#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: BianLian - грозный угрожающий агент, использующий комбинацию тактик и инструментов для получения доступа к сетям, шифрования данных и требования выкупа. В последнее время они перешли к стратегии вымогательства и атакуют организации, особенно в Северной Америке и Европе. Организациям следует принять меры по обеспечению актуальности своих мер безопасности для защиты от возможной атаки BianLian.
-----

BianLian - группировка, активно действующая с 2019 года. Ее название происходит от китайского искусства смены лиц, что говорит об адаптивности и быстром развитии тактики, техники и процедур. BianLian получает первоначальный доступ к сетям, используя скомпрометированные учетные данные протокола удаленного рабочего стола (RDP), которые они, скорее всего, получают в ходе фишинговых кампаний или через брокеров первоначального доступа.

Получив доступ, они используют PowerShell и Windows Command Shell для отключения антивирусных средств, таких как Windows Defender и Anti-Malware Scan Interface (AMSI). Они используют комбинацию инструментов, собственных средств Windows и Windows Command Shell для опроса вошедших в систему пользователей, контроллеров домена, доменных трастов и подключенных устройств. Для латерального перемещения BianLian также использует PsExec и RDP с действительными учетными записями.

Затем BianLian шифрует данные жертвы и требует выкуп за их восстановление. При этом используется стратегия двойного вымогательства, когда данные шифруются после их утечки. Кроме того, они размещают объявления о жертвах на собственном сайте TOR и ориентируются на предприятия, правительственные организации, медицинские учреждения и учебные заведения, обладающие конфиденциальными данными и имеющие финансовые возможности для выплаты крупных выкупов.

Основные объекты атак BianLian расположены в Северной Америке и Европе, причем наиболее подверженной атаке страной являются США. В июле 2022 года компания BianLian переключила свое внимание с программ-вымогателей на стратегию, основанную на вымогательстве, что было отмечено в консультативном уведомлении CISA. Компания DXC Technology также сообщила о стремительном росте числа своих атак на программы-вымогатели, что еще раз подчеркивает их эффективность и темпы роста.

Очевидно, что BianLian - это грозный угрожающий субъект, чье присутствие в киберпреступном мире только растет. Благодаря быстро меняющейся тактике группа демонстрирует свою стойкость и хитрость. Организациям следует принять дополнительные меры по обеспечению безопасности и устранению всех уязвимостей, чтобы защитить себя от возможной атаки BianLian.

#ParsedReport #CompletenessMedium
13-07-2023

Storm-0978 attacks reveal financial and espionage motives

https://www.microsoft.com/en-us/security/blog/2023/07/11/storm-0978-attacks-reveal-financial-and-espionage-motives

Report completeness: Medium

Actors/Campaigns:
Dev-0978 (motivation: financially_motivated, cyber_criminal, cyber_espionage)
Cadet_blizzard (motivation: cyber_espionage)
Ruinous_ursa (motivation: cyber_espionage)
Volt_typhoon (motivation: cyber_espionage)
Phosphorus (motivation: cyber_espionage)

Threats:
Whispergate
Romcom_rat
Trigona
Impacket_tool
Underground_team_ransomware
Polymorphism_technique
Ransom:win32/industrialspy

Victims:
Microsoft, defense and government entities in europe and north america, ukrainian government and military organizations, telecommunications and finance industries, organizations potentially involved in ukrainian affairs

Industry:
Telco, Government, Financial, Military

Geo:
Russian, Ukrainian, America, Ukraine, Iranian, Russia, Chinese

CVEs:
CVE-2023-36884 [Vulners]
CVSS V3.1: 0.0,
Vulners: Exploitation: Unknown
X-Force: Risk: 8.3
X-Force: Patch: Unavailable


IOCs:
Domain: 1

Soft:
microsoft defender, office 365, microsoft defender for endpoint, microsoft 365 defender, keepass, microsoft word, windows registry, psexec

Languages:
python

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Storm-0978 - сложная киберпреступная группировка, действующая с конца 2022 г. и атакующая правительственные и военные организации преимущественно в Украине, Европе и Северной Америке. Для получения доступа к целевым системам группировка использует троянские версии популярного программного обеспечения: Industrial Spy ransomware, Underground ransomware, Trigona ransomware, а также эксплойты, направленные на уязвимости "нулевого дня". Пользователи Microsoft Defender для Office 365 защищены от вложений, пытающихся использовать CVE-2023-36884, а организации, которые не могут воспользоваться этими средствами защиты, могут установить ключ реестра FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION, чтобы избежать эксплуатации.
-----

Storm-0978 - сложная киберпреступная группировка, действующая с конца 2022 года.

Целью группы были правительственные и военные организации, прежде всего на Украине, а также организации в Европе и Северной Америке, потенциально причастные к украинским делам.

В Storm-0978 использовались троянизированные версии популярных программ, Industrial Spy ransomware, Underground ransomware, Trigona ransomware, а также эксплойты, направленные на уязвимости "нулевого дня".

Для получения доступа к целевым системам злоумышленник сбрасывал хэши паролей из Security Account Manager (SAM).

Пользователи Microsoft Defender для Office 365 защищены от вложений, пытающихся использовать CVE-2023-36884, а организации, которые не могут воспользоваться этими средствами защиты, могут установить ключ реестра FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION, чтобы избежать эксплуатации.

#ParsedReport #CompletenessMedium
11-07-2023

Cisco Talos Intelligence Blog. Undocumented driver-based browser hijacker RedDriver targets Chinese speakers and internet cafes

https://blog.talosintelligence.com/undocumented-reddriver

Report completeness: Medium

Threats:
Reddriver
Hooksigntool_tool
Reflectiveloader
Upx_tool

Victims:
Native chinese speakers

Industry:
Entertainment

Geo:
Chinese, China

ChatGPT TTPs:
do not use without manual check
T1138, T1055, T1573

IOCs:
File: 12
Hash: 11
IP: 9
Domain: 10

Soft:
google chrome, microsoft edge, jenkins

Platforms:
x64

Links:
https://github.com/strivexjun/DriverInjectDll
https://github.com/Jemmy1228/HookSigntool/tree/master
https://github.com/Cisco-Talos/IOCs/blob/main/2023/07/reddriverIOCs.txt

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Компания Cisco Talos обнаружила недокументированный вредоносный драйвер RedDriver, который использует код из нескольких инструментов с открытым исходным кодом для обхода принудительной подписи драйверов в Windows и предназначен для носителей китайского языка. Для защиты от угроз, подобных RedDriver, важно соблюдать политики применения подписей драйверов и обеспечивать правильную подпись всех драйверов.
-----

Компания Cisco Talos обнаружила несколько версий недокументированного вредоносного драйвера RedDriver - браузерного угонщика, использующего платформу фильтрации Windows Filtering Platform (WFP) для перехвата трафика браузера. Он активен как минимум с 2021 года и ориентирован на носителей китайского языка, поскольку ищет браузеры на китайском языке для захвата. Цепочка заражения RedDriver начинается с одного исполняемого файла, упакованного с помощью Ultimate Packer for eXecutables (UPX), под названием DnfClientShell32.exe. Этот исполняемый файл содержит две библиотеки DLL - DnfClient и ReflectiveLoader32. Для организации сетевого взаимодействия в нем используется код из нескольких инструментов с открытым исходным кодом, включая HP-Socket и собственную реализацию ReflectiveLoader.

Для обхода принудительной подписи драйверов в Windows RedDriver использует HookSignTool, инструмент для подделки временных меток подписи с открытым исходным кодом. Для подписи RedDriver использовалось несколько различных сертификатов подписи кода, для которых в продуктах Cisco Secure теперь есть средства обнаружения. Компания Talos уведомила Microsoft о злоупотреблении этими сертификатами, и та незамедлительно приняла меры.

Авторы RedDriver, судя по всему, обладают высокой квалификацией в области разработки драйверов и глубокими знаниями операционной системы Windows, о чем свидетельствует отсутствие сбоев и "синих экранов смерти" (BSOD). Кроме того, они, скорее всего, являются носителями китайского языка, на что указывает геолокация инфраструктуры C2 в Китае, жестко закодированный список имен процессов браузера на китайском языке, а также размещение кода на китайскоязычном форуме.

RedDriver - не единственное семейство вредоносных драйверов, использующих средства подделки временных меток. Учитывая выгоды от внедрения вредоносных драйверов, можно ожидать, что подделка временных меток подписи будет и дальше использоваться в среде угроз. Для защиты от таких угроз, как RedDriver, важно обеспечить соблюдение политик применения подписей драйверов и правильную подпись всех драйверов.

#ParsedReport #CompletenessLow
13-07-2023

The GRU's Disruptive Playbook

https://www.mandiant.com/resources/blog/gru-disruptive-playbook

Report completeness: Low

Actors/Campaigns:
Unc3810 (motivation: hacktivism, cyber_espionage)
Cyberarmyofrussia (motivation: hacktivism)
Cybercaliphate (motivation: hacktivism)
Fancy_bear (motivation: hacktivism)
Xaknet (motivation: hacktivism)

Threats:
Killdisk
Portproxy_tool
Impacket_tool
Chisel_tool
Gogetter_tool
Tanktrap_tool
Powergpoabuse_tool
Crashoverride
Paywipe
Shadylook

Victims:
Ukrainian government and civilian critical infrastructure

Industry:
Ics, Military, Government

Geo:
Russian, Yemen, Georgian, Ukraine, Russia, Romanian, Poland, Ukrainian

IOCs:
File: 4

Soft:
telegram, systemd, active directory

Platforms:
x64, x86

Links:
https://github.com/rootSySdk/PowerGPOAbuse/blob/master/PowerGPOAbuse.ps1

#ParsedReport #ExtractedSchema

Classified images:
schema: 16

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: ГРУ разработало повторяющийся пятиэтапный план действий в киберпространстве для использования в ходе вторжения российских военных на Украину, включающий операции доступа, кибершпионаж, разрушительные атаки, информационные операции, ложные идентификации и операции влияния.
-----

С момента вторжения российских войск на Украину в феврале 2022 года Mandiant Intelligence наблюдала, как они используют стандартную, повторяющуюся схему действий для достижения целей информационного противостояния. Эта стандартная пятифазная программа отличается высокой устойчивостью к обнаружению и техническим мерам противодействия и используется несколькими различными кластерами российских угроз. Подрывные действия ГРУ направлены на интеграцию всего спектра возможностей информационного противостояния и сосредоточены на украинской государственной и гражданской критической инфраструктуре.

Программа состоит из шести этапов: операции доступа, кибершпионаж, волны разрушительных атак и информационные операции. Первая фаза - получение первоначального доступа к целевой среде, вероятно, через компрометацию VPN. Вторая фаза включает в себя тактику "жизни за счет земли", например, использование инструментов, уже имеющихся в среде жертвы, и создание избыточных точек доступа. Третья фаза - повышение привилегий и латеральное перемещение по сетевой среде. Четвертая фаза - развертывание "чистильщиков" или других разрушительных инструментов, способных оказать немедленное воздействие на целевые организации. Пятый этап - использование Telegram-каналов для взятия на себя ответственности за кибератаки и утечки похищенных документов. Наконец, на шестом этапе используются операции влияния для преувеличения успеха предыдущих киберкомпонентов.

ГРУ развернуло целый ряд разрушительных средств, таких как CADDYWIPER и INDUSTROYER.V2. С момента первого применения CADDYWIPER в марте 2022 года они постоянно совершенствовали его, делая более легким и гибким. Для развертывания CADDYWIPER ГРУ использовало TANKTRAP, модифицированную утилиту PowerShell, найденную на Github, для создания объектов групповой политики (GPO), которые будут выполняться на всех системах, связанных с доменом Active Directory.

ГРУ также использовало фальшивые имена и символы известных политических деятелей и хактивистов для искажения атрибуции и получения психологических эффектов второго порядка от своих киберопераций. Telegram используется в качестве важнейшего источника сенсаций, информационных операций, связанных с войной, и ключевой платформы для вербовки добровольцев в кибервойска.

Кибернетическая программа ГРУ на военное время имеет четкие корни в исторических моделях информационного противостояния, но ее уникальность заключается в интеграции этих компонентов в единую, повторяющуюся программу, разработанную для использования в ходе вторжения России на Украину. Мониторинг, обнаружение и реагирование на ТТП, используемые в российской кибернетической "Книге военных действий", будут полезны для защиты от технических приемов, используемых группами, распространяющими программы-вымогатели.

#ParsedReport #CompletenessHigh
13-07-2023

The Spies Who Loved You: Infected USB Drives to Steal Secrets

https://www.mandiant.com/resources/blog/infected-usb-steal-secrets

Report completeness: High

Actors/Campaigns:
Unc4698

Threats:
Plugx_rat
Snowydrive
Dll_hijacking_technique
Netstat_tool
Frozenhill
Zipzag
Beacon

Victims:
Public and private sectors globally

Industry:
Transport, Retail, Petroleum, Government, Healthcare

Geo:
Chinese, Asia, China, Philippines

TTPs:
Tactics: 2
Technics: 0

IOCs:
File: 12
Path: 11
Command: 1
Registry: 1
Hash: 13
Domain: 1
IP: 4

Soft:
windows registry, smadav, silverlight, microsoft silverlight, windows explorer, outlook

Algorithms:
base64, sha256, zip

YARA: Found

#ParsedReport #ExtractedSchema

Classified images:
schema: 14, chart: 1, dump: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: USB-накопители все чаще используются злоумышленниками для получения доступа к конфиденциальной информации, что подчеркивает необходимость осознания рисков, связанных с USB-накопителями, и принятия мер по защите организаций от подобных атак.
-----

В первой половине 2023 года компания Mandiant Managed Defense отметила трехкратное увеличение числа атак с использованием зараженных USB-накопителей для кражи секретов. Эти атаки были связаны с несколькими активными кампаниями, направленными на использование USB-накопителей в государственном и частном секторах по всему миру. Одна из таких кампаний - SOGU Malware Infection via USB Flash Drives Across Industries and Geographies - связана с китайской организацией, занимающейся кибершпионажем. Другая кампания - SNOWYDRIVE - заражение вредоносным ПО через USB-накопители, направленное на организации нефтегазовой отрасли в Азии и связанное с UNC4698.

Цепочка заражения обычно начинается с исполняемого файла, выполняющего роль дроппера. Этот дроппер отвечает за запись вредоносных файлов на диск и их запуск. В одном из случаев дроппер с именем USB Drive.exe записал на диск C:\Users\Public\SymantecsThorvices\Data следующие зашифрованные файлы: KORPLUG, SOGU, FROZENHILL и ZIPZAG. KORPLUG - это вредоносный DLL-файл, который загружается через перехват порядка поиска DLL. Затем он загружает расшифрованный шелл-код, обычно представленный в виде .dat-файла, и исполняет его в памяти. В качестве шелл-кода обычно используется бэкдор, который Mandiant отследила как SOGU, написанный на языке C. FROZENHILL - программа запуска, написанная на C++, которая настроена на использование существующих файлов для выполнения, а также заражает дополнительными вредоносными программами вновь подключенные тома памяти. ZIPZAG - дроппер в памяти, написанный на языке C++, который настроен на перезапись частей загружаемого процесса шелл-кодом и передачу исполнения обратно в процесс для выполнения. Наконец, SNOWYDRATE - это бэкдор на основе шелл-кода, взаимодействующий по TCP через собственный двоичный протокол.

Для поддержания своей устойчивости в системе вредоносная программа создает каталог, маскирующийся под легитимную программу, и устанавливает его атрибут скрытым. Затем он копирует в этот каталог свои основные компоненты. Вредоносная программа ищет на диске C файлы со следующими расширениями: .doc, .docx, .ppt, .pptx, .xls, .xlsx и .pdf. Он шифрует копию каждого файла, кодирует оригинальные имена файлов с помощью Base64 и сбрасывает зашифрованные файлы в следующие каталоги:.

На последнем этапе жизненного цикла атаки вредоносная программа осуществляет эксфильтрацию всех данных, которые были сохранены. Для связи с командно-контрольным сервером вредоносная программа может использовать HTTP, HTTPS, собственный двоичный протокол по TCP или UDP, а также ICMP. Также было обнаружено, что вредоносная программа поддерживает широкий набор команд, включая передачу файлов, их выполнение, удаленный рабочий стол, захват снимков экрана, обратный shell и кейлоггинг. Кроме того, вредоносная программа может копироваться на новые съемные диски, подключаемые к зараженной системе. Это позволяет распространять вредоносную полезную нагрузку на другие системы и потенциально собирать данные с систем, находящихся под воздушной защитой.

Эта кампания показывает, что угрозы продолжают использовать USB-накопители в качестве вектора заражения для получения доступа к конфиденциальной информации. Важно знать о рисках, связанных с USB-накопителями, и принимать меры по защите организации от подобных атак. Организациям также следует рассмотреть возможность использования Mandiant Security Validation, чтобы убедиться в том, что их меры безопасности эффективно защищают от вредоносных действий.

Не успеваем отмодерировать TI-отчеты, что насобирал наш движок за пятницу (whitelisting api кушает много времени и ресурсов), поэтому вот интересный видосик про IoC с RSA Conference.
Многие идеи коррелируют с нашим подходом.
https://www.youtube.com/watch?v=skVB2XPUfDQ&t=818s&ab_channel=RSAConference

#technique
Shellcode Loader Implementing Indirect Dynamic Syscall , API Hashing, Fileless Shellcode retrieving using Winsock2

https://github.com/CognisysGroup/HadesLdr

#technique
Send phishing messages and attachments to Microsoft Teams users

https://github.com/Octoberfest7/TeamsPhisher

#ParsedReport #CompletenessLow
15-07-2023

Evil QR - Phishing With QR Codes. Background

https://breakdev.org/evilqr-phishing

Report completeness: Low

Threats:
Evilqr
Qrljacking_technique
Evilginx_tool

Industry:
Media

Soft:
discord, telegram, whatsapp, tiktok

Crypto:
binance

Languages:
javascript

Links:
https://github.com/OWASP/QRLJacking
https://github.com/kgretzky/evilginx2
https://github.com/kgretzky/evilqr

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Фишинг QRLJacking представляет собой вектор атаки, использующий QR-коды для получения доступа к учетным записям пользователей. Это опасный вектор атаки, который потенциально может быть использован для обхода многофакторной аутентификации.
-----

QRLJacking phishing - это вектор атаки, использующий QR-коды для получения доступа к учетным записям пользователей. Он является побочным результатом атаки QRLJacking, продемонстрированной Мохамедом Абдельбассетом Эльнуби в 2016 году. Инструментарий Evil QR был разработан для демонстрации этого вектора атаки путем создания набора инструментов для доказательства концепции. Он состоит из сервера и расширения. Сервер разработан на языке GO, и его основное назначение заключается в предоставлении REST API для браузерного расширения и запуске HTTP-сервера для размещения фишинговой страницы. Полученный QR-код сохраняется и доступен для извлечения с помощью JavaScript, запущенного на фишинговой странице.

Злоумышленник открывает официальную страницу входа в Discord в своем браузере и генерирует QR-код, который затем извлекается с помощью браузерного расширения Evil QR и загружается на сервер Evil QR. На фишинговой странице, размещенной злоумышленником, динамически отображается последний QR-код входа в систему, контролируемый злоумышленником. После успешного сканирования QR-кода злоумышленник получает контроль над фишинговой учетной записью.

Фишинговая страница использует HTTP Long Polling для получения обновлений QR-кода с минимальными задержками, не прибегая к использованию Websockets. Кроме того, страница динамически изменяет CSS и текстовое содержимое в зависимости от имени хоста QR-кода. Это позволяет создать персонализированный фишинговый предтекст, повышающий эффективность атаки.

Инструментарий Evil QR не так силен, как классические фишинговые атаки, направленные на перехват учетных данных и сеансовых токенов, но все же представляет определенную угрозу. Для успешного проведения атаки необходимо соблюдение ряда условий, например, наличие у объекта атаки мобильного приложения, предустановленного для данного сервиса, а также то, что атаку сложно реализовать в широком масштабе, поскольку для каждого объекта должен быть сгенерирован отдельный QR-код. Кроме того, для атаки обычно трудно найти настройки для сканирования QR-кодов в мобильных приложениях, а если фишинговая страница открывается на мобильном телефоне, то у цели нет возможности отсканировать QR-код с помощью того же мобильного телефона.

Несмотря на эти ограничения, фишинг QRLJacking по-прежнему представляет собой опасный вектор атаки, который потенциально может быть использован для обхода многофакторной аутентификации. Атака может быть реализована в общественных местах, поскольку злоумышленникам не нужно убеждать жертву ввести имя пользователя и пароль, а достаточно лишь отсканировать QR-код с помощью мобильного приложения.

#ParsedReport #CompletenessLow
14-07-2023

Evaluate Your Windows Endpoints for Storm-0978 Activity With Qualys Endpoint Security

https://blog.qualys.com/qualys-insights/2023/07/14/evaluate-your-windows-endpoints-for-storm-0978-activity-with-qualys-endpoint-security

Report completeness: Low

Actors/Campaigns:
Dev-0978 (motivation: cyber_espionage)

Threats:
Romcom_rat
Follina_vuln

Geo:
Russian

CVEs:
CVE-2023-32046 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- microsoft windows server 2008 (r2, -)
- microsoft windows server 2012 (r2, -)
- microsoft windows server 2016 (-)
- microsoft windows server 2019 (-)
- microsoft windows server 2022 (-)
have more...
CVE-2023-35311 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- microsoft outlook (2016, 2013)
- microsoft office (2019)
- microsoft 365 apps (-)
- microsoft office long term servicing channel (2021)

CVE-2023-32049 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- microsoft windows server 2016 (-)
- microsoft windows server 2019 (-)
- microsoft windows server 2022 (-)
- microsoft windows 10 1809 (<10.0.17763.4645)
- microsoft windows 11 21h2 (<10.0.22000.2176)
have more...
CVE-2023-36874 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix

CVE-2023-36884 [Vulners]
CVSS V3.1: 0.0,
Vulners: Exploitation: Unknown
X-Force: Risk: 8.3
X-Force: Patch: Unavailable


IOCs:
Registry: 1
File: 5
IP: 4
Hash: 5

Soft:
windows mshtml platform, windows error reporting, microsoft outlook, microsoft defender, office 365, microsoft office, internet explorer, microsoft word, powerpnt

Algorithms:
sha256

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея этого текста заключается в том, что подразделение Qualys Threat Research Unit (TRU) внимательно следит за набором уязвимостей Windows и Office, включая CVE-2023-36884, приписываемую агенту угроз Storm-0978/RomCom, и обнаружило встроенный файл .url, который загружает вредоносную полезную нагрузку из известной инфраструктуры TOR/VPN. Для снижения риска, связанного с уязвимостью, Microsoft рекомендует установить ключ реестра HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION.
-----

Отдел исследования угроз (TRU) компании Qualys внимательно следит за набором уязвимостей Windows и Office, включая CVE-2023-32046, CVE-2023-32049, CVE-2023-36874, CVE-2023-36884 и CVE-2023-35311. Из этих уязвимостей TRU уделяет особое внимание CVE-2023-36884, которую Microsoft приписывает угрожающему агенту Storm-0978/RomCom.

Учитывая высокую вероятность того, что угрожающий субъект может объединить CVE-2023-32049, CVE-2023-35311 и CVE-2023-36884, TRU считает, что он может использовать комбинацию этих уязвимостей для нанесения значительного ущерба, в том числе в виде атак с целью получения выкупа. К сожалению, для этой уязвимости пока не выпущено никаких исправлений. Для защиты систем в Microsoft Defender for Office 365 уже включено правило Block all Office applications from creating child processes attack surface reduction rule.

Уязвимость имеет поразительное сходство с более ранней уязвимостью Follina, которая затрагивала пакет продуктов Microsoft Office. Для статического анализа типа документа, относящегося к CVE-2023-36884, TRU использовала подход, аналогичный тому, который применялся для анализа уязвимости Follina. При дальнейшем изучении TRU обнаружила встроенный файл .url, который загружает вредоносную полезную нагрузку из известной инфраструктуры TOR/VPN. Проанализировав размер файла \~24 Кб, специалисты TRU определили, что это еще один файл Microsoft Word.

Для снижения риска, связанного с уязвимостью, Microsoft рекомендует пользователям выполнить следующие действия: установить ключ реестра HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION с двоичными файлами Microsoft Office, такими как Excel, Winword. Эта мера безопасности, появившаяся еще в Internet Explorer 7, предотвращает доступ вредоносных сайтов к объектам системных файлов.

#ParsedReport #CompletenessMedium
15-07-2023

JPCERT/CC Eyes

https://blogs.jpcert.or.jp/ja/2023/07/dangerouspassword_dev.html

Report completeness: Medium

Actors/Campaigns:
Cryptocore
Snatchcrypto

Threats:
Dll_sideloading_technique
Vmprotect_tool
Pythonhttpbackdoor
Jokerspy

Victims:
Jpcert/cc and software developers

ChatGPT TTPs:
do not use without manual check
T1131, T1059, T1035, T1497, T1036, T1064, T1115

IOCs:
File: 7
Domain: 4
Hash: 19

Soft:
macos, node.js, task scheduler, mac os

Algorithms:
base64

Languages:
javascript, python

Links:
https://github.com/mnooner256/pyqrcode

#ParsedReport #ExtractedSchema

Classified images:
schema: 3, code: 8

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея этого текста заключается в том, что поставщик услуг по обмену криптоактивами с июня 2019 года подвергается атакам со стороны группы DangerousPassword, которая использует различные типы вредоносного ПО, такие как Python, Node.js и Mach-O, для атак на среды Windows, macOS и Linux. Кроме того, эти вредоносные программы нацелены на разработчиков, и в них часто используются строки, связанные с git.
-----

Поставщик услуг по обмену криптоактивами, который с июня 2019 года стал мишенью для атаки группы DangerousPassword. Атака направлена на среды Windows, macOS и Linux с установленным на машине Python или Node.js. Поток атаки в среде Windows при выполнении вредоносной программы Python заключается в использовании модуля Python с вредоносным кодом в файле builder.py. Эта вредоносная программа в значительной степени использует ROT13 для обфускации строк C2 и других используемых строк. Вредоносная программа зарегистрирована в планировщике задач таким образом, что операция от загрузки до исполнения выполняется каждую минуту. Кроме того, вредоносная программа кодирует имя пользователя, ОС, информацию о процессах и т.д. зараженного устройства в BASE64 и отправляет их на C2-сервер. При выполнении очередного MSI-файла в него попадает DLL-файл devobj.dll и копируется стандартная для ОС Windows программа rdpclip.exe.

В средах macOS и Linux идентификатор пользователя и информация о среде ОС, сгенерированная на основе случайных значений, ежеминутно отправляются на сервер C2. После этого он декодирует полученные от сервера C2 данные в BASE64, сохраняет их в файл с именем tmp.py и исполняет как Python-файл. Его особенностью является то, что в строках запроса и ответа присутствуют вещи, связанные с git. Мы подтвердили наличие PythonHTTPBackdoor, который может являться вторичным образцом данной атаки. Эта вредоносная программа имеет простые команды, такие как определение окружения ОС, и выполняет различные команды в зависимости от окружения. Еще одним обнаруженным вредоносным ПО является JokerSPY - Mach-O, нацеленный на разработчиков.

Также было подтверждено наличие вредоносного кода Node.js, связанного с этой атакой. Злоумышленник использовал Node.js-фреймворк express () и вставил вредоносный код в файл route.js в папке library в ) и разместил в той же папке Node.js-вредонос request.js. Поток атаки включает выполнение файла route.js и последующее выполнение request.js. Request.js представляет собой простую вредоносную программу-загрузчик, которая сохраняет полученный с сервера C2 файл как server.js и затем выполняет его. Эта вредоносная программа также нацелена на разработчиков, например, частое использование строк, связанных с git.