#ParsedReport #CompletenessLow
13-07-2023

Detecting BPFDoor Backdoor Variants Abusing BPF Filters

https://www.trendmicro.com/en_us/research/23/g/detecting-bpfdoor-backdoor-variants-abusing-bpf-filters.html

Report completeness: Low

Actors/Campaigns:
Sandworm

Threats:
Bpfdoor
Red_menshen
Mirai
Symbiote

Victims:
Telecommunications companies in turkey and hong kong

Industry:
Logistic, Telco, Education, Government

Geo:
Asian

TTPs:

ChatGPT TTPs:
do not use without manual check
T1205

IOCs:
File: 2
Hash: 39

Soft:
esxi

Algorithms:
sha256

Win API:
setsockopt

Win Services:
bits

Links:
https://github.com/trendmicro/telfhash
https://github.com/torvalds/linux/blob/master/Documentation/networking/filter.rst

#ParsedReport #ExtractedSchema

Classified images:
code: 3, windows: 10, chart: 2, schema: 1, dump: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Компания Red Menshen постоянно совершенствует свой бэкдор BPFDoor, использующий технологию Berkeley Packet Filter (BPF) для обхода межсетевых экранов и сетевых защитных решений, и объектом атаки стали компании телекоммуникационного сектора в Турции и Гонконге. Команды безопасности должны быть в курсе этой развивающейся угрозы и тщательно проверять свои серверы.
-----

С 2021 года APT-группа Red Menshen последовательно совершенствует свой бэкдор BPFDoor, использующий технологию Berkeley Packet Filter (BPF) для обхода межсетевых экранов и сетевых защитных решений в ОС Linux и Solaris. Trend Micro обнаруживает версии BPFDoor для Linux и Solaris как Backdoor.Linux.BPFDOOR и Backdoor.Solaris.BPFDOOR.ZAJE соответственно. В 2022 году количество BPF-фильтров компании Red Menshen увеличилось в шесть раз.

Наиболее интересной особенностью BPFDoor является возможность загрузки пакетных фильтров в ядро операционной системы. Linux Socket Filtering (LSF) - это аналог Berkeley Packet Filter (BPF) в реализации Linux. Эти фильтры позволяют активизировать бэкдор с помощью одного сетевого пакета. При получении пакета, содержащего "магическое число", BPFDoor открывает обратную оболочку, которая принимает любую команду, удаленно отправленную злоумышленником.

Варианты с 2018 по 2022 год содержат одну и ту же программу BPF, принимающую определенные магические числа для протоколов TCP (Transmission Control Protocol), UDP (User Datagram Protocol) и ICMP (Internet Control Message Protocol). В более позднем варианте добавлен дополнительный способ активации бэкдора с помощью TCP-пакета, содержащего магическое число 0x393939 по определенному смещению. Последний вариант содержит программу BPF, состоящую из 205 инструкций, которая проверяет первый 4-битный полубайт 48-битного (6 байт) MAC-адреса назначения пакета. Это означает, что бэкдор активизируется только в том случае, если MAC-адрес назначения начинается с 0x4.

Согласно данным телеметрии Trend Micro, объектами атак этого агента угроз являются компании телекоммуникационного сектора в Турции и Гонконге. Защитникам этих компаний следует тщательно проверять свои серверы. Одним из способов сделать это является составление списка запущенных процессов, вставляющих BPF-фильтры в Linux-сервер, с помощью инструмента командной строки ss.

Встраивание байткода BPF в образцы вредоносного ПО представляет собой новую проблему для служб безопасности, особенно для аналитиков и сетевых защитников. Такие инструменты, как IDA Pro и большинство дизассемблеров, могут быть расширены с помощью плагинов, а команда разработчиков ядра Linux предоставляет несколько инструментов командной строки для работы с BPF-фильтрами. Однако в настоящее время в учебном курсе по вредоносному ПО BPF-фильтры не рассматриваются.

Соответствующей методикой фреймворка ATT&CK является Traffic Signaling (T1205) и ее подметодика Traffic Signaling: Socket Filters (T1205-002). Атаки с использованием BPFDoor могут предоставить злоумышленникам полный доступ к зараженному компьютеру, поэтому командам безопасности важно знать об этой развивающейся угрозе.

#ParsedReport #CompletenessHigh
13-07-2023

Diplomats Beware: Cloaked Ursa Phishing With a Twist

https://unit42.paloaltonetworks.com/cloaked-ursa-phishing

Report completeness: High

Actors/Campaigns:
Duke (motivation: cyber_espionage)

Threats:
Mispadu
Wildfire
Dll_hijacking_technique
Quarterrig
Snowyamber

Victims:
Diplomatic missions globally and the turkish ministry of foreign affairs

Industry:
Transport, Military, Government

Geo:
America, Polish, Argentina, Spain, Turkey, Poland, Canada, Turkmenistan, Cyprus, Libya, Norway, Russian, Apac, Emea, Slovakia, Uzbekistan, Kyrgyzstan, Latvia, Ukraine, Iraq, Denmark, Estonia, Netherlands, Kuwait, Russia, Turkish, Sudan, Albania, Japan, Ireland, Greece

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1071, T1036, T1101, T1090, T1105, T1082

IOCs:
File: 18
Hash: 11
Domain: 4
Url: 6
Email: 3

Soft:
microsoft word, windows file explorer, microsoft visual c++, microsoft teams

Algorithms:
sha256, base64, xor

Functions:
Windows

Win API:
NtQueryObject, NtMapViewOfSection, NtCreateThreadEx, NtGetContextThread, NtSetContextThread, NtResumeThread, RtlUserThreadStart

Languages:
javascript

Links:
https://github.com/Dump-GUY/Malware-analysis-and-Reverse-engineering/blob/main/APT29\_C2-Client\_Dropbox\_Loader/APT29-DropboxLoader\_analysis.md
https://github.com/pan-unit42/tweets/blob/master/2023-03-10-IOCs-for-CloakedUrsa-APT29-Activity.txt

#ParsedReport #ExtractedSchema

Classified images:
windows: 1, code: 3, schema: 1, dump: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Группа хакеров Cloaked Ursa из Службы внешней разведки России (СВР) в течение последних двух лет атакует дипломатические представительства по всему миру, в том числе Министерство иностранных дел (МИД) Турции, с помощью вредоносных электронных писем, содержащих ссылки на большие файлы HTA. Для защиты от подобных угроз необходимо соблюдать меры предосторожности при загрузке вложений и взять за правило отключать JavaScript.
-----

В течение последних двух лет хакеры Службы внешней разведки (СВР) России "Cloaked Ursa" атаковали дипломатические представительства по всему миру. В последнее время они атакуют дипломатические представительства на территории Украины, используя потребность в транспортном средстве для недавно размещенных дипломатов. По меньшей мере 22 из 80 иностранных представительств в Киеве стали объектами атак. Приманки, используемые Cloaked Ursa, широко применимы в дипломатическом сообществе и повышают шансы на успешную компрометацию.

В начале 2023 года в рамках одной из новых кампаний "Cloaked Ursa" была осуществлена атака на Министерство иностранных дел Турции (МИД). Приманка представляла собой инструкции МИДа по оказанию гуманитарной помощи в связи с разрушительным землетрясением в Турции в феврале 2021 года. Приманка, скорее всего, была разослана в несколько дипломатических миссий, так как получатели должны были чувствовать патриотический долг по поддержке своей страны и ее жертв и, скорее всего, переслали бы письмо.

Вредоносные письма содержали ссылку, ведущую на сайт, с которого извлекался большой HTA-файл. Этот файл пытался загрузить несколько DLL во время выполнения и становился жертвой DLL hijacking. Загружаемому файлу присваивалось имя bmw.iso. Полезная нагрузка принимала пять возможных запросов от сервера C2, позволяя принадлежащему угрожающему субъекту C2 загружать в Dropbox команды, обернутые в формат BMP.

Кампания Министерства иностранных дел Турции дополнительно использовала Microsoft Graph API и Dropbox API для C2-коммуникаций. Это свидетельствует о стремлении Cloaked Ursa найти легитимные платформы для размещения своих C2-серверов. Для защиты от подобных угроз важно соблюдать меры предосторожности при использовании сервисов сокращения URL-адресов и загрузке вложений, обращать внимание на скрытые файлы и каталоги в архивах, например с расширениями .zip, .rar, .7z, .tar и .iso, а также взять за правило отключать JavaScript. Организация Cyber Threat Alliance (CTA) делится оперативной информацией и обеспечивает защиту от типов угроз, о которых идет речь в этой статье.

#ParsedReport #CompletenessHigh
13-07-2023

Threat Actor Profile: BianLian, The Shape-Shifting Ransomware Group

https://socradar.io/threat-actor-profile-bianlian-the-shape-shifting-ransomware-group

Report completeness: High

Actors/Campaigns:
Bianlian

Threats:
Bianlian_ransomware
Yanluowang
Atera_tool
Teamviewer_tool
Splashtop_tool
Anydesk_tool
Sharpshares_tool
Pingcastle_tool
Medusalocker
ransomware.live
Credential_dumping_technique

Victims:
Individual users, businesses, governmental organizations, healthcare facilities, and educational institutions, with a higher concentration of attacks in north america and europe

Industry:
Education, Healthcare, Government, Financial, Entertainment

Geo:
Chinese, America, Canada

CVEs:
CVE-2021-4034 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- polkit project polkit (*)
- redhat enterprise linux desktop (7.0)
- redhat enterprise linux workstation (7.0)
- redhat enterprise linux for scientific computing (7.0)
- redhat enterprise linux server (7.0, 6.0)
have more...
CVE-2022-37042 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- zimbra collaboration (9.0.0, 8.8.15)

CVE-2023-27350 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- papercut papercut ng (<20.1.7, <21.2.11, <22.0.9)
- papercut papercut mf (<22.0.9, <21.2.11, <20.1.7)

CVE-2021-34523 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9
X-Force: Patch: Official fix
Soft:
- microsoft exchange server (2013, 2019, 2016)

CVE-2022-27925 [Vulners]
CVSS V3.1: 7.2,
Vulners: Exploitation: True
X-Force: Risk: 7.2
X-Force: Patch: Official fix
Soft:
- zimbra collaboration (9.0.0, 8.8.15)


TTPs:
Tactics: 13
Technics: 34

IOCs:
File: 14
Hash: 6
Command: 1
Path: 1
IP: 5
Url: 5
Email: 2

Soft:
android, windows defender, softperfect network scanner, local security authority, active directory, psexec, windows firewall, mozilla firefox

Algorithms:
sha256

YARA: Found

#ParsedReport #ExtractedSchema

Classified images:
code: 8, chart: 10, windows: 8, chats: 2, schema: 2

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: BianLian - грозный угрожающий агент, использующий комбинацию тактик и инструментов для получения доступа к сетям, шифрования данных и требования выкупа. В последнее время они перешли к стратегии вымогательства и атакуют организации, особенно в Северной Америке и Европе. Организациям следует принять меры по обеспечению актуальности своих мер безопасности для защиты от возможной атаки BianLian.
-----

BianLian - группировка, активно действующая с 2019 года. Ее название происходит от китайского искусства смены лиц, что говорит об адаптивности и быстром развитии тактики, техники и процедур. BianLian получает первоначальный доступ к сетям, используя скомпрометированные учетные данные протокола удаленного рабочего стола (RDP), которые они, скорее всего, получают в ходе фишинговых кампаний или через брокеров первоначального доступа.

Получив доступ, они используют PowerShell и Windows Command Shell для отключения антивирусных средств, таких как Windows Defender и Anti-Malware Scan Interface (AMSI). Они используют комбинацию инструментов, собственных средств Windows и Windows Command Shell для опроса вошедших в систему пользователей, контроллеров домена, доменных трастов и подключенных устройств. Для латерального перемещения BianLian также использует PsExec и RDP с действительными учетными записями.

Затем BianLian шифрует данные жертвы и требует выкуп за их восстановление. При этом используется стратегия двойного вымогательства, когда данные шифруются после их утечки. Кроме того, они размещают объявления о жертвах на собственном сайте TOR и ориентируются на предприятия, правительственные организации, медицинские учреждения и учебные заведения, обладающие конфиденциальными данными и имеющие финансовые возможности для выплаты крупных выкупов.

Основные объекты атак BianLian расположены в Северной Америке и Европе, причем наиболее подверженной атаке страной являются США. В июле 2022 года компания BianLian переключила свое внимание с программ-вымогателей на стратегию, основанную на вымогательстве, что было отмечено в консультативном уведомлении CISA. Компания DXC Technology также сообщила о стремительном росте числа своих атак на программы-вымогатели, что еще раз подчеркивает их эффективность и темпы роста.

Очевидно, что BianLian - это грозный угрожающий субъект, чье присутствие в киберпреступном мире только растет. Благодаря быстро меняющейся тактике группа демонстрирует свою стойкость и хитрость. Организациям следует принять дополнительные меры по обеспечению безопасности и устранению всех уязвимостей, чтобы защитить себя от возможной атаки BianLian.

#ParsedReport #CompletenessMedium
13-07-2023

Storm-0978 attacks reveal financial and espionage motives

https://www.microsoft.com/en-us/security/blog/2023/07/11/storm-0978-attacks-reveal-financial-and-espionage-motives

Report completeness: Medium

Actors/Campaigns:
Dev-0978 (motivation: financially_motivated, cyber_criminal, cyber_espionage)
Cadet_blizzard (motivation: cyber_espionage)
Ruinous_ursa (motivation: cyber_espionage)
Volt_typhoon (motivation: cyber_espionage)
Phosphorus (motivation: cyber_espionage)

Threats:
Whispergate
Romcom_rat
Trigona
Impacket_tool
Underground_team_ransomware
Polymorphism_technique
Ransom:win32/industrialspy

Victims:
Microsoft, defense and government entities in europe and north america, ukrainian government and military organizations, telecommunications and finance industries, organizations potentially involved in ukrainian affairs

Industry:
Telco, Government, Financial, Military

Geo:
Russian, Ukrainian, America, Ukraine, Iranian, Russia, Chinese

CVEs:
CVE-2023-36884 [Vulners]
CVSS V3.1: 0.0,
Vulners: Exploitation: Unknown
X-Force: Risk: 8.3
X-Force: Patch: Unavailable


IOCs:
Domain: 1

Soft:
microsoft defender, office 365, microsoft defender for endpoint, microsoft 365 defender, keepass, microsoft word, windows registry, psexec

Languages:
python

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Storm-0978 - сложная киберпреступная группировка, действующая с конца 2022 г. и атакующая правительственные и военные организации преимущественно в Украине, Европе и Северной Америке. Для получения доступа к целевым системам группировка использует троянские версии популярного программного обеспечения: Industrial Spy ransomware, Underground ransomware, Trigona ransomware, а также эксплойты, направленные на уязвимости "нулевого дня". Пользователи Microsoft Defender для Office 365 защищены от вложений, пытающихся использовать CVE-2023-36884, а организации, которые не могут воспользоваться этими средствами защиты, могут установить ключ реестра FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION, чтобы избежать эксплуатации.
-----

Storm-0978 - сложная киберпреступная группировка, действующая с конца 2022 года.

Целью группы были правительственные и военные организации, прежде всего на Украине, а также организации в Европе и Северной Америке, потенциально причастные к украинским делам.

В Storm-0978 использовались троянизированные версии популярных программ, Industrial Spy ransomware, Underground ransomware, Trigona ransomware, а также эксплойты, направленные на уязвимости "нулевого дня".

Для получения доступа к целевым системам злоумышленник сбрасывал хэши паролей из Security Account Manager (SAM).

Пользователи Microsoft Defender для Office 365 защищены от вложений, пытающихся использовать CVE-2023-36884, а организации, которые не могут воспользоваться этими средствами защиты, могут установить ключ реестра FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION, чтобы избежать эксплуатации.

#ParsedReport #CompletenessMedium
11-07-2023

Cisco Talos Intelligence Blog. Undocumented driver-based browser hijacker RedDriver targets Chinese speakers and internet cafes

https://blog.talosintelligence.com/undocumented-reddriver

Report completeness: Medium

Threats:
Reddriver
Hooksigntool_tool
Reflectiveloader
Upx_tool

Victims:
Native chinese speakers

Industry:
Entertainment

Geo:
Chinese, China

ChatGPT TTPs:
do not use without manual check
T1138, T1055, T1573

IOCs:
File: 12
Hash: 11
IP: 9
Domain: 10

Soft:
google chrome, microsoft edge, jenkins

Platforms:
x64

Links:
https://github.com/strivexjun/DriverInjectDll
https://github.com/Jemmy1228/HookSigntool/tree/master
https://github.com/Cisco-Talos/IOCs/blob/main/2023/07/reddriverIOCs.txt

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Компания Cisco Talos обнаружила недокументированный вредоносный драйвер RedDriver, который использует код из нескольких инструментов с открытым исходным кодом для обхода принудительной подписи драйверов в Windows и предназначен для носителей китайского языка. Для защиты от угроз, подобных RedDriver, важно соблюдать политики применения подписей драйверов и обеспечивать правильную подпись всех драйверов.
-----

Компания Cisco Talos обнаружила несколько версий недокументированного вредоносного драйвера RedDriver - браузерного угонщика, использующего платформу фильтрации Windows Filtering Platform (WFP) для перехвата трафика браузера. Он активен как минимум с 2021 года и ориентирован на носителей китайского языка, поскольку ищет браузеры на китайском языке для захвата. Цепочка заражения RedDriver начинается с одного исполняемого файла, упакованного с помощью Ultimate Packer for eXecutables (UPX), под названием DnfClientShell32.exe. Этот исполняемый файл содержит две библиотеки DLL - DnfClient и ReflectiveLoader32. Для организации сетевого взаимодействия в нем используется код из нескольких инструментов с открытым исходным кодом, включая HP-Socket и собственную реализацию ReflectiveLoader.

Для обхода принудительной подписи драйверов в Windows RedDriver использует HookSignTool, инструмент для подделки временных меток подписи с открытым исходным кодом. Для подписи RedDriver использовалось несколько различных сертификатов подписи кода, для которых в продуктах Cisco Secure теперь есть средства обнаружения. Компания Talos уведомила Microsoft о злоупотреблении этими сертификатами, и та незамедлительно приняла меры.

Авторы RedDriver, судя по всему, обладают высокой квалификацией в области разработки драйверов и глубокими знаниями операционной системы Windows, о чем свидетельствует отсутствие сбоев и "синих экранов смерти" (BSOD). Кроме того, они, скорее всего, являются носителями китайского языка, на что указывает геолокация инфраструктуры C2 в Китае, жестко закодированный список имен процессов браузера на китайском языке, а также размещение кода на китайскоязычном форуме.

RedDriver - не единственное семейство вредоносных драйверов, использующих средства подделки временных меток. Учитывая выгоды от внедрения вредоносных драйверов, можно ожидать, что подделка временных меток подписи будет и дальше использоваться в среде угроз. Для защиты от таких угроз, как RedDriver, важно обеспечить соблюдение политик применения подписей драйверов и правильную подпись всех драйверов.

#ParsedReport #CompletenessLow
13-07-2023

The GRU's Disruptive Playbook

https://www.mandiant.com/resources/blog/gru-disruptive-playbook

Report completeness: Low

Actors/Campaigns:
Unc3810 (motivation: hacktivism, cyber_espionage)
Cyberarmyofrussia (motivation: hacktivism)
Cybercaliphate (motivation: hacktivism)
Fancy_bear (motivation: hacktivism)
Xaknet (motivation: hacktivism)

Threats:
Killdisk
Portproxy_tool
Impacket_tool
Chisel_tool
Gogetter_tool
Tanktrap_tool
Powergpoabuse_tool
Crashoverride
Paywipe
Shadylook

Victims:
Ukrainian government and civilian critical infrastructure

Industry:
Ics, Military, Government

Geo:
Russian, Yemen, Georgian, Ukraine, Russia, Romanian, Poland, Ukrainian

IOCs:
File: 4

Soft:
telegram, systemd, active directory

Platforms:
x64, x86

Links:
https://github.com/rootSySdk/PowerGPOAbuse/blob/master/PowerGPOAbuse.ps1

#ParsedReport #ExtractedSchema

Classified images:
schema: 16

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: ГРУ разработало повторяющийся пятиэтапный план действий в киберпространстве для использования в ходе вторжения российских военных на Украину, включающий операции доступа, кибершпионаж, разрушительные атаки, информационные операции, ложные идентификации и операции влияния.
-----

С момента вторжения российских войск на Украину в феврале 2022 года Mandiant Intelligence наблюдала, как они используют стандартную, повторяющуюся схему действий для достижения целей информационного противостояния. Эта стандартная пятифазная программа отличается высокой устойчивостью к обнаружению и техническим мерам противодействия и используется несколькими различными кластерами российских угроз. Подрывные действия ГРУ направлены на интеграцию всего спектра возможностей информационного противостояния и сосредоточены на украинской государственной и гражданской критической инфраструктуре.

Программа состоит из шести этапов: операции доступа, кибершпионаж, волны разрушительных атак и информационные операции. Первая фаза - получение первоначального доступа к целевой среде, вероятно, через компрометацию VPN. Вторая фаза включает в себя тактику "жизни за счет земли", например, использование инструментов, уже имеющихся в среде жертвы, и создание избыточных точек доступа. Третья фаза - повышение привилегий и латеральное перемещение по сетевой среде. Четвертая фаза - развертывание "чистильщиков" или других разрушительных инструментов, способных оказать немедленное воздействие на целевые организации. Пятый этап - использование Telegram-каналов для взятия на себя ответственности за кибератаки и утечки похищенных документов. Наконец, на шестом этапе используются операции влияния для преувеличения успеха предыдущих киберкомпонентов.

ГРУ развернуло целый ряд разрушительных средств, таких как CADDYWIPER и INDUSTROYER.V2. С момента первого применения CADDYWIPER в марте 2022 года они постоянно совершенствовали его, делая более легким и гибким. Для развертывания CADDYWIPER ГРУ использовало TANKTRAP, модифицированную утилиту PowerShell, найденную на Github, для создания объектов групповой политики (GPO), которые будут выполняться на всех системах, связанных с доменом Active Directory.

ГРУ также использовало фальшивые имена и символы известных политических деятелей и хактивистов для искажения атрибуции и получения психологических эффектов второго порядка от своих киберопераций. Telegram используется в качестве важнейшего источника сенсаций, информационных операций, связанных с войной, и ключевой платформы для вербовки добровольцев в кибервойска.

Кибернетическая программа ГРУ на военное время имеет четкие корни в исторических моделях информационного противостояния, но ее уникальность заключается в интеграции этих компонентов в единую, повторяющуюся программу, разработанную для использования в ходе вторжения России на Украину. Мониторинг, обнаружение и реагирование на ТТП, используемые в российской кибернетической "Книге военных действий", будут полезны для защиты от технических приемов, используемых группами, распространяющими программы-вымогатели.

#ParsedReport #CompletenessHigh
13-07-2023

The Spies Who Loved You: Infected USB Drives to Steal Secrets

https://www.mandiant.com/resources/blog/infected-usb-steal-secrets

Report completeness: High

Actors/Campaigns:
Unc4698

Threats:
Plugx_rat
Snowydrive
Dll_hijacking_technique
Netstat_tool
Frozenhill
Zipzag
Beacon

Victims:
Public and private sectors globally

Industry:
Transport, Retail, Petroleum, Government, Healthcare

Geo:
Chinese, Asia, China, Philippines

TTPs:
Tactics: 2
Technics: 0

IOCs:
File: 12
Path: 11
Command: 1
Registry: 1
Hash: 13
Domain: 1
IP: 4

Soft:
windows registry, smadav, silverlight, microsoft silverlight, windows explorer, outlook

Algorithms:
base64, sha256, zip

YARA: Found

#ParsedReport #ExtractedSchema

Classified images:
schema: 14, chart: 1, dump: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: USB-накопители все чаще используются злоумышленниками для получения доступа к конфиденциальной информации, что подчеркивает необходимость осознания рисков, связанных с USB-накопителями, и принятия мер по защите организаций от подобных атак.
-----

В первой половине 2023 года компания Mandiant Managed Defense отметила трехкратное увеличение числа атак с использованием зараженных USB-накопителей для кражи секретов. Эти атаки были связаны с несколькими активными кампаниями, направленными на использование USB-накопителей в государственном и частном секторах по всему миру. Одна из таких кампаний - SOGU Malware Infection via USB Flash Drives Across Industries and Geographies - связана с китайской организацией, занимающейся кибершпионажем. Другая кампания - SNOWYDRIVE - заражение вредоносным ПО через USB-накопители, направленное на организации нефтегазовой отрасли в Азии и связанное с UNC4698.

Цепочка заражения обычно начинается с исполняемого файла, выполняющего роль дроппера. Этот дроппер отвечает за запись вредоносных файлов на диск и их запуск. В одном из случаев дроппер с именем USB Drive.exe записал на диск C:\Users\Public\SymantecsThorvices\Data следующие зашифрованные файлы: KORPLUG, SOGU, FROZENHILL и ZIPZAG. KORPLUG - это вредоносный DLL-файл, который загружается через перехват порядка поиска DLL. Затем он загружает расшифрованный шелл-код, обычно представленный в виде .dat-файла, и исполняет его в памяти. В качестве шелл-кода обычно используется бэкдор, который Mandiant отследила как SOGU, написанный на языке C. FROZENHILL - программа запуска, написанная на C++, которая настроена на использование существующих файлов для выполнения, а также заражает дополнительными вредоносными программами вновь подключенные тома памяти. ZIPZAG - дроппер в памяти, написанный на языке C++, который настроен на перезапись частей загружаемого процесса шелл-кодом и передачу исполнения обратно в процесс для выполнения. Наконец, SNOWYDRATE - это бэкдор на основе шелл-кода, взаимодействующий по TCP через собственный двоичный протокол.

Для поддержания своей устойчивости в системе вредоносная программа создает каталог, маскирующийся под легитимную программу, и устанавливает его атрибут скрытым. Затем он копирует в этот каталог свои основные компоненты. Вредоносная программа ищет на диске C файлы со следующими расширениями: .doc, .docx, .ppt, .pptx, .xls, .xlsx и .pdf. Он шифрует копию каждого файла, кодирует оригинальные имена файлов с помощью Base64 и сбрасывает зашифрованные файлы в следующие каталоги:.

На последнем этапе жизненного цикла атаки вредоносная программа осуществляет эксфильтрацию всех данных, которые были сохранены. Для связи с командно-контрольным сервером вредоносная программа может использовать HTTP, HTTPS, собственный двоичный протокол по TCP или UDP, а также ICMP. Также было обнаружено, что вредоносная программа поддерживает широкий набор команд, включая передачу файлов, их выполнение, удаленный рабочий стол, захват снимков экрана, обратный shell и кейлоггинг. Кроме того, вредоносная программа может копироваться на новые съемные диски, подключаемые к зараженной системе. Это позволяет распространять вредоносную полезную нагрузку на другие системы и потенциально собирать данные с систем, находящихся под воздушной защитой.

Эта кампания показывает, что угрозы продолжают использовать USB-накопители в качестве вектора заражения для получения доступа к конфиденциальной информации. Важно знать о рисках, связанных с USB-накопителями, и принимать меры по защите организации от подобных атак. Организациям также следует рассмотреть возможность использования Mandiant Security Validation, чтобы убедиться в том, что их меры безопасности эффективно защищают от вредоносных действий.

Не успеваем отмодерировать TI-отчеты, что насобирал наш движок за пятницу (whitelisting api кушает много времени и ресурсов), поэтому вот интересный видосик про IoC с RSA Conference.
Многие идеи коррелируют с нашим подходом.
https://www.youtube.com/watch?v=skVB2XPUfDQ&t=818s&ab_channel=RSAConference

#technique
Shellcode Loader Implementing Indirect Dynamic Syscall , API Hashing, Fileless Shellcode retrieving using Winsock2

https://github.com/CognisysGroup/HadesLdr