#ParsedReport #CompletenessLow
21-07-2023

Information leaking malware distributed as CHM file

https://asec.ahnlab.com/ko/55462

Report completeness: Low

Threats:
Infostealer/win.generic.r5505251906

Industry:
Financial

TTPs:
Tactics: 1
Technics: 0

IOCs:
File: 3
Path: 1
Hash: 5
Url: 14

#ParsedReport #CompletenessLow
21-07-2023

Android SpyNote attacks electric and water public utility users in Japan

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/android-spynote-attacks-electric-and-water-public-utility-users-in-japan

Report completeness: Low

Threats:
Spynote_rat

Victims:
Japanese android users, power and water infrastructure company

Industry:
Energy, Financial

Geo:
Japanese, Japan, Tokyo

IOCs:
IP: 1
Hash: 16

Soft:
android

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: В начале июня 2023 г. была замечена фишинговая кампания, направленная на японских пользователей Android и использующая фишинговый веб-сайт для заражения устройств вредоносной программой SpyNote, которая использует привилегии администратора устройства для получения доступа к пользовательской информации. McAfee Mobile Security может обнаружить и предупредить пользователей об этой угрозе, а пользователи могут защитить себя, следуя рекомендациям лучших практик.
-----

В начале июня 2023 года команда McAfee Mobile Security обнаружила smishing-кампанию, направленную на японских пользователей Android. SMS-сообщения выдавали себя за компанию, занимающуюся энерго- или водоснабжением, утверждали, что возникли проблемы с оплатой, и направляли жертв на фишинговый сайт. При переходе на сайт их устройства заражались удаленно управляемой вредоносной программой SpyNote.

Фишинговое сообщение создавало ощущение срочности и побуждало жертву к немедленным действиям - подобную тактику киберпреступники уже использовали в прошлом при атаках на финансовые учреждения. В сообщении утверждалось, что оно исходит от энергетической или водопроводной компании в Токио, и приводилась URL-ссылка на фишинговый сайт.

После этого сайт начинал загрузку вредоносной программы и отображал диалог подтверждения ее установки. Вредоносная программа относится к семейству SpyNote, распространившемуся после утечки исходного кода в октябре 2022 года. Она использует сервисы доступа и привилегии администратора устройства для получения доступа к таким данным пользователя, как его местоположение, контакты, входящие и исходящие SMS-сообщения, телефонные звонки, данные двухфакторной аутентификации через Google Authenticator, а также данные Gmail и Facebook.

SpyNote также специально нацелен на мобильные приложения для инфраструктуры жизнедеятельности, такой как электро- и водоснабжение. McAfee Mobile Security обнаруживает эту угрозу как Android/SpyNote и предупреждает пользователей мобильных устройств о ее наличии. Следуя рекомендациям лучших практик, например, не переходя по ссылкам из неизвестных источников, пользователи могут защитить себя от подобных угроз.

#ParsedReport #CompletenessMedium
21-07-2023

Fabricated Microsoft Crypto Wallet Phishing Site Spreads Infostealer

https://blog.cyble.com/2023/07/21/fabricated-microsoft-crypto-wallet-phishing-site-spreads-infostealer

Report completeness: Medium

Actors/Campaigns:
Dev-0960

Threats:
Luca_stealer
Antivm
Gravity_rat
Beacon

Victims:
Cryptocurrency enthusiasts

Industry:
Financial

TTPs:
Tactics: 8
Technics: 17

IOCs:
Url: 2
Hash: 1

Soft:
chedot, torch, opera, chromium, chrome canary, epic privacy browser, 7star, chrome, amigo, google chrome, have more...

Wallets:
atomicwallet, jaxx, electrum, sollet, leaf_wallet, iconex, cyano, metamask, tezbox, nabox, have more...

Algorithms:
sha256, sha1

Languages:
rust

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Luca Stealer - это вредоносный InfoStealer, предназначенный для атак на дорогостоящие криптовалюты, а его открытый исходный код позволяет злоумышленникам создавать уникальные варианты и модифицировать его поведение в соответствии со своими целями. Это представляет опасность для пользователей, поэтому важно знать об этой угрозе и предпринимать меры по защите от потенциальных атак.
-----

Недавно CRIL обнаружил вредоносный сайт, маскирующийся под легитимную платформу Microsoft Crypto Wallet, которая является готовящимся продуктом компании Microsoft для браузера Edge. Этот сайт, hxxps://microsoft-en.com/cryptowallet/, предназначен для любителей криптовалют и содержит вредоносный InfoStealer под названием Luca Stealer. Luca Stealer используется для сбора конфиденциальной информации и персональных данных ничего не подозревающих пользователей и создан с использованием языка программирования Rust. В нем реализованы технологии Clipper и AntiVM, позволяющие перехватывать и манипулировать криптовалютными адресами во время транзакций и уклоняться от обнаружения в виртуализированных средах соответственно.

Luca Stealer предназначен для кражи таких дорогих криптовалют, как Bitcoin, Ethereum, Ripple, Litecoin, Dogecoin и др. Кроме того, для скрытой передачи похищенных данных он использует платформу обмена сообщениями Telegram. Отличительной особенностью Luca Stealer от других инфокрадчиков является то, что он специализируется на поиске данных, связанных с криптовалютными кошельками и программным обеспечением для управления паролями. Еще большее беспокойство вызывает тот факт, что исходный код программы находится в открытом доступе, что позволяет злоумышленникам создавать уникальные варианты и модифицировать поведение Luca Stealer в соответствии со своими целями.

Потенциальная возможность злоумышленников использовать растущую популярность и стоимость криптовалют, а также возможность завладения конфиденциальными учетными данными вызывает опасения. Доступность исходного кода Luca Stealer еще больше усиливает этот риск, поскольку позволяет злоумышленникам создавать новые варианты вредоносной программы и модифицировать ее поведение под свои нужды. В результате можно ожидать постоянного роста числа двоичных файлов крадущего, нацеленных на пользователей. Поэтому важно знать об угрозе, исходящей от Luca Stealer, и предпринимать меры по защите от возможных атак.

#ParsedReport #CompletenessHigh
20-07-2023

Threat Group Assessment: Mallox Ransomware

https://unit42.paloaltonetworks.com/mallox-ransomware

Report completeness: High

Actors/Campaigns:
Mallox

Threats:
Targetcompany
Owassrf
Proxylogon_exploit
Proxyshell_vuln
Wildfire
Wevtutil_tool
Xollam
Process_injection_technique

Victims:
Microsoft (ms) windows systems

Industry:
Financial, Retail

Geo:
America, Emea, Apac, Japan

TTPs:
Tactics: 2
Technics: 0

IOCs:
Path: 1
File: 18
Url: 1
Domain: 1
Hash: 71
IP: 21

Soft:
ms-sql, bcdedit, active directory, sqlbrowser, mssql, sqlagent

Algorithms:
chacha20, sha256

Win Services:
WebClient, sqlbrowser, sqlwriter, sqlservr, msmdsrv, SQLAGENT

Platforms:
intel

Links:
https://github.com/Neo23x0/Raccine

#ParsedReport #ExtractedSchema

Classified images:
windows: 4, schema: 2, chart: 1, code: 2, table: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Группа разработчиков антивирусного ПО Mallox активно атакует системы Microsoft Windows и использует незащищенные серверы MS-SQL для проникновения в сети. Кроме того, группа Mallox привлекает аффилированных лиц для участия в своей партнерской программе ransomware-as-a-service (RaaS), что может привести к расширению ее атакующих возможностей.
-----

Mallox, известный также под названиями TargetCompany, FARGO и Tohnichi, - это штамм вымогательского ПО, нацеленный на системы Microsoft (MS) Windows. Он активен с июня 2021 года и использует незащищенные серверы MS-SQL в качестве средства проникновения в сети своих жертв. Исследователи из компании Unit 42 отмечают рост активности вымогательского ПО Mallox почти на 174% по сравнению с предыдущим годом. Для получения доступа к сетям Mallox использует грубый форсинг, эксфильтрацию данных, сетевые сканеры и другие инструменты.

Mallox придерживается тенденции "двойного вымогательства", когда перед шифрованием файлов организации она похищает данные, а затем угрожает опубликовать их на сайте утечки информации, чтобы убедить жертву заплатить выкуп. Группа Mallox заявляет о сотнях жертв, хотя точное их число остается неизвестным. Телеметрия Unit 42 указывает на десятки потенциальных жертв в различных отраслях, таких как производство, профессиональные и юридические услуги, оптовая и розничная торговля.

С 2021 года группа придерживается одного и того же подхода: атакует незащищенные серверы MS-SQL с целью проникновения в сеть. Атака начинается с перебора словарей, после чего злоумышленники с помощью командной строки и PowerShell загружают с удаленного сервера полезную нагрузку Mallox ransomware. Эта полезная нагрузка пытается выполнить несколько действий: остановить и удалить службы, связанные с SQL, удалить тени томов, очистить журналы событий, изменить права доступа к файлам, завершить процессы безопасности и обойти защиту от вымогательства Raccine. Он шифрует файлы с помощью алгоритма шифрования ChaCha20, добавляет к зашифрованным файлам расширение .malox и оставляет записку с требованием выкупа в каждом каталоге на диске жертвы.

Группа Mallox, судя по всему, работает над расширением своей деятельности и набирает аффилированных лиц на хакерских форумах. Пользователь под ником Mallx недавно написал на хакерском форуме RAMP, что группа Mallox набирает аффилиатов для новой партнерской программы Mallox ransomware-as-a-service (RaaS). Другой пользователь под ником RansomR в мае 2022 года разместил на хакерском форуме nulled.to сообщение о том, что группа Mallox ищет аффилиатов для присоединения к своей команде. Если эти усилия будут успешными, то группа Mallox может расширить сферу своей деятельности и охватить больше организаций.

#ParsedReport #CompletenessLow
21-07-2023

Threat Actors Exploiting Citrix CVE-2023-3519 to Implant Webshells

https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-201a

Report completeness: Low

Victims:
Critical infrastructure organization

CVEs:
CVE-2023-3519 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- citrix netscaler application delivery controller (<12.1-55.297, <13.1-37.159, <13.1-49.13, <13.0-91.13, 11.1-65.22)
- citrix netscaler gateway (<13.0-91.13, <13.1-49.13)


TTPs:
Tactics: 3
Technics: 20

IOCs:
File: 1

Soft:
active directory, openssl, curl

Algorithms:
zip

Languages:
python, php

Links:
https://github.com/cisagov/Decider/

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Организация CISA выпустила совет по кибербезопасности, предупреждающий защитников сетей об уязвимости "нулевого дня" CVE-2023-3519 - неавторизованном удаленном выполнении кода (RCE) в контроллере доставки приложений NetScaler (ранее Citrix) и шлюзе NetScaler Gateway. Для снижения риска, связанного с эксплуатацией CVE-2023-3519, организациям следует провести обновление уязвимых систем и внедрить компенсирующие средства контроля, а также обеспечить всестороннюю инвентаризацию ИТ-активов для выявления несанкционированного доступа или модификации систем.
-----

CISA выпустила совет по кибербезопасности, предупреждающий об уязвимости нулевого дня, эксплуатирующей CVE-2023-3519.

Уязвимость затрагивает NetScaler (ранее Citrix) Application Delivery Controller (ADC) и NetScaler Gateway.

CISA добавила CVE-2023-3519 в свой каталог известных эксплуатируемых уязвимостей в июле 2023 года.

Угрожающие лица загрузили на устройство ADC файл TGZ, содержащий веб-шелл, скрипт обнаружения и двоичный файл setuid.

Защитники сети должны проверить наличие в различных местах файлов, более новых, чем последняя установка, а также просмотреть журналы сетевых и межсетевых экранов на предмет сканирования всей подсети.

Организациям следует незамедлительно выполнить исправление уязвимых систем и внедрить компенсирующие средства контроля для снижения риска.

Организации также должны обеспечить всестороннюю инвентаризацию своих ИТ-активов для выявления несанкционированного доступа или модификации систем.

#ParsedReport #CompletenessLow
21-07-2023

First Known Targeted OSS Supply Chain Attacks Against the Banking Sector

https://checkmarx.com/blog/first-known-targeted-oss-supply-chain-attacks-against-the-banking-sector

Report completeness: Low

Threats:
Supply_chain_technique
Havoc
C5pider_actor
Cobalt_strike
Brc4_tool
Sliver_tool
Ratel

Victims:
Banking sector

Industry:
Financial

ChatGPT TTPs:
do not use without manual check
T1036.003, T1071.001, T1027.002

IOCs:
Hash: 5

Soft:
macos, windows defender

Links:
https://github.com/Cracked5pider
https://github.com/HavocFramework/Havoc

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, code: 2, windows: 3

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Компания Checkmarx обнаружила две различные атаки на цепочки поставок ПО с открытым исходным кодом, направленные на банковский сектор, и прогнозирует продолжение этой тенденции. Компания Checkmarx следит за развитием ситуации и прогнозирует дальнейшее развитие событий, поэтому ей необходимо внедрять проактивную архитектуру безопасности, включающую защитные меры на всех этапах разработки и до конечного пользователя.
-----

В апреле 2023 года команда Checkmarx по исследованию цепочек поставок обнаружила две различные атаки на цепочки поставок программного обеспечения с открытым исходным кодом, направленные, в частности, на банковский сектор. Злоумышленники использовали обманные приемы, чтобы придать своим вредоносным пакетам видимость легитимности и достоверности, например, создавали поддельные профили LinkedIn и собственные центры управления для каждой из целей. Несмотря на то, что вредоносные пакеты были удалены, Checkmarx прогнозирует, что тенденция атак на банковский сектор будет продолжаться и что существующих средств контроля, направленных на обнаружение и управление известными уязвимостями, может оказаться недостаточно для борьбы с ними.

Для усиления защиты от этих атак необходимо общеотраслевое сотрудничество. Банковская отрасль стала объектом нового вида киберугроз, требующих адаптации и бдительности. Организациям необходимо понять, что нельзя относиться к вредоносным пакетам так же, как к обычным уязвимостям, и принять проактивную, интегрированную архитектуру безопасности, включающую защитные меры от стадии разработки до конечного пользователя.

Тактика, методы и процедуры, использованные злоумышленниками, были идентифицированы и распространены с целью содействия коллективному пониманию и осознанию этих возникающих угроз. Клиенты Checkmarx, занимающиеся аналитикой цепочек поставок, защищены от этих атак, компания активно следит за ситуацией и будет информировать о дальнейшем развитии событий.

#ParsedReport #CompletenessLow
21-07-2023

Ransomware Roundup - Cl0p

https://www.fortinet.com/blog/threat-research/ransomware-roundup-cl0p

Report completeness: Low

Actors/Campaigns:
Fin11 (motivation: financially_motivated)

Threats:
Clop
Cryptomix
Cryptxxx
Cryptowall
Cobalt_strike
Dewmode
Lemurloot
Sdbot
Flawedammyy
Lockbit
Blackcat
Filecoder
Hydracrypt
W32/encoder.q!tr.ransom
W32/ransom.clop!tr

Victims:
419 victim organizations

Industry:
Financial, Healthcare

Geo:
America

CVEs:
CVE-2021-44228 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 10
X-Force: Patch: Official fix
Soft:
- apache log4j (2.0, <2.15.0, <2.3.1, <2.12.2)
- siemens sppa-t3000 ses3000 firmware (*)
- siemens logo\! soft comfort (*)
- siemens spectrum power 4 (4.70)
- siemens siveillance control pro (*)
have more...
CVE-2021-27102 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Unavailable
Soft:
- accellion fta (le9_12_411)

CVE-2020-1472 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- microsoft windows server 2008 (r2)
- microsoft windows server 2012 (r2, -)
- microsoft windows server 2016 (-, 1903, 1909, 2004)
- microsoft windows server 2019 (-)
- fedoraproject fedora (31, 32, 33)
have more...
CVE-2023-27350 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- papercut papercut ng (<20.1.7, <21.2.11, <22.0.9)
- papercut papercut mf (<22.0.9, <21.2.11, <20.1.7)

CVE-2022-1388 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- f5 big-ip access policy manager (le11.6.5, le12.1.6, <16.1.2.2, <15.1.5.1, <14.1.4.6, <13.1.5)
- f5 big-ip advanced firewall manager (le11.6.5, le12.1.6, <15.1.5.1, <14.1.4.6, <13.1.5, <16.1.2.2)
- f5 big-ip analytics (le11.6.5, le12.1.6, <16.1.2.2, <15.1.5.1, <14.1.4.6, <13.1.5)
- f5 big-ip application acceleration manager (le11.6.5, le12.1.6, <16.1.2.2, <15.1.5.1, <14.1.4.6, <13.1.5)
- f5 big-ip application security manager (le11.6.5, le12.1.6, <16.1.2.2, <15.1.5.1, <14.1.4.6, <13.1.5)
have more...
CVE-2023-0669 [Vulners]
CVSS V3.1: 7.2,
Vulners: Exploitation: True
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- fortra goanywhere managed file transfer (<7.1.2)

CVE-2023-27351 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: Unknown
X-Force: Risk: 8.2
X-Force: Patch: Official fix
Soft:
- papercut papercut ng (<21.2.11, <22.0.9, <20.1.7)
- papercut papercut mf (<22.0.9, <21.2.11, <20.1.7)

CVE-2021-35211 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- solarwinds serv-u (<15.2.3)

CVE-2023-34362 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- progress moveit cloud (<15.0.2.39, <14.0.5.45, <14.1.6.97)
- progress moveit transfer (<2023.0.2, <2022.1.6, <2022.0.5, <2021.1.5, <2021.0.7, le2020.1.6)


IOCs:
File: 9
Hash: 8

Soft:
moveit, goanywhere, serv-u, big-ip

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Группа Cl0p ransomware - это финансово мотивированный агент угроз, проявляющий активность с начала 2019 года. Как правило, ее жертвами становятся компании, работающие в сфере бизнес-услуг, программного обеспечения и финансов, а большинство пострадавших находятся в Северной Америке и Европе.
-----

Группа Cl0p - один из наиболее активных на сегодняшний день угроз в сфере рансомного ПО. Эта группа связана с финансово-мотивированным игроком FIN11 (также известным как TA505 и Snakefly) и является потомком CryptoMix. Cl0p ransomware обычно используется для шифрования файлов после кражи информации, а FIN11 известна тем, что использует уязвимости высокой степени опасности, включая недавно раскрытую уязвимость MOVEit Transfer.

Эта группа вымогателей проявляет активность с начала 2019 года, а в 2023 году ее активность возросла по сравнению с предыдущими годами. Согласно данным, собранным с помощью сервиса FortiRecon компании Fortinet, в период с января по июнь 2023 года жертвами группы Cl0p стали представители нескольких отраслей, среди которых лидируют бизнес-услуги, за которыми следуют программное обеспечение и финансы. По регионам почти три четверти жертв находятся в Северной Америке и Европе, причем США занимают первое место со значительным отрывом. Группа также создала на TOR сайт утечки данных под названием CL0P^_-LEAKS, на котором размещает информацию, похищенную у жертв.

Основной мотивацией группы Cl0p ransomware является финансовая выгода, однако они не атакуют больницы и социальные учреждения. Для защиты от Cl0p ransomware и других разновидностей важно следить за тем, чтобы все системы были обновлены последними патчами и обновлениями безопасности.

#ParsedReport #CompletenessLow
21-07-2023

Reptile Malware Targeting Linux Systems

https://asec.ahnlab.com/ko/55379

Report completeness: Low

Actors/Campaigns:
Axiom

Threats:
Reptile
Syslogk_rootkit
Adoreng_rootkit
Rekoobe_rootkit
Mlofe
Kmatryoshka
Cloaking_technique
Smokeloader
Melofee

Victims:
Linux systems, fortinet's products, domestic companies

Geo:
China, Chinese

IOCs:
File: 6
Hash: 9

Algorithms:
hmac, sha1, aes-128

Functions:
init_module, sys_init_module, ip_rcv, inet_ioctl, fillonedir, filldir, filldir64, find_task_by_vpid, vfs_statx, getsid, have more...

Links:
https://github.com/milabs/kmatryoshka
https://github.com/f0rb1dd3n/Reptile
https://github.com/milabs/khook

#ParsedReport #ExtractedSchema

Classified images:
code: 26, windows: 4, schema: 2

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея данного текста заключается в том, что Reptile - это руткит с модулем ядра для Linux-систем, который использовался различными злоумышленниками и обеспечивает скрытность файлов/каталогов, процессов и сетевого взаимодействия. Он связан с группой атак Winnti и упаковывается с помощью kmatryoshka. Для передачи команд он использует KHOOK, механизм подцепления функций ядра Linux, и перехват портов. Также поддерживается маскировка файлов и каталогов, самоскрытие и сокрытие содержимого файлов. В качестве обратной оболочки используется TinySHell, а для поддержки перехвата портов - руткит Syslogk. Для шифрования данных используется алгоритм HMAC SHA1 и ключ AES-128.
-----

Reptile - это руткит для Linux-систем с модулем ядра, который был выпущен с открытым исходным кодом на GitHub и с тех пор используется различными злоумышленниками. Он обеспечивает скрытность файлов/каталогов и процессов, а также сетевого взаимодействия. Reptile поддерживает такие вредоносные программы и инструменты, используемые злоумышленниками, как Listener, Packet и Client, и упаковывается с помощью инструмента с открытым исходным кодом kmatryoshka. Reptile использует KHOOK, механизм подключения функций ядра Linux, для подключения функций ядра, а также port knocking в качестве метода доставки команд. Также поддерживается маскировка файлов и каталогов, самоскрытие и сокрытие содержимого файлов.

Недавно китайская атакующая группа Winnti использовала "нулевые дни" Fortinet, и в отчете ExaTrack, посвященном анализу вредоносной программы Mlofe, был обнаружен руткит Reptile, приписываемый группе Winnti. Вредоносная программа reverse shell, исполняемая руткитом Reptile, подключается к C&C-серверу и предоставляет оболочку. Обратный шелл основан на TinySHell, вредоносной программе-бэкдоре для Linux с открытым исходным кодом. Руткит Syslogk также поддерживает метод пробивания портов, который работает как триггер с Magic Packet. Для шифрования коммуникационных данных используется алгоритм HMAC SHA1 и ключ AES-128.

#ParsedReport #CompletenessLow
19-07-2023

Stealth Mode: Chinese Cyber Espionage Actors Continue to Evolve Tactics to Avoid Detection

https://www.mandiant.com/resources/blog/chinese-espionage-tactics

Report completeness: Low

Actors/Campaigns:
Unc3886 (motivation: cyber_espionage)
Unc4841 (motivation: cyber_espionage)
Apt5
Volt_typhoon (motivation: cyber_espionage)
Axiom (motivation: cyber_espionage)
Apt31 (motivation: cyber_espionage)
Playful_taurus (motivation: cyber_espionage)
Camaro_dragon (motivation: cyber_espionage)
Sparklinggoblin
Unc215

Threats:
Supply_chain_technique
Lolbin_technique
Thincrust
Castletap
Tableflip_tool
Reptile
Virtualpita
Virtualpie
Saltwater
Seaside
Seaspy
Seaspray
Skipjack
Horse_shell
Bpfdoor
Vulture
Sidewalk
Crosswalk
Zuo_rat
Aitm_technique
Daxin
Hyperbro
Focusfjord

Victims:
Defense industrial base (dib), telecommunication organizations, governments and organizations associated with verticals of high priority to china, ministries of foreign affairs (mfas) of asean member nations, foreign trade offices and academic research organizations in taiwan and hong kong, critical infrastructure organizations in the us, european foreign affairs organizations, a hong kong university

Industry:
Logistic, Iot, Government, Transport, Military, Education, Telco

Geo:
Asia, America, Taiwan, Asian, French, Chinese, China, Taiwanese

CVEs:
CVE-2023-20867 [Vulners]
CVSS V3.1: 3.9,
Vulners: Exploitation: True
X-Force: Risk: 3.9
X-Force: Patch: Official fix
Soft:
- vmware tools (<12.2.5)

CVE-2021-22893 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 10
X-Force: Patch: Official fix
Soft:
- pulsesecure pulse connect secure (9.0, 9.1)

CVE-2022-1040 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- sophos sfos (le18.5.3)

CVE-2021-20023 [Vulners]
CVSS V3.1: 4.9,
Vulners: Exploitation: True
X-Force: Risk: 6.7
X-Force: Patch: Official fix
Soft:
- sonicwall email security (<10.0.9.6173)
- sonicwall hosted email security (<10.0.9.6173)

CVE-2022-41328 [Vulners]
CVSS V3.1: 7.1,
Vulners: Exploitation: True
X-Force: Risk: 6.7
X-Force: Patch: Official fix
Soft:
- fortinet fortios (le6.0.16, le6.4.11, le7.2.3, le6.2.13, le7.0.9)
have more ...

IOCs:
File: 2

#ParsedReport #ExtractedSchema

Classified images:
schema: 15

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Китайские кибершпионы принимают чрезвычайные меры, чтобы остаться незамеченными, используя уязвимости "нулевого дня", внедряя пользовательские вредоносные программы и используя бот-сети скомпрометированных устройств для маскировки своей деятельности. Эти действия свидетельствуют об инвестициях китайского правительства в оснащение своих кибероператоров более совершенными средствами, и организациям следует принять меры по защите своих систем от этих угроз.
-----

По данным Mandiant Intelligence, в 2021 и 2022 годах китайские субъекты кибершпионажа будут все чаще использовать эксплойты "нулевого дня". В частности, они сосредоточились на использовании технологий безопасности, сетевых технологий и технологий виртуализации для получения и сохранения доступа к дорогостоящим сетям, принимая при этом меры для того, чтобы остаться незамеченными.

В качестве примера можно привести группу UNC3886, которая атаковала организации оборонно-промышленной базы (ОПК), технологические и телекоммуникационные организации в США и Азии. Для того чтобы остаться незамеченной, эта группа принимала чрезвычайные меры: использовала нетрадиционные протоколы, очищала и изменяла журналы, отключала проверку файловой системы при запуске. Они также использовали семейства вредоносных программ, разработанные для взаимодействия с устройствами Fortinet. Кроме того, по данным Mandiant, UNC3886 использовал уязвимость обхода пути (CVE-2022-41328) и уязвимость обхода аутентификации (CVE-2023-20867) на хостах ESXi.

Еще одним примером использования китайскими угрозами уязвимости нулевого дня является группа UNC4841, которая с октября 2022 года эксплуатировала уязвимость нулевого дня CVE-2023-2868 в устройствах Barracuda Email Security Gateway (ESG). Эта группа атаковала правительства и организации, связанные с приоритетными для Китая вертикалями экономики, министерства иностранных дел (МИД) стран-членов АСЕАН, внешнеторговые представительства и академические исследовательские организации Тайваня и Гонконга. Для эксплуатации уязвимости они использовали специально созданные вложения TAR-файлов, рассылали письма, которые попадали в спам-фильтры, разрабатывали собственные вредоносные программы, использовали легитимные временные самоподписанные сертификаты SSL и украденные сертификаты для маскировки трафика C2.

Компания Mandiant также отмечает, что предполагаемые китайские операторы кибершпионажа используют пользовательские вредоносные программы для ретрансляции и маскировки трафика в сетях жертв, например, с помощью перехвата DNS, HTTP и TCP/IP. Кроме того, для маскировки внешнего трафика между инфраструктурой C2 и средами жертв используются бот-сети из взломанных устройств Интернета вещей (IoT), смарт-устройств и маршрутизаторов, а также многочисленные семейства вредоносных программ, включающие функции для скрытой ретрансляции трафика злоумышленников внутри взломанных сетей.

Эти действия свидетельствуют о том, что китайские операторы кибершпионажа становятся все более искусными в применении сложных тактик, инструментов и эксплойтов для уклонения от обнаружения и затруднения атрибуции. Это говорит о том, что долгосрочные инвестиции китайского правительства в оснащение своих кибероператоров более совершенными средствами приносят свои плоды. Поэтому организациям следует сохранять бдительность и принимать меры по защите своих систем от этих угроз.