#ParsedReport #CompletenessLow
17-08-2023
Over 3,000 Android Malware Samples Using Multiple Techniques to Bypass Detection
https://zimpstage.wpengine.com/blog/over-3000-android-malware-samples-using-multiple-techniques-to-bypass-detection
Report completeness: Low
Victims:
Android users
IOCs:
File: 26
Hash: 73
Soft:
android, apktool, macos
Algorithms:
sha1, zip
Win API:
Pie
Languages:
java
17-08-2023
Over 3,000 Android Malware Samples Using Multiple Techniques to Bypass Detection
https://zimpstage.wpengine.com/blog/over-3000-android-malware-samples-using-multiple-techniques-to-bypass-detection
Report completeness: Low
Victims:
Android users
IOCs:
File: 26
Hash: 73
Soft:
android, apktool, macos
Algorithms:
sha1, zip
Win API:
Pie
Languages:
java
Zimperium
Unsupported Compression Methods Enable Android Malware to Bypass Detection
Zimperium identified 3,300 Android malware samples using unsupported compression methods to bypass detection. Learn more & how Zimperium customers are protected.
CTT Report Hub
#ParsedReport #CompletenessLow 17-08-2023 Over 3,000 Android Malware Samples Using Multiple Techniques to Bypass Detection https://zimpstage.wpengine.com/blog/over-3000-android-malware-samples-using-multiple-techniques-to-bypass-detection Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея текста заключается в том, что выявлено более 3 тыс. вредоносных образцов Android, использующих технологии обхода обнаружения.
-----
Недавно было обнаружено более 3 тыс. вредоносных образцов Android, использующих различные технологии для обхода обнаружения. Эти образцы не доступны в Google Play Store и, скорее всего, распространяются через сторонние магазины или с помощью социальной инженерии/фишинговых атак. Многие из этих образцов содержат деформированные файлы AndroidManifest.xml и пулы строк, которые при разборе могут привести к сбоям в работе декомпилируемых инструментов с открытым исходным кодом, таких как Androguard.
В Android 4.3 и ниже код Java ZIP-обработки проверяет, является ли метод DEFLATE, и в случае несовпадения предполагает, что был использован метод STORED. Однако в версиях, превышающих Android 4.3, Android ZIP-обработка принимает метод сжатия за DEFLATE, если указанный метод не совпадает с STORED. Такое изменение в поведении позволяет корректно загружать вредоносные образцы в ОС Android.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея текста заключается в том, что выявлено более 3 тыс. вредоносных образцов Android, использующих технологии обхода обнаружения.
-----
Недавно было обнаружено более 3 тыс. вредоносных образцов Android, использующих различные технологии для обхода обнаружения. Эти образцы не доступны в Google Play Store и, скорее всего, распространяются через сторонние магазины или с помощью социальной инженерии/фишинговых атак. Многие из этих образцов содержат деформированные файлы AndroidManifest.xml и пулы строк, которые при разборе могут привести к сбоям в работе декомпилируемых инструментов с открытым исходным кодом, таких как Androguard.
В Android 4.3 и ниже код Java ZIP-обработки проверяет, является ли метод DEFLATE, и в случае несовпадения предполагает, что был использован метод STORED. Однако в версиях, превышающих Android 4.3, Android ZIP-обработка принимает метод сжатия за DEFLATE, если указанный метод не совпадает с STORED. Такое изменение в поведении позволяет корректно загружать вредоносные образцы в ОС Android.
#ParsedReport #CompletenessMedium
17-08-2023
PlayCrypt Ransomware Group Wreaks Havoc in Campaign Against Managed Service Providers
https://adlumin.com/post/playcrypt-ransomware
Report completeness: Medium
Threats:
Playcrypt
Havoc
Supply_chain_technique
Proxynotshell_vuln
Owassrf
Mimikatz_tool
Lolbin_technique
Victims:
Mid-market enterprises in the finance, software, legal, and shipping and logistics industries, as well as state, local, tribal and territorial (sltt) entities in the u.s., australia, u.k., and italy.
Industry:
Transport, Financial, Logistic
Geo:
Italy, Australia
CVEs:
CVE-2020-12812 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 5.3
X-Force: Patch: Official fix
Soft:
- fortinet fortios (<6.2.4, 6.4.0, <6.0.10)
CVE-2018-13379 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 7.5
X-Force: Patch: Official fix
Soft:
- fortinet fortios (le5.6.7, le6.0.4)
TTPs:
Tactics: 4
Technics: 0
Soft:
microsoft exchange server, windows registry, windows defender, psexec
17-08-2023
PlayCrypt Ransomware Group Wreaks Havoc in Campaign Against Managed Service Providers
https://adlumin.com/post/playcrypt-ransomware
Report completeness: Medium
Threats:
Playcrypt
Havoc
Supply_chain_technique
Proxynotshell_vuln
Owassrf
Mimikatz_tool
Lolbin_technique
Victims:
Mid-market enterprises in the finance, software, legal, and shipping and logistics industries, as well as state, local, tribal and territorial (sltt) entities in the u.s., australia, u.k., and italy.
Industry:
Transport, Financial, Logistic
Geo:
Italy, Australia
CVEs:
CVE-2020-12812 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 5.3
X-Force: Patch: Official fix
Soft:
- fortinet fortios (<6.2.4, 6.4.0, <6.0.10)
CVE-2018-13379 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 7.5
X-Force: Patch: Official fix
Soft:
- fortinet fortios (le5.6.7, le6.0.4)
TTPs:
Tactics: 4
Technics: 0
Soft:
microsoft exchange server, windows registry, windows defender, psexec
Adlumin Cybersecurity
PlayCrypt Ransomware Group Wreaks Havoc in Campaign Against Managed Service Providers
Adlumin's Threat Research Team unveils a widespread global offensive orchestrated by the elusive PlayCrypt ransomware group. Dive into the intricate tactics and high-stakes targets of this sophisticated campaign in our latest blog post.
CTT Report Hub
#ParsedReport #CompletenessMedium 17-08-2023 PlayCrypt Ransomware Group Wreaks Havoc in Campaign Against Managed Service Providers https://adlumin.com/post/playcrypt-ransomware Report completeness: Medium Threats: Playcrypt Havoc Supply_chain_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Компания Adlumin обнаружила глобальную кампанию по борьбе с вымогательством с использованием сложной программы-вымогателя PlayCrypt, направленную на предприятия среднего бизнеса, организации SLTT и использующую межсетевые экраны FortiOS и другое программное обеспечение. В ответ на это компания Adlumin нейтрализовала угрозу, усилила защиту и выявила признаки компрометации, которые теперь служат защитой от будущих атак.
-----
Команда Adlumin Threat Research недавно обнаружила глобальную кампанию по борьбе с вымогательством, в которой используется сложная программа PlayCrypt ransomware. Эта программа связана с атакой на город Окленд в марте 2023 года и в настоящее время атакует предприятия среднего бизнеса, а также государственные, местные, племенные и территориальные организации (SLTT) в США, Австралии, Великобритании и Италии. Злоумышленники используют провайдеров управляемых услуг (MSP) этих предприятий, применяя в качестве векторов или точек входа в целевые системы такие технологии, как программное обеспечение для удаленного мониторинга и управления (RMM), которое обеспечивает полный административный доступ. Кроме того, злоумышленники используют межсетевые экраны FortiOS с уязвимостями 35-летней давности (CVE-2018-13379 и CVE-2020-12812), а также другое скомпрометированное программное обеспечение в цепочке поставок.
Код программы PlayCrypt ransomware сильно обфусцирован и демонстрирует устойчивость к типичным методам анализа. Кроме того, это первая группа ransomware, использующая прерывистое шифрование, при котором файлы частично шифруются фрагментами по 0x100000 байт в попытке избежать обнаружения. Кроме того, известно, что эта группа использует тактику двойного вымогательства, похищая данные жертв перед шифрованием их сетей. В последнее время он также расширил свой инструментарий новыми инструментами и эксплойтами, такими как ProxyNotShell, OWASSRF и удаленное выполнение кода Microsoft Exchange Server.
Для получения доступа к целевой системе злоумышленники используют Mimikatz для извлечения учетных данных и их использования для получения повышенных привилегий, что позволяет им перемещаться по сети и осуществлять эксфильтрацию данных. В ответ на этот инцидент компания Adlumin нейтрализовала угрозу, укрепила защитные системы и отменила использование сконструированных образцов вымогательского ПО PlayCrypt. В результате были обнаружены индикаторы компрометации (IOC), которые теперь служат защитой от будущих атак. Наличие таких индикаторов позволяет Adlumin гарантировать защиту данных клиентов и их приверженность принципам кибербезопасности.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Компания Adlumin обнаружила глобальную кампанию по борьбе с вымогательством с использованием сложной программы-вымогателя PlayCrypt, направленную на предприятия среднего бизнеса, организации SLTT и использующую межсетевые экраны FortiOS и другое программное обеспечение. В ответ на это компания Adlumin нейтрализовала угрозу, усилила защиту и выявила признаки компрометации, которые теперь служат защитой от будущих атак.
-----
Команда Adlumin Threat Research недавно обнаружила глобальную кампанию по борьбе с вымогательством, в которой используется сложная программа PlayCrypt ransomware. Эта программа связана с атакой на город Окленд в марте 2023 года и в настоящее время атакует предприятия среднего бизнеса, а также государственные, местные, племенные и территориальные организации (SLTT) в США, Австралии, Великобритании и Италии. Злоумышленники используют провайдеров управляемых услуг (MSP) этих предприятий, применяя в качестве векторов или точек входа в целевые системы такие технологии, как программное обеспечение для удаленного мониторинга и управления (RMM), которое обеспечивает полный административный доступ. Кроме того, злоумышленники используют межсетевые экраны FortiOS с уязвимостями 35-летней давности (CVE-2018-13379 и CVE-2020-12812), а также другое скомпрометированное программное обеспечение в цепочке поставок.
Код программы PlayCrypt ransomware сильно обфусцирован и демонстрирует устойчивость к типичным методам анализа. Кроме того, это первая группа ransomware, использующая прерывистое шифрование, при котором файлы частично шифруются фрагментами по 0x100000 байт в попытке избежать обнаружения. Кроме того, известно, что эта группа использует тактику двойного вымогательства, похищая данные жертв перед шифрованием их сетей. В последнее время он также расширил свой инструментарий новыми инструментами и эксплойтами, такими как ProxyNotShell, OWASSRF и удаленное выполнение кода Microsoft Exchange Server.
Для получения доступа к целевой системе злоумышленники используют Mimikatz для извлечения учетных данных и их использования для получения повышенных привилегий, что позволяет им перемещаться по сети и осуществлять эксфильтрацию данных. В ответ на этот инцидент компания Adlumin нейтрализовала угрозу, укрепила защитные системы и отменила использование сконструированных образцов вымогательского ПО PlayCrypt. В результате были обнаружены индикаторы компрометации (IOC), которые теперь служат защитой от будущих атак. Наличие таких индикаторов позволяет Adlumin гарантировать защиту данных клиентов и их приверженность принципам кибербезопасности.
#ParsedReport #CompletenessHigh
17-08-2023
Scattered Spider: The Modus Operandi
https://www.trellix.com/content/mainsite/en-us/about/newsroom/stories/research/scattered-spider-the-modus-operandi.html
Report completeness: High
Actors/Campaigns:
0ktapus (motivation: financially_motivated)
Muddled_libra (motivation: financially_motivated)
Threats:
Stonestop
Poortry
Anydesk_tool
Logmein_tool
Connectwise_rat
Credential_harvesting_technique
Blackcat
Supply_chain_technique
Powersploit
Linpeas_tool
Industry:
Entertainment, Financial, Telco, Bp_outsourcing
CVEs:
CVE-2015-2291 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.5
X-Force: Patch: Unavailable
Soft:
- intel ethernet diagnostics driver iqvw32.sys (1.03.0.7)
- intel ethernet diagnostics driver iqvw64.sys (1.03.0.7)
CVE-2021-35464 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- forgerock am (<6.5.3)
- forgerock openam (<14.6.3)
TTPs:
Tactics: 2
Technics: 23
IOCs:
File: 5
Path: 1
Registry: 1
IP: 109
Hash: 5
Soft:
telegram, azure active directory
Algorithms:
sha256
Functions:
IOCTL
Languages:
java, javascript
Platforms:
intel
17-08-2023
Scattered Spider: The Modus Operandi
https://www.trellix.com/content/mainsite/en-us/about/newsroom/stories/research/scattered-spider-the-modus-operandi.html
Report completeness: High
Actors/Campaigns:
0ktapus (motivation: financially_motivated)
Muddled_libra (motivation: financially_motivated)
Threats:
Stonestop
Poortry
Anydesk_tool
Logmein_tool
Connectwise_rat
Credential_harvesting_technique
Blackcat
Supply_chain_technique
Powersploit
Linpeas_tool
Industry:
Entertainment, Financial, Telco, Bp_outsourcing
CVEs:
CVE-2015-2291 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.5
X-Force: Patch: Unavailable
Soft:
- intel ethernet diagnostics driver iqvw32.sys (1.03.0.7)
- intel ethernet diagnostics driver iqvw64.sys (1.03.0.7)
CVE-2021-35464 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- forgerock am (<6.5.3)
- forgerock openam (<14.6.3)
TTPs:
Tactics: 2
Technics: 23
IOCs:
File: 5
Path: 1
Registry: 1
IP: 109
Hash: 5
Soft:
telegram, azure active directory
Algorithms:
sha256
Functions:
IOCTL
Languages:
java, javascript
Platforms:
intel
Trellix
Scattered Spider: The Modus Operandi
This blog takes a deep dive into the modus operandi of Scattered Spider; the recent events and tools leveraged by the threat actor, vulnerabilities exploited, and their impact.
CTT Report Hub
#ParsedReport #CompletenessHigh 17-08-2023 Scattered Spider: The Modus Operandi https://www.trellix.com/content/mainsite/en-us/about/newsroom/stories/research/scattered-spider-the-modus-operandi.html Report completeness: High Actors/Campaigns: 0ktapus…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Scattered Spider - это передовая группа угроз, которая была замечена в атаках на организации критической инфраструктуры. Организациям следует принимать меры по обнаружению и предотвращению действий, связанных с Scattered Spider, например, регулярно обновлять программное обеспечение, использовать многофакторную аутентификацию, применять антивирусное/антивирусное ПО, внедрять средства контроля безопасности и т.д.
-----
Scattered Spider - финансово мотивированная группа угроз, действующая с мая 2022 года. Ее целью были телекоммуникационные компании и компании, занимающиеся аутсорсингом бизнес-процессов (BPO), а в последнее время она стала атаковать организации критической инфраструктуры. Для получения доступа группа использует различные тактики социальной инженерии, такие как фишинг в Telegram и SMS, подмена SIM-карт, усталость MFA и другие. В прошлом Scattered Spider была связана с несколькими фишинговыми кампаниями и развертыванием вредоносных драйверов ядра, включая подписанную, но вредоносную версию драйвера Intel Ethernet Diagnostics для Windows.
Группа использует различные уязвимости, включая CVE-2015-2291 и CVE-2021-35464, для развертывания вредоносных драйверов ядра и выполнения кода с повышенными привилегиями. Также были замечены случаи использования таких инструментов, как POORTRY и STONESTOP, для уничтожения защитного ПО и обхода обнаружения. В апреле 2023 года группа ALPHV (BlackCat) использовала обновленную версию POORTRY для компрометации американского платежного гиганта NCR, что привело к сбою в работе его платформы Aloha point of sale.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Scattered Spider - это передовая группа угроз, которая была замечена в атаках на организации критической инфраструктуры. Организациям следует принимать меры по обнаружению и предотвращению действий, связанных с Scattered Spider, например, регулярно обновлять программное обеспечение, использовать многофакторную аутентификацию, применять антивирусное/антивирусное ПО, внедрять средства контроля безопасности и т.д.
-----
Scattered Spider - финансово мотивированная группа угроз, действующая с мая 2022 года. Ее целью были телекоммуникационные компании и компании, занимающиеся аутсорсингом бизнес-процессов (BPO), а в последнее время она стала атаковать организации критической инфраструктуры. Для получения доступа группа использует различные тактики социальной инженерии, такие как фишинг в Telegram и SMS, подмена SIM-карт, усталость MFA и другие. В прошлом Scattered Spider была связана с несколькими фишинговыми кампаниями и развертыванием вредоносных драйверов ядра, включая подписанную, но вредоносную версию драйвера Intel Ethernet Diagnostics для Windows.
Группа использует различные уязвимости, включая CVE-2015-2291 и CVE-2021-35464, для развертывания вредоносных драйверов ядра и выполнения кода с повышенными привилегиями. Также были замечены случаи использования таких инструментов, как POORTRY и STONESTOP, для уничтожения защитного ПО и обхода обнаружения. В апреле 2023 года группа ALPHV (BlackCat) использовала обновленную версию POORTRY для компрометации американского платежного гиганта NCR, что привело к сбою в работе его платформы Aloha point of sale.
#ParsedReport #CompletenessMedium
17-08-2023
Chinese Entanglement \| DLL Hijacking in the Asian Gambling Sector
https://www.sentinelone.com/labs/chinese-entanglement-dll-hijacking-in-the-asian-gambling-sector
Report completeness: Medium
Actors/Campaigns:
Bronze_starlight (motivation: cyber_espionage, politically_motivated)
Chattygoblin
Stone_panda (motivation: cyber_espionage)
Ta410 (motivation: cyber_espionage)
A41apt (motivation: cyber_espionage)
Threats:
Dll_hijacking_technique
Cobalt_strike
Beacon
Hui_loader
Atomsilo
Nightsky
Lockbit
Pandora
Victims:
Gambling companies in the philippines, southeast asian gambling sector
Industry:
Government
Geo:
Philippines, Chinese, Germany, Singapore, Asia, China, France, India, Canada, Russia, Japanese, Asian
IOCs:
Domain: 15
File: 4
Hash: 12
Path: 1
Coin: 2
IP: 3
Url: 2
Soft:
microsoft edge, sharpunhooker
Algorithms:
zip, sha1
Win API:
LockFile
Links:
17-08-2023
Chinese Entanglement \| DLL Hijacking in the Asian Gambling Sector
https://www.sentinelone.com/labs/chinese-entanglement-dll-hijacking-in-the-asian-gambling-sector
Report completeness: Medium
Actors/Campaigns:
Bronze_starlight (motivation: cyber_espionage, politically_motivated)
Chattygoblin
Stone_panda (motivation: cyber_espionage)
Ta410 (motivation: cyber_espionage)
A41apt (motivation: cyber_espionage)
Threats:
Dll_hijacking_technique
Cobalt_strike
Beacon
Hui_loader
Atomsilo
Nightsky
Lockbit
Pandora
Victims:
Gambling companies in the philippines, southeast asian gambling sector
Industry:
Government
Geo:
Philippines, Chinese, Germany, Singapore, Asia, China, France, India, Canada, Russia, Japanese, Asian
IOCs:
Domain: 15
File: 4
Hash: 12
Path: 1
Coin: 2
IP: 3
Url: 2
Soft:
microsoft edge, sharpunhooker
Algorithms:
zip, sha1
Win API:
LockFile
Links:
https://github.com/xx0hcd/Malleable-C2-Profiles/blob/master/normal/office365\_calendar.profilehttps://github.com/xx0hcd/Malleable-C2-Profiles/blob/master/normal/gotomeeting.profilehttps://github.com/GetRektBoy724/SharpUnhookerSentinelOne
Chinese Entanglement | DLL Hijacking in the Asian Gambling Sector
Threat actors abuse Adobe Creative Cloud, Edge, and other executables vulnerable to DLL hijacking in campaign targeting the Southeast Asian gambling sector.
CTT Report Hub
#ParsedReport #CompletenessMedium 17-08-2023 Chinese Entanglement \| DLL Hijacking in the Asian Gambling Sector https://www.sentinelone.com/labs/chinese-entanglement-dll-hijacking-in-the-asian-gambling-sector Report completeness: Medium Actors/Campaigns:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Компания SentinelLabs выявила предполагаемую китайскую вредоносную программу и инфраструктуру в рамках операций, направленных на сектор азартных игр в Юго-Восточной Азии, за которыми, вероятно, стоит связанная с Китаем группировка BRONZE STARLIGHT. Угрожающие кибершпионажу китайские злоумышленники делились вредоносным ПО, инфраструктурой и оперативной тактикой в прошлом и продолжают это делать, что затрудняет атрибуцию.
-----
Компания SentinelLabs выявила предположительно китайское вредоносное ПО и инфраструктуру в рамках операций, направленных на игорный сектор Юго-Восточной Азии. Угрожающие субъекты используют уязвимые исполняемые файлы Adobe Creative Cloud, Microsoft Edge и McAfee VirusScan для установки маяков Cobalt Strike. Индикаторы указывают на связанную с Китаем группировку BRONZE STARLIGHT, однако точная группировка остается неясной из-за взаимосвязи между различными китайскими APT-группировками.
Команда T5 сообщила о политических мотивах участия BRONZE STARLIGHT в игорном секторе Юго-Восточной Азии. В марте 2023 года компания ESET сообщила об атаке, связанной с ChattyGoblin, которая, вероятно, была приписана этой группе. Атака была связана с троянским приложением LiveHelp100, которое загружало загрузчик вредоносного ПО .NET под названием agentupdate_plugins.exe . Впоследствии SentinelLabs обнаружила родственные загрузчики вредоносного ПО, которые, по их мнению, являлись частью одного и того же кластера активности.
zip-архивы, загружаемые с помощью agentupdate_plugins.exe и AdventureQuest.exe, содержат возможности боковой загрузки, причем вредоносные библиотеки DLL маскируются под свои легитимные аналоги. Эти DLL экспортируют функции с одинаковыми именами, так что при их вызове легитимными исполняемыми файлами происходит расшифровка и выполнение кода, встроенного в файлы данных. Файлы данных реализовывали маячки Cobalt Strike, используя C2-домены 100helpchat.com и live100heip.com.
AdventureQuest.exe подписан сертификатом, выданным поставщику Ivacy VPN компании PMG PTE LTD. Вероятно, ключ подписи был украден - этот прием хорошо знаком известным китайским угрозам и позволяет им подписывать вредоносные программы. Вредоносные библиотеки DLL libcef.dll, msedge_elf.dll и LockDown.dll, распространяемые с помощью agentupdate_plugins.exe и AdventureQuest.exe, являются вариантами HUI Loader - пользовательского загрузчика вредоносного ПО, используемого несколькими китайскими группировками.
Варианты HUI Loader были обнаружены в ходе нескольких кибершпионажных операций, приписываемых группам APT10, TA410 и BRONZE STARLIGHT. Эти варианты также использовались в операциях с семействами вымогательских программ LockFile, AtomSilo, NightSky, LockBit 2.0 и Pandora, которые компания Secureworks приписывает BRONZE STARLIGHT. C2 GET и POST URI Cobalt Strike, связанные с доменом duckducklive.top операции ChattyGoblin, похожи на те, что наблюдались в операциях AtomSilo, Night Sky и Pandora, приписываемых BRONZE STARLIGHT.
Рассмотренные действия иллюстрируют сложную природу китайской угрозы. Китайские угрозы кибершпионажа постоянно обменивались вредоносным ПО, инфраструктурой и операционными тактиками в прошлом и продолжают это делать, совершенствуя свои операционные тактики, чтобы не допустить четкой атрибуции. Анализ SentinelLabs показывает, что сектор азартных игр в Юго-Восточной Азии находится в фокусе интересов Китая и что за его целевыми операциями, скорее всего, стоит BRONZE STARLIGHT.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Компания SentinelLabs выявила предполагаемую китайскую вредоносную программу и инфраструктуру в рамках операций, направленных на сектор азартных игр в Юго-Восточной Азии, за которыми, вероятно, стоит связанная с Китаем группировка BRONZE STARLIGHT. Угрожающие кибершпионажу китайские злоумышленники делились вредоносным ПО, инфраструктурой и оперативной тактикой в прошлом и продолжают это делать, что затрудняет атрибуцию.
-----
Компания SentinelLabs выявила предположительно китайское вредоносное ПО и инфраструктуру в рамках операций, направленных на игорный сектор Юго-Восточной Азии. Угрожающие субъекты используют уязвимые исполняемые файлы Adobe Creative Cloud, Microsoft Edge и McAfee VirusScan для установки маяков Cobalt Strike. Индикаторы указывают на связанную с Китаем группировку BRONZE STARLIGHT, однако точная группировка остается неясной из-за взаимосвязи между различными китайскими APT-группировками.
Команда T5 сообщила о политических мотивах участия BRONZE STARLIGHT в игорном секторе Юго-Восточной Азии. В марте 2023 года компания ESET сообщила об атаке, связанной с ChattyGoblin, которая, вероятно, была приписана этой группе. Атака была связана с троянским приложением LiveHelp100, которое загружало загрузчик вредоносного ПО .NET под названием agentupdate_plugins.exe . Впоследствии SentinelLabs обнаружила родственные загрузчики вредоносного ПО, которые, по их мнению, являлись частью одного и того же кластера активности.
zip-архивы, загружаемые с помощью agentupdate_plugins.exe и AdventureQuest.exe, содержат возможности боковой загрузки, причем вредоносные библиотеки DLL маскируются под свои легитимные аналоги. Эти DLL экспортируют функции с одинаковыми именами, так что при их вызове легитимными исполняемыми файлами происходит расшифровка и выполнение кода, встроенного в файлы данных. Файлы данных реализовывали маячки Cobalt Strike, используя C2-домены 100helpchat.com и live100heip.com.
AdventureQuest.exe подписан сертификатом, выданным поставщику Ivacy VPN компании PMG PTE LTD. Вероятно, ключ подписи был украден - этот прием хорошо знаком известным китайским угрозам и позволяет им подписывать вредоносные программы. Вредоносные библиотеки DLL libcef.dll, msedge_elf.dll и LockDown.dll, распространяемые с помощью agentupdate_plugins.exe и AdventureQuest.exe, являются вариантами HUI Loader - пользовательского загрузчика вредоносного ПО, используемого несколькими китайскими группировками.
Варианты HUI Loader были обнаружены в ходе нескольких кибершпионажных операций, приписываемых группам APT10, TA410 и BRONZE STARLIGHT. Эти варианты также использовались в операциях с семействами вымогательских программ LockFile, AtomSilo, NightSky, LockBit 2.0 и Pandora, которые компания Secureworks приписывает BRONZE STARLIGHT. C2 GET и POST URI Cobalt Strike, связанные с доменом duckducklive.top операции ChattyGoblin, похожи на те, что наблюдались в операциях AtomSilo, Night Sky и Pandora, приписываемых BRONZE STARLIGHT.
Рассмотренные действия иллюстрируют сложную природу китайской угрозы. Китайские угрозы кибершпионажа постоянно обменивались вредоносным ПО, инфраструктурой и операционными тактиками в прошлом и продолжают это делать, совершенствуя свои операционные тактики, чтобы не допустить четкой атрибуции. Анализ SentinelLabs показывает, что сектор азартных игр в Юго-Восточной Азии находится в фокусе интересов Китая и что за его целевыми операциями, скорее всего, стоит BRONZE STARLIGHT.
#ParsedReport #CompletenessLow
17-08-2023
Tracking Adversaries: Scattered Spider, the BlackCat affiliate
https://blog.bushidotoken.net/2023/08/tracking-adversaries-scattered-spider.html
Report completeness: Low
Actors/Campaigns:
0ktapus (motivation: cyber_criminal, financially_motivated, information_theft)
Threats:
Blackcat
Byovd_technique
Blacklotus
Poortry
Credential_harvesting_technique
Geo:
Canadian
IOCs:
Hash: 1
Domain: 2
Wallets:
coinbase
Algorithms:
zip
Links:
17-08-2023
Tracking Adversaries: Scattered Spider, the BlackCat affiliate
https://blog.bushidotoken.net/2023/08/tracking-adversaries-scattered-spider.html
Report completeness: Low
Actors/Campaigns:
0ktapus (motivation: cyber_criminal, financially_motivated, information_theft)
Threats:
Blackcat
Byovd_technique
Blacklotus
Poortry
Credential_harvesting_technique
Geo:
Canadian
IOCs:
Hash: 1
Domain: 2
Wallets:
coinbase
Algorithms:
zip
Links:
https://github.com/BushidoUK/BushidoUK/blob/master/ScatteredSpider\_0ktapus\_Talk%20FINAL.pdfblog.bushidotoken.net
Tracking Adversaries: Scattered Spider, the BlackCat affiliate
CTI, threat intelligence, OSINT, malware, APT, threat hunting, threat analysis, CTF, cybersecurity, security
CTT Report Hub
#ParsedReport #CompletenessLow 17-08-2023 Tracking Adversaries: Scattered Spider, the BlackCat affiliate https://blog.bushidotoken.net/2023/08/tracking-adversaries-scattered-spider.html Report completeness: Low Actors/Campaigns: 0ktapus (motivation: cyber_criminal…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Scattered Spider, предполагаемая англоязычная киберпреступная группировка, занимающаяся охотой на крупную дичь, объединилась с русскоязычной группировкой, известной как BlackCat, и подозревается в проведении атак типа "ransomware-as-a-service". Это тревожная тенденция, свидетельствующая о растущей изощренности и возможностях киберпреступных групп.
-----
Ландшафт киберпреступных угроз постоянно меняется и развивается, и за последние четыре года было замечено нечто новое - предполагаемая англоязычная группа киберпреступников, охотящаяся на крупную дичь, отслеживаемая CrowdStrike как Scattered Spider или Group-IB как 0ktapus, объединилась с русскоязычной группой разработчиков вымогательского ПО, известной как BlackCat (или ALPHV).
Группа Scattered Spider известна своим уникальным стилем атак, которые обычно начинаются либо с SMS-фишинга для сбора учетных данных, либо с вишинг-звонка с использованием социальной инженерии, чтобы получить учетные данные или заставить цель загрузить вредоносное ПО и предоставить доступ. Группа также использует многофакторную аутентификацию (MFA), рассылающую уведомления о запросе аутентификации на устройство пользователя до тех пор, пока он не согласится. Также используется подмена SIM-карт, в результате которой оператор мобильной связи объекта атаки обманом заставляет его предоставить доступ к SIM-карте.
Кроме того, Scattered Spider использует различные методы обхода защиты, такие как эксплойт bring-your-own-vulnerable-driver (BYOVD) и вредоносные драйверы, подписанные Microsoft, а также использует UEFI Bootkit под названием BlackLotus, который продается в киберпреступном подполье как готовое вредоносное ПО. Для командно-административного управления (C2) группа использует целый ряд легальных коммерческих программ для манипулирования целевыми системами, часто в том числе и с помощью бесплатных пробных версий.
Scattered Spider отслеживается под несколькими криптонимами различными поставщиками средств кибербезопасности Group-IB называет его 0ktapus, Mandiant - UNC3944, а Microsoft - Storm-0875. До недавнего времени эта группа была известна в основном вымогательством данных без внедрения выкупного ПО. Два наиболее ярких примера - атаки на Riot Games в январе 2023 года и Reddit в феврале 2023 года. Однако теперь есть несколько оснований полагать, что Scattered Spider пошла на поводу у группы BlackCat (ALPHV), занимающейся вымогательством вымогательского ПО как услуги (RaaS).
Это включает в себя временной, технический и поведенческий анализ. Связи, имеющиеся в открытых источниках (OSINT) между Scattered Spider и BlackCat, следующие: После взлома Reddit в феврале 2023 года сайт утечки данных BlackCat в июне 2023 года указал Reddit в качестве жертвы. Угрожающий агент, написавший сообщение об утечке в блоге BlackCat, также заявил, что операторы проникли на Reddit 5 февраля 2023 года и забрали 80 гигабайт данных (в формате zip). В мае 2023 года исследователи Trend Micro обнаружили, что некий филиал BlackCat использовал для обхода защиты идентичный драйвер с подписью Microsoft и тем же файл-хэшем (MD5: 909f3fc221acbe999483c87d9ead024a). В июле 2023 года Канадский центр кибербезопасности (Canadian Center for Cyber Security, CCCS) распространил комплексное оповещение об атаках BlackCat (ALPHV) на канадские организации, в котором описывались очень знакомые приемы работы Scattered Spider.
Технические, поведенческие и временные совпадения между Scattered Spider и последней партнерской кампанией BlackCat многочисленны, и, судя по всему, из-за непостоянного характера кампаний Scattered Spider до начала 2023 г. группа решила сменить тактику и присоединиться к русскоязычному сообществу киберпреступников - операторов программ-вымогателей. Это тревожная тенденция, свидетельствующая о растущей изощренности и возможностях киберпреступных групп, а также о необходимости для организаций сохранять бдительность в условиях постоянно меняющегося ландшафта киберпреступных угроз.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Scattered Spider, предполагаемая англоязычная киберпреступная группировка, занимающаяся охотой на крупную дичь, объединилась с русскоязычной группировкой, известной как BlackCat, и подозревается в проведении атак типа "ransomware-as-a-service". Это тревожная тенденция, свидетельствующая о растущей изощренности и возможностях киберпреступных групп.
-----
Ландшафт киберпреступных угроз постоянно меняется и развивается, и за последние четыре года было замечено нечто новое - предполагаемая англоязычная группа киберпреступников, охотящаяся на крупную дичь, отслеживаемая CrowdStrike как Scattered Spider или Group-IB как 0ktapus, объединилась с русскоязычной группой разработчиков вымогательского ПО, известной как BlackCat (или ALPHV).
Группа Scattered Spider известна своим уникальным стилем атак, которые обычно начинаются либо с SMS-фишинга для сбора учетных данных, либо с вишинг-звонка с использованием социальной инженерии, чтобы получить учетные данные или заставить цель загрузить вредоносное ПО и предоставить доступ. Группа также использует многофакторную аутентификацию (MFA), рассылающую уведомления о запросе аутентификации на устройство пользователя до тех пор, пока он не согласится. Также используется подмена SIM-карт, в результате которой оператор мобильной связи объекта атаки обманом заставляет его предоставить доступ к SIM-карте.
Кроме того, Scattered Spider использует различные методы обхода защиты, такие как эксплойт bring-your-own-vulnerable-driver (BYOVD) и вредоносные драйверы, подписанные Microsoft, а также использует UEFI Bootkit под названием BlackLotus, который продается в киберпреступном подполье как готовое вредоносное ПО. Для командно-административного управления (C2) группа использует целый ряд легальных коммерческих программ для манипулирования целевыми системами, часто в том числе и с помощью бесплатных пробных версий.
Scattered Spider отслеживается под несколькими криптонимами различными поставщиками средств кибербезопасности Group-IB называет его 0ktapus, Mandiant - UNC3944, а Microsoft - Storm-0875. До недавнего времени эта группа была известна в основном вымогательством данных без внедрения выкупного ПО. Два наиболее ярких примера - атаки на Riot Games в январе 2023 года и Reddit в феврале 2023 года. Однако теперь есть несколько оснований полагать, что Scattered Spider пошла на поводу у группы BlackCat (ALPHV), занимающейся вымогательством вымогательского ПО как услуги (RaaS).
Это включает в себя временной, технический и поведенческий анализ. Связи, имеющиеся в открытых источниках (OSINT) между Scattered Spider и BlackCat, следующие: После взлома Reddit в феврале 2023 года сайт утечки данных BlackCat в июне 2023 года указал Reddit в качестве жертвы. Угрожающий агент, написавший сообщение об утечке в блоге BlackCat, также заявил, что операторы проникли на Reddit 5 февраля 2023 года и забрали 80 гигабайт данных (в формате zip). В мае 2023 года исследователи Trend Micro обнаружили, что некий филиал BlackCat использовал для обхода защиты идентичный драйвер с подписью Microsoft и тем же файл-хэшем (MD5: 909f3fc221acbe999483c87d9ead024a). В июле 2023 года Канадский центр кибербезопасности (Canadian Center for Cyber Security, CCCS) распространил комплексное оповещение об атаках BlackCat (ALPHV) на канадские организации, в котором описывались очень знакомые приемы работы Scattered Spider.
Технические, поведенческие и временные совпадения между Scattered Spider и последней партнерской кампанией BlackCat многочисленны, и, судя по всему, из-за непостоянного характера кампаний Scattered Spider до начала 2023 г. группа решила сменить тактику и присоединиться к русскоязычному сообществу киберпреступников - операторов программ-вымогателей. Это тревожная тенденция, свидетельствующая о растущей изощренности и возможностях киберпреступных групп, а также о необходимости для организаций сохранять бдительность в условиях постоянно меняющегося ландшафта киберпреступных угроз.
#ParsedReport #CompletenessLow
17-08-2023
Over 3,000 Android Malware Samples Using Multiple Techniques to Bypass Detection
https://www.zimperium.com/blog/over-3000-android-malware-samples-using-multiple-techniques-to-bypass-detection
Report completeness: Low
Victims:
Android os, Google playstore, Users
IOCs:
File: 26
Hash: 73
Soft:
android, macos
Algorithms:
sha1, zip
Win API:
Pie
Languages:
java
17-08-2023
Over 3,000 Android Malware Samples Using Multiple Techniques to Bypass Detection
https://www.zimperium.com/blog/over-3000-android-malware-samples-using-multiple-techniques-to-bypass-detection
Report completeness: Low
Victims:
Android os, Google playstore, Users
IOCs:
File: 26
Hash: 73
Soft:
android, macos
Algorithms:
sha1, zip
Win API:
Pie
Languages:
java
Zimperium
Unsupported Compression Methods Enable Android Malware to Bypass Detection
true
CTT Report Hub
#ParsedReport #CompletenessLow 17-08-2023 Over 3,000 Android Malware Samples Using Multiple Techniques to Bypass Detection https://www.zimperium.com/blog/over-3000-android-malware-samples-using-multiple-techniques-to-bypass-detection Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Исследователи компании Zimperium выявили более 3000 вредоносных приложений для Android, использующих различные технологии для обхода обнаружения.
-----
Недавно исследователи компании Zimperium выявили более 3000 вредоносных приложений для Android, использующих различные методы обхода обнаружения. Эти вредоносные программы используют различные методы, включая манипуляции с кодом Java ZIP-обработки, деформированные файлы AndroidManifest.xml и деформированные заголовки String Pool.
В версиях Android, предшествующих 4.3, код обработки ZIP в Java проверяет только наличие метода DEFLATE. Если указан другой метод, то предполагается, что вместо него использован метод STORED. Однако в версиях Android 4.3 и выше код обработки ZIP предполагает, что метод сжатия - DEFLATE, независимо от указанного метода.
Кроме того, вредоносные приложения часто содержат искаженный файл AndroidManifest.xml, в котором содержится завуалированная информация о приложении. Это может привести к аварийному завершению работы декомпиляторов с открытым исходным кодом, таких как Androguard, при попытке разобрать AndroidManifest. Наконец, вредоносные приложения также содержат деформированные заголовки пула строк, содержащие данные, которые ОС Android все же способна правильно загрузить.
На данный момент нет никаких доказательств того, что какое-либо из выявленных вредоносных приложений когда-либо было доступно в магазине Google Play. Вероятно, эти приложения распространялись через сторонние магазины или путем обмана пользователей, заставляя их загружать приложение с боковой стороны с помощью фишинга или атак социальной инженерии.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Исследователи компании Zimperium выявили более 3000 вредоносных приложений для Android, использующих различные технологии для обхода обнаружения.
-----
Недавно исследователи компании Zimperium выявили более 3000 вредоносных приложений для Android, использующих различные методы обхода обнаружения. Эти вредоносные программы используют различные методы, включая манипуляции с кодом Java ZIP-обработки, деформированные файлы AndroidManifest.xml и деформированные заголовки String Pool.
В версиях Android, предшествующих 4.3, код обработки ZIP в Java проверяет только наличие метода DEFLATE. Если указан другой метод, то предполагается, что вместо него использован метод STORED. Однако в версиях Android 4.3 и выше код обработки ZIP предполагает, что метод сжатия - DEFLATE, независимо от указанного метода.
Кроме того, вредоносные приложения часто содержат искаженный файл AndroidManifest.xml, в котором содержится завуалированная информация о приложении. Это может привести к аварийному завершению работы декомпиляторов с открытым исходным кодом, таких как Androguard, при попытке разобрать AndroidManifest. Наконец, вредоносные приложения также содержат деформированные заголовки пула строк, содержащие данные, которые ОС Android все же способна правильно загрузить.
На данный момент нет никаких доказательств того, что какое-либо из выявленных вредоносных приложений когда-либо было доступно в магазине Google Play. Вероятно, эти приложения распространялись через сторонние магазины или путем обмана пользователей, заставляя их загружать приложение с боковой стороны с помощью фишинга или атак социальной инженерии.
#ParsedReport #CompletenessLow
17-08-2023
ScarCruft: Ever Evolving State-Sponsored Espionage Tactics
https://www.secureblink.com/threat-research/scar-cruft-ever-evolving-state-sponsored-espionage-tactics
Report completeness: Low
Actors/Campaigns:
Scarcruft (motivation: information_theft, cyber_espionage)
Darkhotel
Lazarus
Threats:
Dolphin
Opencarrot
Watering_hole_technique
Steganography_technique
Rokrat
Bluelight
Credential_stealing_technique
Victims:
Npo mashinostroyeniya
Industry:
Military, Government
Geo:
Korean, Korea, Asian
IOCs:
File: 1
Soft:
windows bluetooth, internet explorer
Algorithms:
exhibit
Languages:
python
17-08-2023
ScarCruft: Ever Evolving State-Sponsored Espionage Tactics
https://www.secureblink.com/threat-research/scar-cruft-ever-evolving-state-sponsored-espionage-tactics
Report completeness: Low
Actors/Campaigns:
Scarcruft (motivation: information_theft, cyber_espionage)
Darkhotel
Lazarus
Threats:
Dolphin
Opencarrot
Watering_hole_technique
Steganography_technique
Rokrat
Bluelight
Credential_stealing_technique
Victims:
Npo mashinostroyeniya
Industry:
Military, Government
Geo:
Korean, Korea, Asian
IOCs:
File: 1
Soft:
windows bluetooth, internet explorer
Algorithms:
exhibit
Languages:
python
Secureblink
ScarCruft: Ever Evolving State-Sponsored Espionage Tactics | Secure Blink
Delve into ScarCruft's sophisticated cyber espionage: NPO Mashinostroyeniya breach, Dolphin, OpenCarrot backdoor, state-sponsored tactics exposed
CTT Report Hub
#ParsedReport #CompletenessLow 17-08-2023 ScarCruft: Ever Evolving State-Sponsored Espionage Tactics https://www.secureblink.com/threat-research/scar-cruft-ever-evolving-state-sponsored-espionage-tactics Report completeness: Low Actors/Campaigns: Scarcruft…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: ScarCruft - государственная шпионская группировка, использующая различные тактики проникновения к своим жертвам, применяющая бэкдор ROKRAT, а недавно представившая бэкдор Dolphin с широкими возможностями шпионажа. Детальный анализ кода и скриптов, связанных с бэкдором OpenCarrot, помог исследователям обнаружить потенциальное сотрудничество между ScarCruft и Lazarus Group.
-----
ScarCruft, также известная как APT37 или Reaper, - группа шпионажа, действующая как минимум с 2012 года. Эта государственная группировка ориентируется в первую очередь на Южную Корею и другие азиатские страны, атакуя правительственные и военные организации, а также компании, связанные с интересами Северной Кореи. ScarCruft использует различные тактики проникновения на сайты своих жертв, такие как колючий фишинг, использование скомпрометированных сайтов по принципу "водяной скважины", а также стеганографию для скрытия вредоносного кода в файлах изображений. После проникновения группа устанавливает свой основной бэкдор ROKRAT, который собирает обширные данные с устройств и систем жертв. Кроме того, ScarCruft разработала вредоносное ПО, использующее Windows Bluetooth API для снятия отпечатков пальцев с подключенных Bluetooth-устройств.
Исследователи "Лаборатории Касперского" отмечают теневое сосуществование ScarCruft и другой группировки - DarkHotel, несмотря на различия в их инструментах и методах. Недавно эта группа представила новый бэкдор Dolphin, обладающий широкими возможностями шпионажа для достижения своих тайных целей. При развертывании этого бэкдора используется инсталлятор, который загружает интерпретатор Python и формирует цепочку загрузки с полезной нагрузкой. Кроме того, Dolphin способен перехватывать файлы как со стационарных дисков, так и с портативных устройств, регистрировать нажатия клавиш, делать скриншоты, похищать учетные данные браузера и манипулировать настройками учетной записи Google.
Dolphin служит конечной полезной нагрузкой многоступенчатой атаки, часто следующей за первоначальной компрометацией с использованием менее совершенных вредоносных программ. Эволюция бэкдора Dolphin демонстрирует стремление ScarCruft к инновациям: в версиях 2.0 и 3.0 были внесены значительные изменения, включая динамическое разрешение подозрительных API, усовершенствование возможностей шелл-кода, а также улучшение обнаружения устройств и дисков для эксфильтрации файлов.
Детальный анализ кода, скриптов и сопутствующих артефактов, связанных с бэкдором 'OpenCarrot', позволяет понять все тонкости работы ScarCruft. В частности, исследователи "Лаборатории Касперского" выявили потенциальное сотрудничество ScarCruft и Lazarus Group в виде бэкдора "OpenCarrot", который обладает широким набором функций, включая разведку, манипулирование файловой системой и процессами, адаптивную связь C2. Эти артефакты дают специалистам по кибербезопасности возможность препарировать методы работы группировки, изучить ее тактику и усовершенствовать механизмы защиты.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: ScarCruft - государственная шпионская группировка, использующая различные тактики проникновения к своим жертвам, применяющая бэкдор ROKRAT, а недавно представившая бэкдор Dolphin с широкими возможностями шпионажа. Детальный анализ кода и скриптов, связанных с бэкдором OpenCarrot, помог исследователям обнаружить потенциальное сотрудничество между ScarCruft и Lazarus Group.
-----
ScarCruft, также известная как APT37 или Reaper, - группа шпионажа, действующая как минимум с 2012 года. Эта государственная группировка ориентируется в первую очередь на Южную Корею и другие азиатские страны, атакуя правительственные и военные организации, а также компании, связанные с интересами Северной Кореи. ScarCruft использует различные тактики проникновения на сайты своих жертв, такие как колючий фишинг, использование скомпрометированных сайтов по принципу "водяной скважины", а также стеганографию для скрытия вредоносного кода в файлах изображений. После проникновения группа устанавливает свой основной бэкдор ROKRAT, который собирает обширные данные с устройств и систем жертв. Кроме того, ScarCruft разработала вредоносное ПО, использующее Windows Bluetooth API для снятия отпечатков пальцев с подключенных Bluetooth-устройств.
Исследователи "Лаборатории Касперского" отмечают теневое сосуществование ScarCruft и другой группировки - DarkHotel, несмотря на различия в их инструментах и методах. Недавно эта группа представила новый бэкдор Dolphin, обладающий широкими возможностями шпионажа для достижения своих тайных целей. При развертывании этого бэкдора используется инсталлятор, который загружает интерпретатор Python и формирует цепочку загрузки с полезной нагрузкой. Кроме того, Dolphin способен перехватывать файлы как со стационарных дисков, так и с портативных устройств, регистрировать нажатия клавиш, делать скриншоты, похищать учетные данные браузера и манипулировать настройками учетной записи Google.
Dolphin служит конечной полезной нагрузкой многоступенчатой атаки, часто следующей за первоначальной компрометацией с использованием менее совершенных вредоносных программ. Эволюция бэкдора Dolphin демонстрирует стремление ScarCruft к инновациям: в версиях 2.0 и 3.0 были внесены значительные изменения, включая динамическое разрешение подозрительных API, усовершенствование возможностей шелл-кода, а также улучшение обнаружения устройств и дисков для эксфильтрации файлов.
Детальный анализ кода, скриптов и сопутствующих артефактов, связанных с бэкдором 'OpenCarrot', позволяет понять все тонкости работы ScarCruft. В частности, исследователи "Лаборатории Касперского" выявили потенциальное сотрудничество ScarCruft и Lazarus Group в виде бэкдора "OpenCarrot", который обладает широким набором функций, включая разведку, манипулирование файловой системой и процессами, адаптивную связь C2. Эти артефакты дают специалистам по кибербезопасности возможность препарировать методы работы группировки, изучить ее тактику и усовершенствовать механизмы защиты.
#ParsedReport #CompletenessLow
17-08-2023
No rest for the wicked: HiatusRAT takes little time off in a return to action
https://blog.lumen.com/hiatusrat-takes-little-time-off-in-a-return-to-action
Report completeness: Low
Actors/Campaigns:
Volt_typhoon
Storm-0558
Threats:
Hiatusrat
Qakbot
Victims:
U.s. military procurement system, taiwan-based organizations, semiconductor and chemical manufacturers, municipal government organization, and u.s. department of defense server
Industry:
Government, Chemical, Iot, Military
Geo:
China, America, Taiwanese, Taiwan
IOCs:
IP: 6
Soft:
mastodon
Platforms:
mips, arm, intel
Links:
17-08-2023
No rest for the wicked: HiatusRAT takes little time off in a return to action
https://blog.lumen.com/hiatusrat-takes-little-time-off-in-a-return-to-action
Report completeness: Low
Actors/Campaigns:
Volt_typhoon
Storm-0558
Threats:
Hiatusrat
Qakbot
Victims:
U.s. military procurement system, taiwan-based organizations, semiconductor and chemical manufacturers, municipal government organization, and u.s. department of defense server
Industry:
Government, Chemical, Iot, Military
Geo:
China, America, Taiwanese, Taiwan
IOCs:
IP: 6
Soft:
mastodon
Platforms:
mips, arm, intel
Links:
https://github.com/blacklotuslabs/IOCs/blob/main/Hiatus\_2\_IOCsLumen Blog
No rest for the wicked: HiatusRAT takes little time off in a return to action
After publishing our initial research, Black Lotus Labs continued to track the HiatusRAT cluster resulting in new malware samples.
CTT Report Hub
#ParsedReport #CompletenessLow 17-08-2023 No rest for the wicked: HiatusRAT takes little time off in a return to action https://blog.lumen.com/hiatusrat-takes-little-time-off-in-a-return-to-action Report completeness: Low Actors/Campaigns: Volt_typhoon…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея данного текста заключается в том, что угрожающий агент использовал HiatusRAT для атак на более чем 100 пограничных сетевых устройств по всему миру с предполагаемой целью получения общедоступной информации о военных требованиях и поиска организаций, участвующих в оборонной промышленной базе (ОПП). Кроме того, было замечено, что угрожающий субъект использовал предварительно собранные двоичные файлы Hiatus, а большинство входящих соединений с полезной нагрузкой осуществлялось из Тайваня и было нацелено на целый ряд организаций. Необходимо сохранять бдительность и применять проактивные меры для защиты от потенциальных вредоносных кампаний.
-----
В марте 2023 года компания Lumen Black Lotus Labs сообщила о сложной кампании под названием HiatusRAT, направленной на более чем 100 пограничных сетевых устройств по всему миру. Угрожающий агент использовал два IP-адреса для подключения к серверу Министерства обороны США, связанному с подачей и получением предложений по оборонным контрактам. Затем злоумышленник разместил скомпилированное вредоносное ПО на различных виртуальных частных серверах (VPS). Была проведена разведка системы военных закупок США, а также отмечены случаи нападения на организации, расположенные на Тайване.
С середины июня по август 2023 года в дикой природе наблюдалась активность множества новых скомпилированных версий вредоносной программы HiatusRAT. Готовые двоичные файлы Hiatus нацелены на новые архитектуры, такие как Arm, Intel 80386 и x86-64, а также на ранее нацеленные архитектуры, такие как MIPS, MIPS64 и i386. Более 91% входящих соединений с полезной нагрузкой HiatusRAT осуществлялось из Тайваня и было нацелено на ряд организаций, включая производителей полупроводников и химикатов, а также как минимум одну муниципальную правительственную организацию.
Угрожающий субъект в этом кластере предпринял минимальные шаги для продолжения операций, и Black Lotus Labs отслеживает HiatusRAT как отдельный кластер активности, не пересекающийся с публичной отчетностью. Предполагаемая цель заключалась в получении общедоступной информации о военных требованиях и поиске организаций, задействованных в оборонно-промышленной базе (ОПП), потенциально для последующего таргетирования.
HiatusRAT потенциально используется против небольших компаний DIB и тех, кто поддерживает Тайвань, в целях сбора разведданных. В отрасли наблюдается подобная тактика получения доступа к ценным целям путем компрометации активов периметра в нескольких вертикалях от субъектов, базирующихся в КНР. Поэтому необходимо сохранять бдительность и применять проактивные меры для защиты от потенциальных вредоносных кампаний.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея данного текста заключается в том, что угрожающий агент использовал HiatusRAT для атак на более чем 100 пограничных сетевых устройств по всему миру с предполагаемой целью получения общедоступной информации о военных требованиях и поиска организаций, участвующих в оборонной промышленной базе (ОПП). Кроме того, было замечено, что угрожающий субъект использовал предварительно собранные двоичные файлы Hiatus, а большинство входящих соединений с полезной нагрузкой осуществлялось из Тайваня и было нацелено на целый ряд организаций. Необходимо сохранять бдительность и применять проактивные меры для защиты от потенциальных вредоносных кампаний.
-----
В марте 2023 года компания Lumen Black Lotus Labs сообщила о сложной кампании под названием HiatusRAT, направленной на более чем 100 пограничных сетевых устройств по всему миру. Угрожающий агент использовал два IP-адреса для подключения к серверу Министерства обороны США, связанному с подачей и получением предложений по оборонным контрактам. Затем злоумышленник разместил скомпилированное вредоносное ПО на различных виртуальных частных серверах (VPS). Была проведена разведка системы военных закупок США, а также отмечены случаи нападения на организации, расположенные на Тайване.
С середины июня по август 2023 года в дикой природе наблюдалась активность множества новых скомпилированных версий вредоносной программы HiatusRAT. Готовые двоичные файлы Hiatus нацелены на новые архитектуры, такие как Arm, Intel 80386 и x86-64, а также на ранее нацеленные архитектуры, такие как MIPS, MIPS64 и i386. Более 91% входящих соединений с полезной нагрузкой HiatusRAT осуществлялось из Тайваня и было нацелено на ряд организаций, включая производителей полупроводников и химикатов, а также как минимум одну муниципальную правительственную организацию.
Угрожающий субъект в этом кластере предпринял минимальные шаги для продолжения операций, и Black Lotus Labs отслеживает HiatusRAT как отдельный кластер активности, не пересекающийся с публичной отчетностью. Предполагаемая цель заключалась в получении общедоступной информации о военных требованиях и поиске организаций, задействованных в оборонно-промышленной базе (ОПП), потенциально для последующего таргетирования.
HiatusRAT потенциально используется против небольших компаний DIB и тех, кто поддерживает Тайвань, в целях сбора разведданных. В отрасли наблюдается подобная тактика получения доступа к ценным целям путем компрометации активов периметра в нескольких вертикалях от субъектов, базирующихся в КНР. Поэтому необходимо сохранять бдительность и применять проактивные меры для защиты от потенциальных вредоносных кампаний.
#ParsedReport #CompletenessLow
17-08-2023
Dark Web Profile: Bjorka
https://socradar.io/dark-web-profile-bjorka
Report completeness: Low
Threats:
Bjorka_actor
Legion
Victims:
Indonesian government, private sectors, and critical infrastructure
Industry:
Financial, Healthcare, Government
Geo:
Poland, Indonesia, Indonesian
IOCs:
Domain: 2
Soft:
telegram
17-08-2023
Dark Web Profile: Bjorka
https://socradar.io/dark-web-profile-bjorka
Report completeness: Low
Threats:
Bjorka_actor
Legion
Victims:
Indonesian government, private sectors, and critical infrastructure
Industry:
Financial, Healthcare, Government
Geo:
Poland, Indonesia, Indonesian
IOCs:
Domain: 2
Soft:
telegram
SOCRadar® Cyber Intelligence Inc.
Dark Web Profile: Bjorka - SOCRadar® Cyber Intelligence Inc.
This blog post aims to delve into Bjorka and get to know the actor itself. By understanding the nature of Bjorka’s activities, we can better...
CTT Report Hub
#ParsedReport #CompletenessLow 17-08-2023 Dark Web Profile: Bjorka https://socradar.io/dark-web-profile-bjorka Report completeness: Low Threats: Bjorka_actor Legion Victims: Indonesian government, private sectors, and critical infrastructure Industry:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея текста заключается в том, что Бьорка - это загадочный угрожающий субъект, который недавно оказался в центре внимания благодаря серии громких кибератак, и что понимание профиля отдельных угрожающих субъектов имеет решающее значение для того, чтобы быть на шаг впереди них.
-----
Bjorka - таинственный угрожающий агент, который недавно стал известен благодаря серии громких атак на правительство и частный сектор Индонезии. Действуя под псевдонимом Bjorka, он остается неизвестным, однако целевой характер атак наводит на мысль о политических, финансовых и, возможно, идеологических мотивах. Bjorka имеет множество аккаунтов в социальных сетях на таких платформах, как RaidForums, Breach Forums, Twitter и Telegram, где он известен своими продажами данных, публичными заявлениями и загадочными монологами.
Атаки Бьорка, отличающиеся изощренностью, точностью и адаптивностью, включают в себя утечку конфиденциальной информации, продажу ценных данных, например паспортов, в "темной паутине" и, возможно, использование тактики социальной инженерии. Эти атаки не являются статичными, они развиваются и адаптируются к новым вызовам и возможностям, чтобы опередить защиту.
Выбор целей Bjorka носит стратегический и символический характер и направлен на конкретные отрасли, такие как здравоохранение, финансы и иммиграция. Он также может иметь связи или сотрудничать с другими угрожающими субъектами, что может способствовать расширению их возможностей, обмену ресурсами и координации атак. На действия Бьорки могут оказывать влияние или вдохновлять другие известные угрожающие субъекты, поэтому значительная часть информации о его связях с другими угрожающими субъектами остается спекулятивной и неподтвержденной.
Появление Бьорка в качестве заметного участника угроз в киберпространстве представляет собой сложную и многогранную задачу. При постоянной бдительности, всестороннем анализе и адаптируемых стратегиях защиты понимание профиля отдельных участников угроз имеет решающее значение для того, чтобы быть на шаг впереди. Деятельность Бьорки служит ярким напоминанием о том, что киберпространство и киберпреступность постоянно меняются и что важно быть в курсе этих изменений, чтобы предотвратить крупные инциденты.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея текста заключается в том, что Бьорка - это загадочный угрожающий субъект, который недавно оказался в центре внимания благодаря серии громких кибератак, и что понимание профиля отдельных угрожающих субъектов имеет решающее значение для того, чтобы быть на шаг впереди них.
-----
Bjorka - таинственный угрожающий агент, который недавно стал известен благодаря серии громких атак на правительство и частный сектор Индонезии. Действуя под псевдонимом Bjorka, он остается неизвестным, однако целевой характер атак наводит на мысль о политических, финансовых и, возможно, идеологических мотивах. Bjorka имеет множество аккаунтов в социальных сетях на таких платформах, как RaidForums, Breach Forums, Twitter и Telegram, где он известен своими продажами данных, публичными заявлениями и загадочными монологами.
Атаки Бьорка, отличающиеся изощренностью, точностью и адаптивностью, включают в себя утечку конфиденциальной информации, продажу ценных данных, например паспортов, в "темной паутине" и, возможно, использование тактики социальной инженерии. Эти атаки не являются статичными, они развиваются и адаптируются к новым вызовам и возможностям, чтобы опередить защиту.
Выбор целей Bjorka носит стратегический и символический характер и направлен на конкретные отрасли, такие как здравоохранение, финансы и иммиграция. Он также может иметь связи или сотрудничать с другими угрожающими субъектами, что может способствовать расширению их возможностей, обмену ресурсами и координации атак. На действия Бьорки могут оказывать влияние или вдохновлять другие известные угрожающие субъекты, поэтому значительная часть информации о его связях с другими угрожающими субъектами остается спекулятивной и неподтвержденной.
Появление Бьорка в качестве заметного участника угроз в киберпространстве представляет собой сложную и многогранную задачу. При постоянной бдительности, всестороннем анализе и адаптируемых стратегиях защиты понимание профиля отдельных участников угроз имеет решающее значение для того, чтобы быть на шаг впереди. Деятельность Бьорки служит ярким напоминанием о том, что киберпространство и киберпреступность постоянно меняются и что важно быть в курсе этих изменений, чтобы предотвратить крупные инциденты.
#ParsedReport #CompletenessHigh
17-08-2023
LABRAT: Stealthy Cryptojacking and Proxyjacking Campaign Targeting GitLab
https://sysdig.com/blog/labrat-cryptojacking-proxyjacking-campaign
Report completeness: High
Actors/Campaigns:
Labrat (motivation: information_theft, financially_motivated)
Scarleteel
Threats:
Proxyjacking_technique
Gsocket_tool
Proxylite_tool
Iproyal_pawns_tool
Lucifer
Pwnkit_tool
Netcat_tool
Junk_code_technique
Xmrig_miner
Industry:
Financial
Geo:
Russian, Chinese
CVEs:
CVE-2021-4034 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- polkit project polkit (*)
- redhat enterprise linux desktop (7.0)
- redhat enterprise linux workstation (7.0)
- redhat enterprise linux for scientific computing (7.0)
- redhat enterprise linux server (7.0, 6.0)
have more...
CVE-2021-22205 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 9.9
X-Force: Patch: Official fix
Soft:
- gitlab (<13.10.3, <13.9.6, <13.8.8)
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1133, T1090, T1053, T1036, T1086, T1064, T1047, T1078, T1105, T1140, have more...
IOCs:
Url: 5
Domain: 3
File: 6
IP: 7
Hash: 22
Soft:
trycloudflare, curl, net core, macos, systemd
Algorithms:
aes, aes-256, sha1, cbc
Languages:
perl, golang, javascript
Links:
17-08-2023
LABRAT: Stealthy Cryptojacking and Proxyjacking Campaign Targeting GitLab
https://sysdig.com/blog/labrat-cryptojacking-proxyjacking-campaign
Report completeness: High
Actors/Campaigns:
Labrat (motivation: information_theft, financially_motivated)
Scarleteel
Threats:
Proxyjacking_technique
Gsocket_tool
Proxylite_tool
Iproyal_pawns_tool
Lucifer
Pwnkit_tool
Netcat_tool
Junk_code_technique
Xmrig_miner
Industry:
Financial
Geo:
Russian, Chinese
CVEs:
CVE-2021-4034 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- polkit project polkit (*)
- redhat enterprise linux desktop (7.0)
- redhat enterprise linux workstation (7.0)
- redhat enterprise linux for scientific computing (7.0)
- redhat enterprise linux server (7.0, 6.0)
have more...
CVE-2021-22205 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 9.9
X-Force: Patch: Official fix
Soft:
- gitlab (<13.10.3, <13.9.6, <13.8.8)
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1133, T1090, T1053, T1036, T1086, T1064, T1047, T1078, T1105, T1140, have more...
IOCs:
Url: 5
Domain: 3
File: 6
IP: 7
Hash: 22
Soft:
trycloudflare, curl, net core, macos, systemd
Algorithms:
aes, aes-256, sha1, cbc
Languages:
perl, golang, javascript
Links:
https://github.com/alfonmga/hiding-cryptominers-linux-rootkitSysdig
LABRAT: Stealthy Cryptojacking and Proxyjacking Campaign Targeting GitLab | Sysdig
The Sysdig Threat Research Team recently discovered a new operation, dubbed LABRAT, a stealthy cryptojacking and proxyjacking campaign.