#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Команда Sysdig Threat Research Team (TRT) недавно обнаружила новую финансово мотивированную операцию под названием LABRAT, которая использовала сложные и скрытные методы для получения черного доступа к взломанным системам и получения дохода за счет криптомайнинга и прокси-джекинга. Кроме того, для скрытия своего присутствия они использовали руткит на базе ядра, что затрудняло выявление и обнаружение их вредоносной активности защитниками.
-----

Команда Sysdig Threat Research Team (TRT) недавно обнаружила новую, финансово мотивированную операцию под названием LABRAT.

Злоумышленник использовал известную уязвимость GitLab, CVE-2021-22205, для получения начального доступа, что привело к удаленному выполнению команд.

Целью операции LABRAT было получение дохода с помощью проксиджекинга и криптомайнинга, а также предоставление черного доступа к взломанным системам, который мог быть использован для кражи данных, утечки или выкупа.

Злоумышленник использовал инструмент с открытым исходным кодом Global Socket (GSocket) и создал службу systemd для поддержания персистентности.

Злоумышленники загружали и выполняли вредоносный скрипт с сервера C2, чтобы закрепиться в сети жертвы.

Для сокрытия процесса майнинга злоумышленники использовали руткит на базе ядра.

Крипомайнинг и проксиджекинг никогда не следует считать вредоносными программами и списывать их на восстановление системы без проведения тщательного исследования.

#ParsedReport #CompletenessMedium
17-08-2023

The Wolf in Sheeps Clothing: How Cybercriminals Abuse Legitimate Software. What Are the Most Common Software Abused?

https://socradar.io/the-wolf-in-sheeps-clothing-how-cybercriminals-abuse-legitimate-software

Report completeness: Medium

Actors/Campaigns:
Duke (motivation: cyber_criminal)
Muddywater

Threats:
Cobalt_strike
Credential_dumping_technique
Mimikatz_tool
Metasploit_tool
Megasync_tool
Lockbit
Anydesk_tool
Teamviewer_tool
Backstab_tool
Gmer_tool
Pchunter_tool
Powertool_tool
Process_hacker_tool
Procdump_tool
Bloodhound_tool
Seatbelt_tool
Splashtop_tool
Atera_tool
Screenconnect_tool
Connectwise_rat
Ligolo
Plink_tool
Putty_tool
Lazagne_tool
Impacket_tool
Adfind_tool
Beacon
Process_injection_technique
Simplehelp_tool
Syncro_tool

Victims:
Legitimate software and dual-use software, microsoft office, rmm software

Industry:
Financial

CVEs:
CVE-2017-0199 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 9.3
X-Force: Patch: Official fix
Soft:
- microsoft office (2007, 2013, 2010, 2016)
- microsoft windows 7 (*)
- microsoft windows server 2008 (r2, *)
- microsoft windows vista (*)
- microsoft windows server 2012 (-)
have more...

TTPs:
Tactics: 6
Technics: 1

Soft:
psexec, sysinternals, softperfect network scanner, winscp, sysinternals psexec, microsoft word, microsoft office

Languages:
visual_basic

#ParsedReport #ExtractedSchema

Classified images:
schema: 6, windows: 6

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Легальное программное обеспечение двойного назначения используется злоумышленниками для совершения вредоносных действий, что представляет собой скрытую угрозу. Организации должны знать о возможности такого использования и принимать меры по его предотвращению. Команды безопасности должны иметь соответствующие инструменты и процессы для обнаружения таких угроз и реагирования на них.
-----

Легальные программы и программы двойного назначения перепрофилируются под вредоносные действия, что превращает их в скрытую угрозу. К числу таких программ относятся средства удаленного мониторинга и управления, средства тестирования на проникновение, а также Cobalt Strike. В частности, группы разработчиков программ-вымогателей используют эти средства для получения доступа к системам и утечки данных без обнаружения. Cobalt Strike - это коммерческое программное обеспечение для моделирования действий противника, предназначенное в первую очередь для "красных команд", но также используемое различными участниками угроз. Оно предоставляет универсальный набор инструментов для выполнения различных вредоносных операций. В частности, он используется в фишинговых кампаниях, позволяя злоумышленникам скрывать свою вредоносную деятельность в море легитимного трафика. Еще одним часто используемым инструментом является программное обеспечение RMM. Оно используется для организации локального доступа пользователей без необходимости получения прав администратора и установки полноценного программного обеспечения. Угрожающие организации используют это ПО для обеспечения устойчивости на устройствах жертв.

Важно понимать масштабы этой проблемы, поскольку это поможет нам лучше подготовиться к обнаружению и противодействию этим скрытым угрозам. Организации должны знать о возможности неправомерного использования легитимного и двойного ПО и принимать меры по ее предотвращению. Кроме того, службы безопасности должны располагать соответствующими инструментами и процессами для обнаружения и реагирования на эти угрозы. Опережая злоумышленников, организации могут защитить свои сети от вредоносных действий.

#ParsedReport #CompletenessLow
18-08-2023

Catching up with WoofLocker, the most elaborate traffic redirection scheme to tech support scams

https://www.malwarebytes.com/blog/threat-intelligence/2023/08/wooflocker2

Report completeness: Low

Threats:
Wooflocker
Steganography_technique
Browser_locker

Geo:
Asian, Ukraine, Bulgaria

IOCs:
Domain: 33

Soft:
chrome

Languages:
javascript

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, code: 4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: WoofLocker - это мошенничество с техподдержкой, существующее с 2017 года и использующее стеганографию и методы обфускации для скрытия вредоносного кода, который перенаправляет жертву на страницу блокировки браузера. Исследователям безопасности удалось записать полный перехват трафика, и пользователи Malwarebytes защищены от этой угрозы.
-----

WoofLocker - это мошенничество с техподдержкой, существующее с 2017 года, что делает его одним из самых продолжительных и скрытых мошенничеств. Ее невероятно сложно воспроизвести и изучить механизм перенаправления благодаря новым методам проверки отпечатков пальцев. Жертвы, попавшие под действие этой аферы, перенаправляются в колл-центры, расположенные в странах Южной Азии. Угроза WoofLocker не использует в качестве вектора доставки вредоносную рекламу, как другие мошенники из службы технической поддержки, а получает доступ к скомпрометированным сайтам с трафиком как для взрослых, так и не для взрослых.

Вредоносный JavaScript, встроенный в сайты, извлекает фреймворк WoofLocker, который сильно обфусцирован и использует стеганографию. Затем эти данные отсылаются на сервер в виде PNG-изображения, и возможны два варианта развития событий: жертвы, посчитавшие, что они не представляют интереса, не увидят ничего дальнейшего, а потенциальные жертвы будут перенаправлены на страницу блокировки браузера с фальшивым предупреждением о компьютерных вирусах.

Угрожающий агент использовал два различных типа трафика: для взрослых и не для взрослых, причем большинство сайтов были сайтами для взрослых. Вероятно, это связано с тактикой социальной инженерии. Несмотря на применяемые WoofLocker техники уклонения, исследователям удалось записать полный перехват трафика. Код использует стеганографию для загрузки вредоносного URL, соответствующего странице блокировки браузера.

Со времени публикации нашей первоначальной статьи в блоге нам удалось выявить дополнительные части инфраструктуры WoofLocker, и мы убедились, что участники угрозы сменили хостинг-провайдеров, чтобы обеспечить более надежную защиту от захвата. ASN расположены в Болгарии и на Украине. Пользователи Malwarebytes всегда защищены от этой угрозы благодаря эвристическому механизму обнаружения.

#ParsedReport #CompletenessLow
18-08-2023

Unmasking EVLF DEV-The Creator of CypherRAT and CraxsRAT

https://www.cyfirma.com/outofband/unmasking-evlf-dev-the-creator-of-cypherrat-and-craxsrat

Report completeness: Low

Actors/Campaigns:
Fusioncore

Threats:
Evlf_dev_actor
Spynote_rat
Craxsrat
Watering_hole_technique

Geo:
Syria

ChatGPT TTPs:
do not use without manual check
T1113, T1055, T1056, T1082, T1083, T1117, T1140, T1143, T1145, T1204, have more...

IOCs:
Hash: 1

Soft:
android

Algorithms:
exhibit, base64

#ParsedReport #ExtractedSchema

Classified images:
code: 7, windows: 12, schema: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Исследователи CYFIRMA обнаружили нового оператора вредоносного ПО как услуги (MaaS), известного под именем EVLF DEV, который отвечает за разработку двух троянцев удаленного доступа (RAT). Для создания видимости легитимности этот агент угроз использует интернет-магазин на поверхности Интернета, а для сохранения анонимности - криптовалюту. Кроме того, исследовательская группа выявила дополнительные сведения о EVLF DEV, такие как настоящее имя, имена пользователей, IP-адрес и адрес электронной почты.
-----

Исследовательская группа CYFIRMA обнаружила нового оператора вредоносного ПО как услуги (MaaS) под псевдонимом EVLF DEV. Этот оператор отвечает за разработку CypherRAT и CraxsRAT - двух троянских программ удаленного доступа (RAT), которые были приобретены по пожизненной лицензии более чем 100 различными участниками угроз. Замысел этих RAT состоит в том, чтобы позволить злоумышленнику удаленно управлять устройством жертвы и выполнять действия в режиме реального времени, например, получать доступ к камере, местоположению и микрофону устройства.

В последние годы MaaS набирает популярность благодаря удобству для злоумышленников, желающих начать свою деятельность без необходимости изучать разработку вредоносных программ самостоятельно. Компания EVLF создала для CraxsRAT интернет-магазин на поверхности Интернета, чтобы показаться заинтересованным угрожающим субъектам легитимным. Однако некоторые из них начали бесплатно распространять взломанные версии RAT в сообществе "черных шляп". С ростом доступности этих RAT значительно увеличилось и число активных пользователей. Для сохранения анонимности все операции по покупке осуществляются в криптовалюте. Угрожающий агент действует из Сирии.

Исследователям CYFIRMA удалось установить более подробную информацию о человеке, ответственном за EVLF, а именно: настоящее имя, имена пользователей, используемые на различных платформах и в социальных сетях, IP-адрес и адрес электронной почты. Кроме того, исследовательская группа получила CraxsRAT, одну из самых опасных покупных Android-РАТ, доступных в настоящее время для субъектов угроз. В ходе анализа было обнаружено, что код пакета для Android, генерируемого сборщиком CraxsRAT, сильно обфусцирован, поставляется в различных вариантах сборок и предоставляет угрожающим субъектам возможности для установки вредоносных приложений. Вредоносное приложение также использует коммуникационный сервер, закодированный с помощью алгоритма base64, и обладает возможностью управления записью экрана телефона жертвы.

EVLF имеет более 10 тыс. подписчиков на канале и как минимум в течение последних 3 лет использует известный криптокошелек для вывода доходов, полученных от продажи CypherRAT и CraxsRAT. Чтобы заручиться поддержкой сообщества "черных шляп", угрожающий агент предоставил доказательства, связанные с предоставлением KYC после маскировки PII.

#ParsedReport #CompletenessMedium
18-08-2023

Mass-spreading campaign targeting Zimbra users

https://www.welivesecurity.com/en/eset-research/mass-spreading-campaign-targeting-zimbra-users

Report completeness: Medium

Actors/Campaigns:
Winter_vivern
Temp_heretic

Victims:
Users of the zimbra collaboration email server, small and medium businesses, governmental entities

Industry:
Military, Government

Geo:
Polish, Poland, Italian, Ecuador, Ukraine, Italy

CVEs:
CVE-2022-27926 [Vulners]
CVSS V3.1: 6.1,
Vulners: Exploitation: True
X-Force: Risk: 6.1
X-Force: Patch: Official fix
Soft:
- zimbra collaboration (9.0.0)

CVE-2022-24682 [Vulners]
CVSS V3.1: 6.1,
Vulners: Exploitation: True
X-Force: Risk: 7.2
X-Force: Patch: Official fix
Soft:
- zimbra collaboration (8.8.15)


TTPs:
Tactics: 6
Technics: 7

IOCs:
Email: 1
Domain: 6
IP: 7
Url: 7

Soft:
zimbra

Languages:
php

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея этого текста заключается в том, что в настоящее время ведется фишинговая кампания, направленная на пользователей почтового сервера Zimbra Collaboration, и организациям, использующим это программное обеспечение, следует принять меры по обеспечению своей безопасности.
-----

В апреле 2023 года исследователи ESET обнаружили массовое распространение фишинговой кампании, направленной на пользователей почтового сервера Zimbra Collaboration. Судя по всему, кампания продолжается, и ее объектами стали в основном предприятия малого и среднего бизнеса, а также государственные организации в Польше, Эквадоре и Италии. Злоумышленники подменяют поле From: в письмах, представляясь администратором почтового сервера, и отправляют HTTPS POST-запросы на контролируемый ими сервер для сбора учетных данных пользователей. Также была замечена рассылка последующих волн фишинговых писем с учетных записей Zimbra ранее атакованных легальных компаний.

Предыдущие кампании использовали уязвимости в программном обеспечении Zimbra Collaboration, и эта кампания показывает, насколько эффективным может быть такой способ, несмотря на отсутствие технических изысков. Злоумышленник использует тот факт, что HTML-вложения содержат легитимный код, а единственным отличительным элементом является ссылка, указывающая на вредоносный хост. Таким образом, обойти репутационные политики защиты от спама гораздо проще, чем при использовании фишинговых технологий, когда вредоносная ссылка размещается непосредственно в теле письма.

Популярность Zimbra Collaboration среди организаций, которые, как ожидается, имеют меньшие ИТ-бюджеты, означает, что она, скорее всего, останется привлекательной целью для злоумышленников. Организациям, использующим это программное обеспечение, важно помнить об этом и предпринимать соответствующие шаги для обеспечения своей безопасности. Это включает в себя регулярное обновление, мониторинг подозрительной активности и обучение пользователей тому, как обнаруживать и сообщать о возможных фишинговых сообщениях.

#ParsedReport #CompletenessLow
18-08-2023

EvilProxy phishing campaign targets 120,000 Microsoft 365 users

https://www.proofpoint.com/us/newsroom/news/evilproxy-phishing-campaign-targets-120000-microsoft-365-users

Report completeness: Low

Threats:
Evilproxy_tool

Industry:
Financial

Geo:
Turkish, Turkey

Languages:
php

Platforms:
apple

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, windows: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: EvilProxy - это фишинговая платформа как услуга, которая становится все более популярной среди злоумышленников и способна осуществлять качественные фишинговые атаки в больших масштабах с целью кражи аутентификационных cookie. Организациям необходимо защищаться от этой угрозы, повышая уровень осведомленности о безопасности и внедряя такие меры защиты, как физические ключи на основе FIDO. Кроме того, целью злоумышленников были пользователи с турецкими IP-адресами, что может свидетельствовать о том, что операция базируется в Турции.
-----

EvilProxy - это фишинговая платформа, которая становится все более популярной среди злоумышленников, желающих атаковать учетные записи, защищенные MFA. Впервые о ней было сообщено Resecurity в сентябре 2022 года, и она обещала возможность атаковать учетные записи Apple, Google, Facebook, Microsoft, Twitter, GitHub, GoDaddy и PyPI. В марте 2023 года исследователи в области кибербезопасности обнаружили масштабную кампанию, использующую EvilProxy для рассылки фишинговых писем, выдающих себя за популярные бренды, такие как Adobe, DocuSign и Concur.

Фишинговые письма перенаправляют жертв на вредоносный сайт, который осуществляет обратное проксирование страницы входа в Microsoft 365, где также используется тема организации для создания видимости подлинности. Это позволяет EvilProxy похищать аутентификационные cookies после того, как пользователь войдет в свою учетную запись. Кроме того, злоумышленники используют специальную кодировку электронной почты пользователя, чтобы скрыть ее от средств автоматического сканирования. Они также взламывают легитимные сайты, чтобы загрузить на них свой PHP-код для декодирования адреса электронной почты целевого пользователя. Кроме того, злоумышленники избирательно подходили к выбору случаев, когда переходили к этапу захвата учетной записи, отдавая предпочтение "VIP-целям" и игнорируя тех, кто находился ниже по иерархии.

Фишинговые комплекты с обратным прокси представляют собой растущую угрозу, способную обеспечить высококачественный фишинг в больших масштабах, обходя при этом меры безопасности и защиту учетных записей. Для защиты от этой угрозы организациям необходимо повышать осведомленность о безопасности, ужесточать правила фильтрации электронной почты и внедрять физические ключи на основе FIDO. Наконец, исследователи заметили, что злоумышленники атаковали пользователей с турецкими IP-адресами, что может свидетельствовать о том, что операция базируется в Турции.

#technique

TSSHOCK: New Key Extraction Attacks on Threshold Signature Scheme (TSS)

https://www.verichains.io/tsshock/

#technique

Windows Driver Exploit Development — irec.sys

https://blog.dru1d.ninja/windows-driver-exploit-development-irec-sys-a5eb45093945

#technique

Methods to Backdoor an AWS Account

https://mystic0x1.github.io/posts/methods-to-backdoor-an-aws-account/

#technique

A POC of a new “threadless” process injection technique that works by utilizing the concept of DLL Notification Callbacks in local and remote processes.

https://github.com/ShorSec/DllNotificationInjection

#ParsedReport #CompletenessLow
21-08-2023

APT-C-35. 1. Affected situation

https://mp-weixin-qq-com.translate.goog/s?__biz=MzUyMjk4NzExMA==&mid=2247493204&idx=1&sn=7b3a65de0d06a466942bf4381d00861a&chksm=f9c1d55dceb65c4b39c51ba64c37a0d9e70984e0e7eda2d1ba03fc3c509135184d94062e92fd&scene=17&_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=en-US&_x_tr_pto=wapp

Report completeness: Low

Actors/Campaigns:
Donot
Manlinghua

Threats:
Beacon

Victims:
Government agencies in the kashmir region and other fields

Industry:
Government

Geo:
Bangladesh, Kashmir

ChatGPT TTPs:
do not use without manual check
T1140, T1566, T1071, T1543, T1036, T1045, T1064, T1546

IOCs:
Hash: 7
File: 1

Soft:
android, whatsapp

Algorithms:
aes, base64

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Организация APT-C-35 (belly brainworm), также известная как Donot, представляет собой организацию, осуществляющую атаки в рамках Advanced Persistent Threat (APT), которые были направлены на правительственные учреждения и другие организации в регионе Кашмир. Жертвы этих атак в основном находились в Бангладеш и Шри-Ланке в период с июня 2022 года по февраль 2023 года. Организация способна атаковать платформы Windows и Android, используя фишинговые сайты, социальные сети и файлы документов в качестве приманки для побуждения пользователей к загрузке вредоносных компонентов.-----

Организация APT-C-35 (belly brainworm), также известная как Donot, - это APT-атака, направленная на правительственные учреждения и другие организации в регионе Кашмир. Организация способна атаковать как платформы Windows, так и Android. Жертвы этих атак находились в основном в Бангладеш и Шри-Ланке в период с июня 2022 года по февраль 2023 года.

Для атак на платформу Android организация Brainworm обычно использовала фишинговые сайты и социальные сети для проведения сетевых атак. Однако в этот раз был применен новый способ доставки, заключающийся в использовании файлов документов в качестве приманки, побуждающей пользователей открывать и загружать вредоносные компоненты или образцы атак в Интернете. Файл-приманка был замаскирован под PDF-документ с именем "draft". При открытии документа пользователю сразу выводится окно с предложением установить плагин для его просмотра. После нажатия кнопки загрузки браузер откроет указанный URL. Сервер злоумышленника оценивает тип платформы запрашивающего URL. Если это не платформа Android, то будет возвращена страница ошибки. Если это платформа Android, то будет загружена маскирующаяся программа под названием PluginL26.9.22.apk (разные версии загружались в разное время). Этот Android RAT предназначен для организации Brainworm.

Вредоносные функции последнего образца атаки организации Brain Worm и более ранних образцов атаки полностью совпадают. Эти функции включают в себя команды записи, загрузки контактов, записей звонков, SMS и другие вредоносные действия.