#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Scattered Spider - это передовая группа угроз, которая была замечена в атаках на организации критической инфраструктуры. Организациям следует принимать меры по обнаружению и предотвращению действий, связанных с Scattered Spider, например, регулярно обновлять программное обеспечение, использовать многофакторную аутентификацию, применять антивирусное/антивирусное ПО, внедрять средства контроля безопасности и т.д.
-----

Scattered Spider - финансово мотивированная группа угроз, действующая с мая 2022 года. Ее целью были телекоммуникационные компании и компании, занимающиеся аутсорсингом бизнес-процессов (BPO), а в последнее время она стала атаковать организации критической инфраструктуры. Для получения доступа группа использует различные тактики социальной инженерии, такие как фишинг в Telegram и SMS, подмена SIM-карт, усталость MFA и другие. В прошлом Scattered Spider была связана с несколькими фишинговыми кампаниями и развертыванием вредоносных драйверов ядра, включая подписанную, но вредоносную версию драйвера Intel Ethernet Diagnostics для Windows.

Группа использует различные уязвимости, включая CVE-2015-2291 и CVE-2021-35464, для развертывания вредоносных драйверов ядра и выполнения кода с повышенными привилегиями. Также были замечены случаи использования таких инструментов, как POORTRY и STONESTOP, для уничтожения защитного ПО и обхода обнаружения. В апреле 2023 года группа ALPHV (BlackCat) использовала обновленную версию POORTRY для компрометации американского платежного гиганта NCR, что привело к сбою в работе его платформы Aloha point of sale.

#ParsedReport #CompletenessMedium
17-08-2023

Chinese Entanglement \| DLL Hijacking in the Asian Gambling Sector

https://www.sentinelone.com/labs/chinese-entanglement-dll-hijacking-in-the-asian-gambling-sector

Report completeness: Medium

Actors/Campaigns:
Bronze_starlight (motivation: cyber_espionage, politically_motivated)
Chattygoblin
Stone_panda (motivation: cyber_espionage)
Ta410 (motivation: cyber_espionage)
A41apt (motivation: cyber_espionage)

Threats:
Dll_hijacking_technique
Cobalt_strike
Beacon
Hui_loader
Atomsilo
Nightsky
Lockbit
Pandora

Victims:
Gambling companies in the philippines, southeast asian gambling sector

Industry:
Government

Geo:
Philippines, Chinese, Germany, Singapore, Asia, China, France, India, Canada, Russia, Japanese, Asian

IOCs:
Domain: 15
File: 4
Hash: 12
Path: 1
Coin: 2
IP: 3
Url: 2

Soft:
microsoft edge, sharpunhooker

Algorithms:
zip, sha1

Win API:
LockFile

Links:
https://github.com/xx0hcd/Malleable-C2-Profiles/blob/master/normal/office365\_calendar.profile
https://github.com/xx0hcd/Malleable-C2-Profiles/blob/master/normal/gotomeeting.profile
https://github.com/GetRektBoy724/SharpUnhooker

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Компания SentinelLabs выявила предполагаемую китайскую вредоносную программу и инфраструктуру в рамках операций, направленных на сектор азартных игр в Юго-Восточной Азии, за которыми, вероятно, стоит связанная с Китаем группировка BRONZE STARLIGHT. Угрожающие кибершпионажу китайские злоумышленники делились вредоносным ПО, инфраструктурой и оперативной тактикой в прошлом и продолжают это делать, что затрудняет атрибуцию.
-----

Компания SentinelLabs выявила предположительно китайское вредоносное ПО и инфраструктуру в рамках операций, направленных на игорный сектор Юго-Восточной Азии. Угрожающие субъекты используют уязвимые исполняемые файлы Adobe Creative Cloud, Microsoft Edge и McAfee VirusScan для установки маяков Cobalt Strike. Индикаторы указывают на связанную с Китаем группировку BRONZE STARLIGHT, однако точная группировка остается неясной из-за взаимосвязи между различными китайскими APT-группировками.

Команда T5 сообщила о политических мотивах участия BRONZE STARLIGHT в игорном секторе Юго-Восточной Азии. В марте 2023 года компания ESET сообщила об атаке, связанной с ChattyGoblin, которая, вероятно, была приписана этой группе. Атака была связана с троянским приложением LiveHelp100, которое загружало загрузчик вредоносного ПО .NET под названием agentupdate_plugins.exe . Впоследствии SentinelLabs обнаружила родственные загрузчики вредоносного ПО, которые, по их мнению, являлись частью одного и того же кластера активности.

zip-архивы, загружаемые с помощью agentupdate_plugins.exe и AdventureQuest.exe, содержат возможности боковой загрузки, причем вредоносные библиотеки DLL маскируются под свои легитимные аналоги. Эти DLL экспортируют функции с одинаковыми именами, так что при их вызове легитимными исполняемыми файлами происходит расшифровка и выполнение кода, встроенного в файлы данных. Файлы данных реализовывали маячки Cobalt Strike, используя C2-домены 100helpchat.com и live100heip.com.

AdventureQuest.exe подписан сертификатом, выданным поставщику Ivacy VPN компании PMG PTE LTD. Вероятно, ключ подписи был украден - этот прием хорошо знаком известным китайским угрозам и позволяет им подписывать вредоносные программы. Вредоносные библиотеки DLL libcef.dll, msedge_elf.dll и LockDown.dll, распространяемые с помощью agentupdate_plugins.exe и AdventureQuest.exe, являются вариантами HUI Loader - пользовательского загрузчика вредоносного ПО, используемого несколькими китайскими группировками.

Варианты HUI Loader были обнаружены в ходе нескольких кибершпионажных операций, приписываемых группам APT10, TA410 и BRONZE STARLIGHT. Эти варианты также использовались в операциях с семействами вымогательских программ LockFile, AtomSilo, NightSky, LockBit 2.0 и Pandora, которые компания Secureworks приписывает BRONZE STARLIGHT. C2 GET и POST URI Cobalt Strike, связанные с доменом duckducklive.top операции ChattyGoblin, похожи на те, что наблюдались в операциях AtomSilo, Night Sky и Pandora, приписываемых BRONZE STARLIGHT.

Рассмотренные действия иллюстрируют сложную природу китайской угрозы. Китайские угрозы кибершпионажа постоянно обменивались вредоносным ПО, инфраструктурой и операционными тактиками в прошлом и продолжают это делать, совершенствуя свои операционные тактики, чтобы не допустить четкой атрибуции. Анализ SentinelLabs показывает, что сектор азартных игр в Юго-Восточной Азии находится в фокусе интересов Китая и что за его целевыми операциями, скорее всего, стоит BRONZE STARLIGHT.

#ParsedReport #CompletenessLow
17-08-2023

Tracking Adversaries: Scattered Spider, the BlackCat affiliate

https://blog.bushidotoken.net/2023/08/tracking-adversaries-scattered-spider.html

Report completeness: Low

Actors/Campaigns:
0ktapus (motivation: cyber_criminal, financially_motivated, information_theft)

Threats:
Blackcat
Byovd_technique
Blacklotus
Poortry
Credential_harvesting_technique

Geo:
Canadian

IOCs:
Hash: 1
Domain: 2

Wallets:
coinbase

Algorithms:
zip

Links:
https://github.com/BushidoUK/BushidoUK/blob/master/ScatteredSpider\_0ktapus\_Talk%20FINAL.pdf

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Scattered Spider, предполагаемая англоязычная киберпреступная группировка, занимающаяся охотой на крупную дичь, объединилась с русскоязычной группировкой, известной как BlackCat, и подозревается в проведении атак типа "ransomware-as-a-service". Это тревожная тенденция, свидетельствующая о растущей изощренности и возможностях киберпреступных групп.
-----

Ландшафт киберпреступных угроз постоянно меняется и развивается, и за последние четыре года было замечено нечто новое - предполагаемая англоязычная группа киберпреступников, охотящаяся на крупную дичь, отслеживаемая CrowdStrike как Scattered Spider или Group-IB как 0ktapus, объединилась с русскоязычной группой разработчиков вымогательского ПО, известной как BlackCat (или ALPHV).

Группа Scattered Spider известна своим уникальным стилем атак, которые обычно начинаются либо с SMS-фишинга для сбора учетных данных, либо с вишинг-звонка с использованием социальной инженерии, чтобы получить учетные данные или заставить цель загрузить вредоносное ПО и предоставить доступ. Группа также использует многофакторную аутентификацию (MFA), рассылающую уведомления о запросе аутентификации на устройство пользователя до тех пор, пока он не согласится. Также используется подмена SIM-карт, в результате которой оператор мобильной связи объекта атаки обманом заставляет его предоставить доступ к SIM-карте.

Кроме того, Scattered Spider использует различные методы обхода защиты, такие как эксплойт bring-your-own-vulnerable-driver (BYOVD) и вредоносные драйверы, подписанные Microsoft, а также использует UEFI Bootkit под названием BlackLotus, который продается в киберпреступном подполье как готовое вредоносное ПО. Для командно-административного управления (C2) группа использует целый ряд легальных коммерческих программ для манипулирования целевыми системами, часто в том числе и с помощью бесплатных пробных версий.

Scattered Spider отслеживается под несколькими криптонимами различными поставщиками средств кибербезопасности Group-IB называет его 0ktapus, Mandiant - UNC3944, а Microsoft - Storm-0875. До недавнего времени эта группа была известна в основном вымогательством данных без внедрения выкупного ПО. Два наиболее ярких примера - атаки на Riot Games в январе 2023 года и Reddit в феврале 2023 года. Однако теперь есть несколько оснований полагать, что Scattered Spider пошла на поводу у группы BlackCat (ALPHV), занимающейся вымогательством вымогательского ПО как услуги (RaaS).

Это включает в себя временной, технический и поведенческий анализ. Связи, имеющиеся в открытых источниках (OSINT) между Scattered Spider и BlackCat, следующие: После взлома Reddit в феврале 2023 года сайт утечки данных BlackCat в июне 2023 года указал Reddit в качестве жертвы. Угрожающий агент, написавший сообщение об утечке в блоге BlackCat, также заявил, что операторы проникли на Reddit 5 февраля 2023 года и забрали 80 гигабайт данных (в формате zip). В мае 2023 года исследователи Trend Micro обнаружили, что некий филиал BlackCat использовал для обхода защиты идентичный драйвер с подписью Microsoft и тем же файл-хэшем (MD5: 909f3fc221acbe999483c87d9ead024a). В июле 2023 года Канадский центр кибербезопасности (Canadian Center for Cyber Security, CCCS) распространил комплексное оповещение об атаках BlackCat (ALPHV) на канадские организации, в котором описывались очень знакомые приемы работы Scattered Spider.

Технические, поведенческие и временные совпадения между Scattered Spider и последней партнерской кампанией BlackCat многочисленны, и, судя по всему, из-за непостоянного характера кампаний Scattered Spider до начала 2023 г. группа решила сменить тактику и присоединиться к русскоязычному сообществу киберпреступников - операторов программ-вымогателей. Это тревожная тенденция, свидетельствующая о растущей изощренности и возможностях киберпреступных групп, а также о необходимости для организаций сохранять бдительность в условиях постоянно меняющегося ландшафта киберпреступных угроз.

#ParsedReport #CompletenessLow
17-08-2023

Over 3,000 Android Malware Samples Using Multiple Techniques to Bypass Detection

https://www.zimperium.com/blog/over-3000-android-malware-samples-using-multiple-techniques-to-bypass-detection

Report completeness: Low

Victims:
Android os, Google playstore, Users

IOCs:
File: 26
Hash: 73

Soft:
android, macos

Algorithms:
sha1, zip

Win API:
Pie

Languages:
java

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Исследователи компании Zimperium выявили более 3000 вредоносных приложений для Android, использующих различные технологии для обхода обнаружения.
-----

Недавно исследователи компании Zimperium выявили более 3000 вредоносных приложений для Android, использующих различные методы обхода обнаружения. Эти вредоносные программы используют различные методы, включая манипуляции с кодом Java ZIP-обработки, деформированные файлы AndroidManifest.xml и деформированные заголовки String Pool.

В версиях Android, предшествующих 4.3, код обработки ZIP в Java проверяет только наличие метода DEFLATE. Если указан другой метод, то предполагается, что вместо него использован метод STORED. Однако в версиях Android 4.3 и выше код обработки ZIP предполагает, что метод сжатия - DEFLATE, независимо от указанного метода.

Кроме того, вредоносные приложения часто содержат искаженный файл AndroidManifest.xml, в котором содержится завуалированная информация о приложении. Это может привести к аварийному завершению работы декомпиляторов с открытым исходным кодом, таких как Androguard, при попытке разобрать AndroidManifest. Наконец, вредоносные приложения также содержат деформированные заголовки пула строк, содержащие данные, которые ОС Android все же способна правильно загрузить.

На данный момент нет никаких доказательств того, что какое-либо из выявленных вредоносных приложений когда-либо было доступно в магазине Google Play. Вероятно, эти приложения распространялись через сторонние магазины или путем обмана пользователей, заставляя их загружать приложение с боковой стороны с помощью фишинга или атак социальной инженерии.

#ParsedReport #CompletenessLow
17-08-2023

ScarCruft: Ever Evolving State-Sponsored Espionage Tactics

https://www.secureblink.com/threat-research/scar-cruft-ever-evolving-state-sponsored-espionage-tactics

Report completeness: Low

Actors/Campaigns:
Scarcruft (motivation: information_theft, cyber_espionage)
Darkhotel
Lazarus

Threats:
Dolphin
Opencarrot
Watering_hole_technique
Steganography_technique
Rokrat
Bluelight
Credential_stealing_technique

Victims:
Npo mashinostroyeniya

Industry:
Military, Government

Geo:
Korean, Korea, Asian

IOCs:
File: 1

Soft:
windows bluetooth, internet explorer

Algorithms:
exhibit

Languages:
python

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: ScarCruft - государственная шпионская группировка, использующая различные тактики проникновения к своим жертвам, применяющая бэкдор ROKRAT, а недавно представившая бэкдор Dolphin с широкими возможностями шпионажа. Детальный анализ кода и скриптов, связанных с бэкдором OpenCarrot, помог исследователям обнаружить потенциальное сотрудничество между ScarCruft и Lazarus Group.
-----

ScarCruft, также известная как APT37 или Reaper, - группа шпионажа, действующая как минимум с 2012 года. Эта государственная группировка ориентируется в первую очередь на Южную Корею и другие азиатские страны, атакуя правительственные и военные организации, а также компании, связанные с интересами Северной Кореи. ScarCruft использует различные тактики проникновения на сайты своих жертв, такие как колючий фишинг, использование скомпрометированных сайтов по принципу "водяной скважины", а также стеганографию для скрытия вредоносного кода в файлах изображений. После проникновения группа устанавливает свой основной бэкдор ROKRAT, который собирает обширные данные с устройств и систем жертв. Кроме того, ScarCruft разработала вредоносное ПО, использующее Windows Bluetooth API для снятия отпечатков пальцев с подключенных Bluetooth-устройств.

Исследователи "Лаборатории Касперского" отмечают теневое сосуществование ScarCruft и другой группировки - DarkHotel, несмотря на различия в их инструментах и методах. Недавно эта группа представила новый бэкдор Dolphin, обладающий широкими возможностями шпионажа для достижения своих тайных целей. При развертывании этого бэкдора используется инсталлятор, который загружает интерпретатор Python и формирует цепочку загрузки с полезной нагрузкой. Кроме того, Dolphin способен перехватывать файлы как со стационарных дисков, так и с портативных устройств, регистрировать нажатия клавиш, делать скриншоты, похищать учетные данные браузера и манипулировать настройками учетной записи Google.

Dolphin служит конечной полезной нагрузкой многоступенчатой атаки, часто следующей за первоначальной компрометацией с использованием менее совершенных вредоносных программ. Эволюция бэкдора Dolphin демонстрирует стремление ScarCruft к инновациям: в версиях 2.0 и 3.0 были внесены значительные изменения, включая динамическое разрешение подозрительных API, усовершенствование возможностей шелл-кода, а также улучшение обнаружения устройств и дисков для эксфильтрации файлов.

Детальный анализ кода, скриптов и сопутствующих артефактов, связанных с бэкдором 'OpenCarrot', позволяет понять все тонкости работы ScarCruft. В частности, исследователи "Лаборатории Касперского" выявили потенциальное сотрудничество ScarCruft и Lazarus Group в виде бэкдора "OpenCarrot", который обладает широким набором функций, включая разведку, манипулирование файловой системой и процессами, адаптивную связь C2. Эти артефакты дают специалистам по кибербезопасности возможность препарировать методы работы группировки, изучить ее тактику и усовершенствовать механизмы защиты.

#ParsedReport #CompletenessLow
17-08-2023

No rest for the wicked: HiatusRAT takes little time off in a return to action

https://blog.lumen.com/hiatusrat-takes-little-time-off-in-a-return-to-action

Report completeness: Low

Actors/Campaigns:
Volt_typhoon
Storm-0558

Threats:
Hiatusrat
Qakbot

Victims:
U.s. military procurement system, taiwan-based organizations, semiconductor and chemical manufacturers, municipal government organization, and u.s. department of defense server

Industry:
Government, Chemical, Iot, Military

Geo:
China, America, Taiwanese, Taiwan

IOCs:
IP: 6

Soft:
mastodon

Platforms:
mips, arm, intel

Links:
https://github.com/blacklotuslabs/IOCs/blob/main/Hiatus\_2\_IOCs

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея данного текста заключается в том, что угрожающий агент использовал HiatusRAT для атак на более чем 100 пограничных сетевых устройств по всему миру с предполагаемой целью получения общедоступной информации о военных требованиях и поиска организаций, участвующих в оборонной промышленной базе (ОПП). Кроме того, было замечено, что угрожающий субъект использовал предварительно собранные двоичные файлы Hiatus, а большинство входящих соединений с полезной нагрузкой осуществлялось из Тайваня и было нацелено на целый ряд организаций. Необходимо сохранять бдительность и применять проактивные меры для защиты от потенциальных вредоносных кампаний.
-----

В марте 2023 года компания Lumen Black Lotus Labs сообщила о сложной кампании под названием HiatusRAT, направленной на более чем 100 пограничных сетевых устройств по всему миру. Угрожающий агент использовал два IP-адреса для подключения к серверу Министерства обороны США, связанному с подачей и получением предложений по оборонным контрактам. Затем злоумышленник разместил скомпилированное вредоносное ПО на различных виртуальных частных серверах (VPS). Была проведена разведка системы военных закупок США, а также отмечены случаи нападения на организации, расположенные на Тайване.

С середины июня по август 2023 года в дикой природе наблюдалась активность множества новых скомпилированных версий вредоносной программы HiatusRAT. Готовые двоичные файлы Hiatus нацелены на новые архитектуры, такие как Arm, Intel 80386 и x86-64, а также на ранее нацеленные архитектуры, такие как MIPS, MIPS64 и i386. Более 91% входящих соединений с полезной нагрузкой HiatusRAT осуществлялось из Тайваня и было нацелено на ряд организаций, включая производителей полупроводников и химикатов, а также как минимум одну муниципальную правительственную организацию.

Угрожающий субъект в этом кластере предпринял минимальные шаги для продолжения операций, и Black Lotus Labs отслеживает HiatusRAT как отдельный кластер активности, не пересекающийся с публичной отчетностью. Предполагаемая цель заключалась в получении общедоступной информации о военных требованиях и поиске организаций, задействованных в оборонно-промышленной базе (ОПП), потенциально для последующего таргетирования.

HiatusRAT потенциально используется против небольших компаний DIB и тех, кто поддерживает Тайвань, в целях сбора разведданных. В отрасли наблюдается подобная тактика получения доступа к ценным целям путем компрометации активов периметра в нескольких вертикалях от субъектов, базирующихся в КНР. Поэтому необходимо сохранять бдительность и применять проактивные меры для защиты от потенциальных вредоносных кампаний.

#ParsedReport #CompletenessLow
17-08-2023

Dark Web Profile: Bjorka

https://socradar.io/dark-web-profile-bjorka

Report completeness: Low

Threats:
Bjorka_actor
Legion

Victims:
Indonesian government, private sectors, and critical infrastructure

Industry:
Financial, Healthcare, Government

Geo:
Poland, Indonesia, Indonesian

IOCs:
Domain: 2

Soft:
telegram

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что Бьорка - это загадочный угрожающий субъект, который недавно оказался в центре внимания благодаря серии громких кибератак, и что понимание профиля отдельных угрожающих субъектов имеет решающее значение для того, чтобы быть на шаг впереди них.
-----

Bjorka - таинственный угрожающий агент, который недавно стал известен благодаря серии громких атак на правительство и частный сектор Индонезии. Действуя под псевдонимом Bjorka, он остается неизвестным, однако целевой характер атак наводит на мысль о политических, финансовых и, возможно, идеологических мотивах. Bjorka имеет множество аккаунтов в социальных сетях на таких платформах, как RaidForums, Breach Forums, Twitter и Telegram, где он известен своими продажами данных, публичными заявлениями и загадочными монологами.

Атаки Бьорка, отличающиеся изощренностью, точностью и адаптивностью, включают в себя утечку конфиденциальной информации, продажу ценных данных, например паспортов, в "темной паутине" и, возможно, использование тактики социальной инженерии. Эти атаки не являются статичными, они развиваются и адаптируются к новым вызовам и возможностям, чтобы опередить защиту.

Выбор целей Bjorka носит стратегический и символический характер и направлен на конкретные отрасли, такие как здравоохранение, финансы и иммиграция. Он также может иметь связи или сотрудничать с другими угрожающими субъектами, что может способствовать расширению их возможностей, обмену ресурсами и координации атак. На действия Бьорки могут оказывать влияние или вдохновлять другие известные угрожающие субъекты, поэтому значительная часть информации о его связях с другими угрожающими субъектами остается спекулятивной и неподтвержденной.

Появление Бьорка в качестве заметного участника угроз в киберпространстве представляет собой сложную и многогранную задачу. При постоянной бдительности, всестороннем анализе и адаптируемых стратегиях защиты понимание профиля отдельных участников угроз имеет решающее значение для того, чтобы быть на шаг впереди. Деятельность Бьорки служит ярким напоминанием о том, что киберпространство и киберпреступность постоянно меняются и что важно быть в курсе этих изменений, чтобы предотвратить крупные инциденты.

#ParsedReport #CompletenessHigh
17-08-2023

LABRAT: Stealthy Cryptojacking and Proxyjacking Campaign Targeting GitLab

https://sysdig.com/blog/labrat-cryptojacking-proxyjacking-campaign

Report completeness: High

Actors/Campaigns:
Labrat (motivation: information_theft, financially_motivated)
Scarleteel

Threats:
Proxyjacking_technique
Gsocket_tool
Proxylite_tool
Iproyal_pawns_tool
Lucifer
Pwnkit_tool
Netcat_tool
Junk_code_technique
Xmrig_miner

Industry:
Financial

Geo:
Russian, Chinese

CVEs:
CVE-2021-4034 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- polkit project polkit (*)
- redhat enterprise linux desktop (7.0)
- redhat enterprise linux workstation (7.0)
- redhat enterprise linux for scientific computing (7.0)
- redhat enterprise linux server (7.0, 6.0)
have more...
CVE-2021-22205 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 9.9
X-Force: Patch: Official fix
Soft:
- gitlab (<13.10.3, <13.9.6, <13.8.8)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1133, T1090, T1053, T1036, T1086, T1064, T1047, T1078, T1105, T1140, have more...

IOCs:
Url: 5
Domain: 3
File: 6
IP: 7
Hash: 22

Soft:
trycloudflare, curl, net core, macos, systemd

Algorithms:
aes, aes-256, sha1, cbc

Languages:
perl, golang, javascript

Links:
https://github.com/alfonmga/hiding-cryptominers-linux-rootkit

#ParsedReport #ExtractedSchema

Classified images:
windows: 2, code: 7, schema: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Команда Sysdig Threat Research Team (TRT) недавно обнаружила новую финансово мотивированную операцию под названием LABRAT, которая использовала сложные и скрытные методы для получения черного доступа к взломанным системам и получения дохода за счет криптомайнинга и прокси-джекинга. Кроме того, для скрытия своего присутствия они использовали руткит на базе ядра, что затрудняло выявление и обнаружение их вредоносной активности защитниками.
-----

Команда Sysdig Threat Research Team (TRT) недавно обнаружила новую, финансово мотивированную операцию под названием LABRAT.

Злоумышленник использовал известную уязвимость GitLab, CVE-2021-22205, для получения начального доступа, что привело к удаленному выполнению команд.

Целью операции LABRAT было получение дохода с помощью проксиджекинга и криптомайнинга, а также предоставление черного доступа к взломанным системам, который мог быть использован для кражи данных, утечки или выкупа.

Злоумышленник использовал инструмент с открытым исходным кодом Global Socket (GSocket) и создал службу systemd для поддержания персистентности.

Злоумышленники загружали и выполняли вредоносный скрипт с сервера C2, чтобы закрепиться в сети жертвы.

Для сокрытия процесса майнинга злоумышленники использовали руткит на базе ядра.

Крипомайнинг и проксиджекинг никогда не следует считать вредоносными программами и списывать их на восстановление системы без проведения тщательного исследования.

#ParsedReport #CompletenessMedium
17-08-2023

The Wolf in Sheeps Clothing: How Cybercriminals Abuse Legitimate Software. What Are the Most Common Software Abused?

https://socradar.io/the-wolf-in-sheeps-clothing-how-cybercriminals-abuse-legitimate-software

Report completeness: Medium

Actors/Campaigns:
Duke (motivation: cyber_criminal)
Muddywater

Threats:
Cobalt_strike
Credential_dumping_technique
Mimikatz_tool
Metasploit_tool
Megasync_tool
Lockbit
Anydesk_tool
Teamviewer_tool
Backstab_tool
Gmer_tool
Pchunter_tool
Powertool_tool
Process_hacker_tool
Procdump_tool
Bloodhound_tool
Seatbelt_tool
Splashtop_tool
Atera_tool
Screenconnect_tool
Connectwise_rat
Ligolo
Plink_tool
Putty_tool
Lazagne_tool
Impacket_tool
Adfind_tool
Beacon
Process_injection_technique
Simplehelp_tool
Syncro_tool

Victims:
Legitimate software and dual-use software, microsoft office, rmm software

Industry:
Financial

CVEs:
CVE-2017-0199 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 9.3
X-Force: Patch: Official fix
Soft:
- microsoft office (2007, 2013, 2010, 2016)
- microsoft windows 7 (*)
- microsoft windows server 2008 (r2, *)
- microsoft windows vista (*)
- microsoft windows server 2012 (-)
have more...

TTPs:
Tactics: 6
Technics: 1

Soft:
psexec, sysinternals, softperfect network scanner, winscp, sysinternals psexec, microsoft word, microsoft office

Languages:
visual_basic

#ParsedReport #ExtractedSchema

Classified images:
schema: 6, windows: 6

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Легальное программное обеспечение двойного назначения используется злоумышленниками для совершения вредоносных действий, что представляет собой скрытую угрозу. Организации должны знать о возможности такого использования и принимать меры по его предотвращению. Команды безопасности должны иметь соответствующие инструменты и процессы для обнаружения таких угроз и реагирования на них.
-----

Легальные программы и программы двойного назначения перепрофилируются под вредоносные действия, что превращает их в скрытую угрозу. К числу таких программ относятся средства удаленного мониторинга и управления, средства тестирования на проникновение, а также Cobalt Strike. В частности, группы разработчиков программ-вымогателей используют эти средства для получения доступа к системам и утечки данных без обнаружения. Cobalt Strike - это коммерческое программное обеспечение для моделирования действий противника, предназначенное в первую очередь для "красных команд", но также используемое различными участниками угроз. Оно предоставляет универсальный набор инструментов для выполнения различных вредоносных операций. В частности, он используется в фишинговых кампаниях, позволяя злоумышленникам скрывать свою вредоносную деятельность в море легитимного трафика. Еще одним часто используемым инструментом является программное обеспечение RMM. Оно используется для организации локального доступа пользователей без необходимости получения прав администратора и установки полноценного программного обеспечения. Угрожающие организации используют это ПО для обеспечения устойчивости на устройствах жертв.

Важно понимать масштабы этой проблемы, поскольку это поможет нам лучше подготовиться к обнаружению и противодействию этим скрытым угрозам. Организации должны знать о возможности неправомерного использования легитимного и двойного ПО и принимать меры по ее предотвращению. Кроме того, службы безопасности должны располагать соответствующими инструментами и процессами для обнаружения и реагирования на эти угрозы. Опережая злоумышленников, организации могут защитить свои сети от вредоносных действий.

#ParsedReport #CompletenessLow
18-08-2023

Catching up with WoofLocker, the most elaborate traffic redirection scheme to tech support scams

https://www.malwarebytes.com/blog/threat-intelligence/2023/08/wooflocker2

Report completeness: Low

Threats:
Wooflocker
Steganography_technique
Browser_locker

Geo:
Asian, Ukraine, Bulgaria

IOCs:
Domain: 33

Soft:
chrome

Languages:
javascript