшего источника сенсаций, информационных операций, связанных с войной, и ключевой платформы для вербовки добровольцев в кибервойска.

Кибернетическая программа ГРУ на военное время имеет четкие корни в исторических моделях информационного противостояния, но ее уникальность заключается в интеграции этих компонентов в единую, повторяющуюся программу, разработанную для использования в ходе вторжения России на Украину. Мониторинг, обнаружение и реагирование на ТТП, используемые в российской кибернетической "Книге военных действий", будут полезны для защиты от технических приемов, используемых группами, распространяющими программы-вымогатели.