#ParsedReport #CompletenessLow
24-08-2023

Tunnel Warfare: Exposing DNS Tunneling Campaigns using Generative Models CoinLoader Case Study

https://research.checkpoint.com/2023/tunnel-warfare-exposing-dns-tunneling-campaigns-using-generative-models-coinloader-case-study

Report completeness: Low

Actors/Campaigns:
Comment_crew

Threats:
Dns_tunneling_technique
Coinloader
Dnstunnelling_technique
Sunburst
Platypus
Dll_sideloading_technique
Junk_code_technique
Sandbox_evasion_technique
Steganography_technique

IOCs:
Domain: 20
File: 15
Hash: 2

Soft:
torch

Wallets:
harmony_wallet

Algorithms:
base64, zip, xor

Functions:
GetCurrentDirectoryW, Indirect, test_get_name

Win API:
OpenProcess, VirtualProtect, LoadLibraryExA, GlobalReAlloc, GlobalAlloc, CreateThread, GlobalSize, VirtualAlloc, CreateProcessA, LoadLibraryExW, have more...

Languages:
python

#ParsedReport #CompletenessMedium
24-08-2023

Cisco Talos Intelligence Blog. Lazarus Group exploits ManageEngine vulnerability to deploy QuiteRAT

https://blog.talosintelligence.com/lazarus-quiterat

Report completeness: Medium

Actors/Campaigns:
Lazarus

Threats:
Magicrat
Beacon

Victims:
Internet backbone infrastructure provider, healthcare entities in europe and the united states

Industry:
Healthcare

Geo:
Korean

CVEs:
CVE-2022-47966 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- zohocorp manageengine access manager plus (4.3)
- zohocorp manageengine ad360 (<4.3)
- zohocorp manageengine adaudit plus (7.0)
- zohocorp manageengine admanager plus (7.1)
- zohocorp manageengine adselfservice plus (6.2)
have more...

TTPs:

ChatGPT TTPs:
do not use without manual check
T1190, T1071, T1204, T1132, T1053, T1059, T1055

IOCs:
Path: 4
Url: 4
IP: 1
File: 3
Command: 5
Hash: 1

Soft:
dot net, curl

Algorithms:
base64, xor

Languages:
java

Platforms:
x64

Links:
https://github.com/Cisco-Talos/IOCs/upload/main/2023/08

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что Lazarus Group активно разрабатывает новую вредоносную угрозу QuiteRAT, которая меньше и труднее обнаруживается, чем ее предшественник MagicRAT, что делает ее серьезной угрозой.
-----

Недавно компания Cisco Talos обнаружила, что северокорейский государственный агент Lazarus Group атакует магистральную инфраструктуру Интернета и медицинские учреждения в Европе и США. Это уже третья задокументированная кампания, приписываемая этой группе менее чем за год, причем используется одна и та же инфраструктура. Используя уязвимость ManageEngine ServiceDesk (CVE-2022-47966), злоумышленники развернули новую вредоносную программу, известную как QuiteRAT. Этот имплант обладает теми же возможностями, что и более известная вредоносная программа MagicRAT, однако размер его файла значительно меньше.

QuiteRAT - это троян удаленного доступа (RAT), использующий встроенные библиотеки Qt и не имеющий графического интерфейса пользователя. Конфигурационные строки кодируются с помощью XOR и base64-кодировки, а данные отправляются на командно-контрольные (C2) серверы с помощью HTTP GET VERB. Вредоносная программа может выполнять команду ping и способна принимать команду с кодом sendmail. Последняя версия MagicRAT была скомпилирована в апреле 2022 года. QuiteRAT - гораздо более компактная реализация, ее средний размер составляет около 4-5 МБ. Это объясняется тем, что Lazarus Group включила в QuiteRAT лишь несколько необходимых библиотек Qt, в отличие от MagicRAT, в который встроен весь фреймворк Qt.

Между этими имплантами есть сходство, указывающее на то, что QuiteRAT является производной от MagicRAT. Помимо того, что оба импланта построены на фреймворке Qt, они обладают одинаковыми возможностями, включая выполнение произвольных команд на зараженной системе. Оба импланта также используют кодировку base64 для обфускации своих строк с дополнительными мерами, такими как XOR или добавление жестко закодированных данных, чтобы затруднить автоматическое декодирование строк. Кроме того, оба импланта используют схожую функциональность, позволяющую им оставаться в "спящем" состоянии на конечной точке путем задания C2-сервером периода сна.

Небольшой размер и сложный код QuiteRAT затрудняют его обнаружение. Это увеличивает сложность кода вредоносной программы, затрудняя ее анализ человеком по сравнению с угрозами, созданными с использованием более простых языков программирования, таких как C/C++, DOT NET и т.д. Кроме того, поскольку Qt редко используется при разработке вредоносного ПО, обнаружение угроз такого типа с помощью машинного обучения и эвристического анализа менее надежно.

Очевидно, что Lazarus Group активно развивает quiteRAT для расширения возможностей своего вредоносного ПО. Имплант может получить постоянный доступ к скомпрометированным системам и еще больше усложнить попытки обнаружения и защиты от него. Исследователям безопасности следует продолжать следить за новыми разработками Lazarus Group и других государственных структур, чтобы быть готовыми к отражению любых угроз.

#ParsedReport #CompletenessMedium
24-08-2023

Why LaZagne Makes D-Bus API Vigilance Crucial

https://unit42.paloaltonetworks.com/lazagne-leverages-d-bus

Report completeness: Medium

Actors/Campaigns:
Teamtnt
Charming_kitten
Prying_libra
Lightbasin
Chimaera

Threats:
Lazagne_tool
Wildfire
Ransomexx

Industry:
Telco, Iot, Military

Geo:
Emea, Japan, Italian, Apac, Iranian, America, Japanese

IOCs:
File: 1
Hash: 3

Soft:
pidgin, systemd, qemu, wordpress, sudo

Algorithms:
sha256

Functions:
dbus_message_new_method_call, dbus_message_append_args, dbus_connection_send_with_reply_and_block, dbus_message_get_args, D-Bus

YARA: Found

Links:
https://github.com/AlessandroZ/LaZagne/blob/8c9f96237265251c2cb5dc24e1333a1d6559e797/Linux/lazagne/softwares/chats/pidgin.py
https://github.com/iovisor/bpftrace
https://github.com/AlessandroZ/LaZagne/tree/8c9f96237265251c2cb5dc24e1333a1d6559e797/Linux/lazagne/softwares/wallet

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Злоумышленники все чаще атакуют Linux-системы, поэтому разработчикам и специалистам по кибербезопасности необходимо быть в курсе рисков и принимать необходимые меры для защиты приложений и конфиденциальных пользовательских данных.
-----

Злоумышленники все чаще атакуют Linux-системы, а легкость доступа к популярному средству восстановления паролей с открытым исходным кодом, такому как LaZagne, делает его еще более удобным для использования злоумышленниками в цепочках атак для сброса паролей. LaZagne использует API-интерфейсы Pidgin D-Bus для извлечения конфиденциальной информации, такой как имена пользователей и пароли, а также может быть использован для дампа паролей KDE Wallet (KWallet). За последние годы различные киберпреступные группы использовали LaZagne в нескольких кампаниях. В 2019 году Agent Serpens использовал LaZagne для сбора учетных данных с систем на базе Windows, а в 2020 году CL-CRI-0025 использовал виртуальную машину Quick Emulator (QEMU) Linux, содержащую LaZagne, для атак на итальянские и европейские объекты. В 2021 году Adept Libra использовала LaZagne для кражи паролей с сайта WordPress в среде Kubernetes в рамках кампании Chimaera.

Растущая тенденция целенаправленных атак на Linux-системы заставляет разработчиков и специалистов по кибербезопасности быть в курсе этих рисков и принимать необходимые меры для защиты приложений и конфиденциальных пользовательских данных. Мониторинг API-интерфейсов D-Bus является разумным шагом в области безопасности и может стать важным способом минимизации рисков, связанных с вредоносным ПО и хакерскими инструментами.

#ParsedReport #CompletenessMedium
24-08-2023

The Tale of Two Exploits - Breaking Down CVE-2023-36884 and the Infection Chain

https://www.trellix.com/content/mainsite/en-us/about/newsroom/stories/research/breaking-down-cve-2023-36884-and-the-infection-chain.html

Report completeness: Medium

Actors/Campaigns:
Dev-0978

Threats:
Follina_vuln
Impacket_tool
Secretsdump_tool

Industry:
Government, Entertainment

Geo:
America, Ukraine

CVEs:
CVE-2022-30190 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- microsoft windows server 2012 (r2, -)
- microsoft windows 10 (1607, -, 1809, 20h2, 21h1, 21h2)
- microsoft windows 8.1 (-)
- microsoft windows server 2016 (-)
- microsoft windows server 2008 (-, r2)
have more...
CVE-2022-37985 [Vulners]
CVSS V3.1: 5.5,
Vulners: Exploitation: Unknown
X-Force: Risk: 5.5
X-Force: Patch: Official fix
Soft:
- microsoft windows 10 (-, 1607, 1809, 20h2, 21h1, 21h2)
- microsoft windows server 2008 (r2, -)
- microsoft windows 7 (-)
- microsoft windows server 2012 (r2, -)
- microsoft windows server 2016 (-)
have more...
CVE-2021-40444 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- microsoft windows server 2008 (r2, -)
- microsoft windows 10 (1607, -, 1809, 1909, 2004, 20h2, 21h1)
- microsoft windows server 2016 (-, 2004, 20h2)
- microsoft windows rt 8.1 (-)
- microsoft windows server 2012 (-)
have more...
CVE-2017-0199 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 9.3
X-Force: Patch: Official fix
Soft:
- microsoft office (2007, 2013, 2010, 2016)
- microsoft windows 7 (*)
- microsoft windows server 2008 (r2, *)
- microsoft windows vista (*)
- microsoft windows server 2012 (-)
have more...
CVE-2023-30190 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2023-36884 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: 8.3
X-Force: Patch: Unavailable
Soft:
- microsoft word (2013, 2016)
- microsoft windows server 2008 (r2, -)
- microsoft windows server 2012 (r2, -)
- microsoft windows server 2016 (-)
- microsoft windows server 2019 (-)
have more...
CVE-2017-1099 [Vulners]
CVSS V3.1: 4.3,
Vulners: Exploitation: Unknown
X-Force: Risk: 4.3
X-Force: Patch: Official fix
Soft:
- ibm rational collaborative lifecycle management (6.0.3, 5.0, 4.0.4, 6.0.2, 4.0.6, 4.0, 4.0.5, 4.0.3, 5.0.1, 6.0.1, 5.0.2, 4.0.2, 6.0, 4.0.7)
- ibm rational quality manager (4.0.1, 4.0.4, 6.0.1, 6.0.3, 4.0.7, 4.0.3, 6.0.2, 4.0.5, 6.0, 5.0.2, 4.0.2, 4.0.6, 5.0, 4.0, 5.0.1)
- ibm rational team concert (6.0.1, 6.0, 4.0.5, 4.0, 6.0.2, 4.0.6, 4.0.4, 4.0.7, 5.0, 4.0.1, 4.0.2, 5.0.1, 6.0.3, 4.0.3, 5.0.2)
- ibm rational doors next generation (6.0.3, 6.0, 4.0.7, 4.0.5, 4.0, 4.0.1, 5.0, 4.0.2, 4.0.3, 5.0.1, 6.0.1, 6.0.2, 4.0.6, 5.0.2, 4.0.4)
- ibm rational engineering lifecycle manager (4.0, 6.0, 4.0.2, 4.0.4, 4.0.7, 4.0.1, 5.0.2, 6.0.3, 6.0.1, 4.0.3, 6.0.2, 5.0, 4.0.5, 5.0.1, 4.0.6)
have more...

IOCs:
File: 29
Hash: 22
IP: 1

Soft:
windows search, microsoft office, windows graphics component, smb server

Algorithms:
sha1

#ParsedReport #ExtractedSchema

Classified images:
chart: 3, code: 7, dump: 2, windows: 2, table: 1, schema: 1

#ParsedReport #CompletenessMedium
24-08-2023

Raccoon Stealer Resurfaces with New Enhancements. The Latest Version

https://socradar.io/raccoon-stealer-resurfaces-with-new-enhancements

Report completeness: Medium

Threats:
Raccoon_stealer
Bazarbackdoor

Geo:
Netherlands

TTPs:
Tactics: 4
Technics: 7

IOCs:
File: 4
IP: 2
Domain: 1
Url: 9
Hash: 1

Crypto:
bitcoin

Algorithms:
sha256, sha1

Languages:
visual_basic

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Raccoon Stealer - это мощная вредоносная программа, способная похищать данные более чем из 60 приложений и обладающая рядом функций, облегчающих просмотр и понимание динамики трафика. В настоящее время последняя версия вредоносной программы доступна для приобретения по цене 125 долл. в неделю или 275 долл. в месяц.
-----

Raccoon Stealer - это разновидность вредоносного ПО для похищения информации, впервые появившаяся в 2019 году. Он способен похищать данные из более чем 60 приложений и с тех пор доступен для приобретения по подписке. В октябре 2022 года основной создатель Racco Марк Соколовский был арестован в Нидерландах, а ФБР ликвидировало инфраструктуру, поддерживающую работу вредоносной программы как услуги. С тех пор разработчики Raccoon Stealer работали над новой версией, v2.3.0.1, которая была выпущена 15 августа 2023 года с некоторыми незначительными изменениями и улучшениями.

Новая версия Raccoon Stealer поставляется в формате исполняемого файла (EXE), который взаимодействует с сервером Command and Control (C&C) и передает системную информацию, cookies браузера, учетные данные и криптовалютные кошельки. Его можно идентифицировать по IoC, найденным в приложении платформы SOCRadar. Вредоносная программа доступна для продажи за 125 долл. в неделю или 275 долл. в месяц.

Разработчики Raccoon Stealer реализовали новую систему, которая автоматически распознает необычные паттерны активности, например, многократные обращения с одного IP-адреса или одного диапазона IP-адресов. Если система обнаруживает подозрительную активность, то все записи, связанные с этими журналами, удаляются, а информация автоматически обновляется на каждом клиентском планшете.

Вредоносная программа также оснащена функцией статистики, позволяющей просматривать страны-лидеры по количеству логов в разбивке на топ-20, топ-100 или весь список стран, что дает возможность получить как общее, так и детальное представление о географии трафика. Кроме того, в программе предусмотрены графики журналов, отображающие динамику активности по различным сборкам в зависимости от выбранного периода - за день, неделю, месяц или год. Таким образом, пользователь может легко просмотреть и понять динамику лог-потока, в том числе и то, откуда идет трафик, из каких сборок и стран.

В целом Raccoon Stealer представляет собой мощную вредоносную программу, способную похищать данные из более чем 60 приложений и обладающую рядом функций, облегчающих пользователям просмотр и понимание динамики трафика. В настоящее время последняя версия вредоносной программы доступна для приобретения по цене 125 долл. в неделю или 275 долл. в месяц.

#ParsedReport #CompletenessHigh
23-08-2023

The Persistent Danger of Remcos RAT

https://www.cyfirma.com/outofband/the-persistent-danger-of-remcos-rat

Report completeness: High

Threats:
Remcos_rat
Newrem_botnet
Cloudeye
Process_injection_technique

Industry:
Financial, Entertainment

TTPs:
Tactics: 8
Technics: 15

IOCs:
IP: 4
Hash: 7
File: 6
Command: 2
Path: 3
Url: 2
Registry: 3

Soft:
openssl, windows defender, windows registry

Algorithms:
rc4, exhibit, sha256, zip

Languages:
php

#ParsedReport #ExtractedSchema

Classified images:
code: 3, windows: 7, schema: 2, dump: 3

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Расследование, проведенное компанией Cyfirma, выявило сложную экосистему вредоносных действий, связанных с кампанией Remcos Remote Access Trojan (RAT), включая вредоносные IP-адреса, скрытую полезную нагрузку, вредоносные вложения, загрузки по принципу drive-by и тактику социальной инженерии, что подчеркивает необходимость разработки эффективных стратегий кибербезопасности.
-----

Компания Cyfirma занимается предоставлением актуальной информации о вредоносной деятельности, в частности о кампании по созданию троянца удаленного доступа (RAT) Remcos. Проведенное нами расследование позволило выявить сложную экосистему тактик, используемых субъектами угроз, таких как вредоносные IP-адреса и скрытые полезные нагрузки с расширенными функциональными возможностями. Первичное заражение происходит через вредоносные вложения, drive-by загрузки или тактику социальной инженерии, после чего бинарный файл Remcos RAT (RiotGames.exe) загружается из удаленного места. Для обеспечения устойчивости вредоносная программа использует ключи реестра Windows Run, может делать скриншоты рабочего стола, перехватывать нажатия клавиш и аудиозаписи.

Распространение многочисленных IP-адресов, на которых размещаются RAT и другие вредоносные файлы, вызывает серьезные опасения в связи с возможной утечкой конфиденциальных данных и учетных данных. Для противодействия этой угрозе необходимо реализовать эффективные стратегии кибербезопасности, включающие проактивный мониторинг, обмен оперативной информацией и адаптивную защиту.

Remcos RAT использует для потенциально вредоносных действий легитимные утилиты, такие как echo.exe и cmd.exe. Кроме того, для отвлечения внимания от присутствия более вредоносного содержимого или методов используются изображения-приманки. Это еще раз подчеркивает необходимость разработки комплексных мер безопасности, способных обнаруживать и реагировать на подобные вредоносные действия.

#ParsedReport #CompletenessHigh
24-08-2023

Cisco Talos Intelligence Blog. Lazarus Group's infrastructure reuse leads to discovery of new malware

https://blog.talosintelligence.com/lazarus-collectionrat

Report completeness: High

Actors/Campaigns:
Lazarus

Threats:
Quiterat
Collectionrat
Earlyrat
Deimos_botnet
Log4shell_vuln
Magicrat
Vsingle
Yamabot
Tiger_rat
Putty_tool
Plink_tool
Dtrack_rat
Credential_dumping_technique
Mimikatz_tool
Impacket_tool
Cobalt_strike
Sliver_c2_tool
Beacon
Credential_stealing_technique

Industry:
Healthcare, Government, Energy

Geo:
Korean, Japanese, Korea, Canada, Japan

CVEs:
CVE-2022-47966 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- zohocorp manageengine access manager plus (4.3)
- zohocorp manageengine ad360 (<4.3)
- zohocorp manageengine adaudit plus (7.0)
- zohocorp manageengine admanager plus (7.1)
- zohocorp manageengine adselfservice plus (6.2)
have more...

TTPs:
Tactics: 2
Technics: 0

IOCs:
Path: 2
IP: 4
Hash: 5
Url: 7

Soft:
zimbra, 3proxy

Languages:
golang

Links:
https://github.com/Cisco-Talos/IOCs/upload/main/2023/08

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что Lazarus Group меняет свою тактику, все больше полагаясь на инструменты и фреймворки с открытым кодом на этапе первоначального доступа к атакам, в отличие от их строгого использования на этапе после компрометации. Так, в частности, были замечены случаи использования фреймворка DeimosC2, а также инструмента обратного туннелирования PuTTY Link в злонамеренных целях.
-----

Lazarus Group - северокорейский государственный агент, который в течение последнего года активно проводит кампании, направленные на поставщиков электроэнергии в США, Канаде и Японии. Они эксплуатируют уязвимость Log4j и используют различные семейства вредоносных программ, включая MagicRAT, VSingle, YamaBot и TigerRAT. В последнее время они стали использовать CVE-2022-47966, уязвимость ManageEngine ServiceDesk, для развертывания различных угроз. В дополнение к своей вредоносной программе QuiteRAT мы обнаружили, что Lazarus Group использует новую угрозу под названием CollectionRAT.

CollectionRAT обладает множеством стандартных возможностей RAT, в том числе способностью выполнять произвольные команды и управлять файлами на зараженной конечной точке. Анализ индикаторов компрометации (IOC) CollectionRAT позволил обнаружить связи с EarlyRAT - имплантом на базе PureBasic, который компания "Касперский" недавно приписала подгруппе Andariel. Мы обнаружили образец CollectionRAT, подписанный тем же сертификатом, который использовался для подписи старой версии EarlyRAT 2021 года. Это свидетельствует о том, что Lazarus Group меняет свою тактику, все больше полагаясь на инструменты и фреймворки с открытым исходным кодом на этапе первоначального доступа к атакам, в отличие от их строгого использования на этапе после компрометации.

Группа Lazarus Group была замечена в использовании фреймворка DeimosC2 в качестве средства первичного и постоянного доступа. DeimosC2 - это C2-фреймворк на языке GoLang, поддерживающий различные возможности RAT, аналогичные другим популярным C2-фреймворкам, таким как Cobalt Strike и Sliver. Помимо множества инструментов двойного назначения и фреймворков для постэксплойта, обнаруженных на хостинговой инфраструктуре Lazarus Group, мы обнаружили присутствие нового импланта, который был идентифицирован как маяк из фреймворка DeimosC2 с открытым кодом.

Кроме того, Lazarus Group была замечена в использовании инструмента обратного туннелирования PuTTY Link (Plink). Мы обнаружили, что теперь они генерируют вредоносные двоичные файлы Plink из исходного кода PuTTY, чтобы встроить строки команд обратного туннелирования в сам двоичный файл. Вредоносный Plink также создает мьютекс с именем Global\WindowsSvchost перед созданием удаленного туннеля, чтобы гарантировать, что между локальной машиной и C2 будет установлено только одно соединение.

#ParsedReport #CompletenessLow
24-08-2023

. Analysis of the activities of the "Snake" black production gang using WeChat to spread malicious code

https://www.antiy.cn/research/notice&report/research_report/SnakeTrojans_Analysis.html

Report completeness: Low

Actors/Campaigns:
Silver_fox (motivation: information_theft)
Snake

Threats:
Gh0st_rat
Beacon

Victims:
Wechat users

ChatGPT TTPs:
do not use without manual check
T1071.001, T1086, T1029, T1082, T1098, T1089.001, T1036.005

IOCs:
File: 2
Email: 1
IP: 42
Hash: 63

Soft:
wechat, remote desktop services, windows firewall

Algorithms:
xor

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Antiy CERT раскрыл метод, используемый бандой Snake для запуска троянцев удаленного управления через WeChat, и рекомендовал способы защиты от них.
-----

Банда Snake - это вредоносная интернет-организация, использующая для распространения вредоносных программ социальное ПО, вредоносное поисковое продвижение, фишинговые письма и другие каналы. Недавно Antiy CERT обнаружил новую волну атак "банды Snake", использующей WeChat для распространения вредоносных кодов. Злоумышленники использовали FTP-серверы для загрузки файлов, содержащих троянца удаленного управления Gh0st. Затем этот троянец загружался на хосты жертв с целью получения удаленного доступа и кражи ценной информации.

Antiy CERT раскрыл метод, используемый бандой Snake для запуска троянцев удаленного управления через WeChat. Банда набирает членов через "агентов", которые помогают осуществлять масштабное распространение вредоносных программ и сбор данных о своих целях. В результате анализа было обнаружено, что, получив удаленный контроль над хостом, злоумышленники могут проводить более точные фишинговые атаки на WeChat или учетные записи компании-цели.

В данной атаке использовалась вредоносная программа Gh0st Trojan, обладающая технологией обфускации, позволяющей противостоять анализу, а также функциями кражи данных из браузера, мониторинга кнопок и обнаружения антивирусов. Злоумышленники создали как минимум три FTP-сервера и развернули на них несколько троянцев Gh0st с различными серверами управления (Command and Control, C2).

Для эффективного обнаружения и уничтожения троянца удаленного управления компания Antiy Security предлагает установить оборудование для обнаружения угроз сетевого трафика и использовать систему Intelligent Endpoint Protection System (IEP). Специалисты по безопасности также рекомендуют загрузить инструмент Antiy Security Threat Troubleshooting Tool для точного и комплексного устранения угроз, существующих на хосте жертвы. Они также рекомендуют своевременно изолировать атакованный хост и защитить сайт до тех пор, пока инженер по безопасности не сможет проверить компьютер. Кроме того, рекомендуется своевременно обновлять библиотеку функций и библиотеку правил таких продуктов, как система защиты терминалов Zhijia и система обнаружения угроз морской разведки, а также настраивать стратегии контроля безопасности и сигнализации.

#ParsedReport #CompletenessLow
24-08-2023

DarkGate reloaded via malvertising and SEO poisoning campaigns

https://www.malwarebytes.com/blog/threat-intelligence/2023/08/darkgate-reloaded-via-malvertising-campaigns

Report completeness: Low

Actors/Campaigns:
0ktapus

Threats:
Seo_poisoning_technique
Darkgate
Credential_stealing_technique

IOCs:
File: 4
Domain: 7
IP: 4
Hash: 3

Languages:
autoit

Links:
https://github.com/esThreatIntelligence/RussianPanda/blob/main/darkgate\_config\_extractor.py
https://gist.github.com/0xToxin/43e25700510ad3cc6268994b56c9a710

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея данного текста заключается в том, что DarkGate - это многоцелевой набор вредоносных программ, который недавно был обновлен и активно распространяется через вредоносный спам, вредоносную рекламу и отравление поисковых систем. Полезная нагрузка, связанная с этими кампаниями, использует расширенную проверку отпечатков пальцев и техники уклонения для минимизации системного следа.
-----

DarkGate - это многоцелевой набор инструментов вредоносного ПО, впервые выявленный в 2018 году и недавно обновленный с новыми возможностями и функциями. В настоящее время обновленная версия DarkGate активно распространяется через вредоносный спам, вредоносную рекламу и отравление поисковых систем. В июле 2023 года мы наблюдали вредоносную рекламную кампанию, которая заманивала потенциальных жертв на мошеннический сайт, посвященный инструменту управления ИТ-системой Windows. Файл-обманка представлял собой инсталлятор MSI, содержащий скрипт AutoIT, в котором полезная нагрузка была обфусцирована, чтобы избежать обнаружения. Это похоже на то, как DarkGate распространялся в прошлом - через торрент-сайты и почтовые вложения.

В начале августа 2023 г. в блогах появились две записи, содержащие подробности о недавних атаках на DarkGate. Служба реагирования на инциденты компании Aon Stroz Friedberg столкнулась с группой, похожей на ScatteredSpider (UNC3944), использующей новую версию DarkGate, а исследователь 0xToxin написал о фишинговых письмах, распространяющих загрузчик, ведущий к DarkGate.

13 июля 2023 г. мы также наблюдали рекламную кампанию в Google, причем тот же угрожающий агент размещал вредоносную рекламу и в Bing. С помощью SEO-травления злоумышленники могут играть с системой ранжирования поисковых систем, чтобы обманом заставить пользователей посещать вредоносные сайты.

В полезных нагрузках, связанных с этими кампаниями, реализована расширенная проверка отпечатков пальцев, которая становится все более распространенной из-за простоты использования. Для распространения DarkGate с минимальным системным следом полезная нагрузка использует комбинацию методов уклонения. Антивирус Malwarebytes обнаруживает эту вредоносную программу как Backdoor.DarkGate, а наша веб-защита блокирует ее известные командно-контрольные серверы.

#ParsedReport #CompletenessLow
25-08-2023

Analysis of MS-SQL Server Proxyjacking Cases

https://asec.ahnlab.com/en/56350

Report completeness: Low

Threats:
Proxyjacking_technique
Loveminer
Iproyal_pawns_tool
Peer2profit_tool
Traffmonetizer_tool
Proxyrack_tool
Packetstream_tool
Log4shell_vuln
Sqlshell_tool
Xmrig_miner
Dropper/win.proxyware.c5471194

Victims:
Publicly accessible ms-sql servers

ChatGPT TTPs:
do not use without manual check
T1559.003, T1545.001, T1543.003, T1220.002, T1574.001, T1566.001

IOCs:
File: 13
Email: 1
Domain: 1
Hash: 8

Soft:
ms-sql

Algorithms:
zip

Functions:
p2p_start, GmpStart

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Центр реагирования на чрезвычайные ситуации в области безопасности АнЛаб (ASEC) недавно обнаружил новую атаку proxyjacking, направленную на плохо управляемые MS-SQL-серверы, в которой используется различное прокси-программное обеспечение таких компаний, как IPRoyal, Traffmonetizer, Proxyrack и PacketStream. Угрожающий агент, стоящий за этой атакой, перешел к использованию sdk.mdf от компании Peer2Profit, а также вредоносных программ-дропперов LoveMiner, XMRig и winupdate0.mdf.
-----

Центр реагирования на чрезвычайные ситуации в области безопасности АнЛаб (ASEC) недавно обнаружил новую атаку proxyjacking, направленную на плохо управляемые серверы MS-SQL. Этот тип атаки возникает, когда угрожающие лица получают доступ к системе и устанавливают вредоносное ПО, позволяющее им использовать пропускную способность системы в Интернете совместно с внешними источниками для получения финансовой выгоды. Угрожающий агент использует различные прокси-программы таких компаний, как IPRoyal, Traffmonetizer, Proxyrack и PacketStream, и компилирует свои вредоносные программы с помощью метода опережающей компиляции .NET Native (AOT).

Ранее ASEC исследовала другие атаки типа proxyjacking с использованием вредоносного ПО, замаскированного под обычные установочные файлы, атаки на уязвимость Log4Shell и атаки на SSH-серверы. По состоянию на июнь 2022 года угрожающий агент перешел к использованию sdk.mdf от компании Peer2Profit, который он загружает в системную память с помощью CLR-сборки под названием Tmp417C.tmp. Также используется программа LoveMiner, которая делится на загрузчик в виде CLR-сборки и загрузчик в виде CLR-сборки, и XMRig, который хранится во внутреннем ресурсе gmp.

В последнее время угрожающий агент создает вредоносные программы-дропперы под названием winupdate0.mdf, которые устанавливают на зараженные системы различные прокси-программы, такие как Traffmonetizer, IPRoyal, Proxyrack и PacketStream. Все эти программы устанавливаются в каталог %APPDATA%. Для выполнения IPRoyal Pawns необходимо указать адрес электронной почты и пароль, а Proxyrack требует ввести случайно сгенерированную строку device_id. PacketStream же относительно проще, он устанавливается по пути %APPDATA%\psexitnode.exe.

#ParsedReport #CompletenessHigh
25-08-2023

Flax Typhoon using legitimate software to quietly access Taiwanese organizations

https://www.microsoft.com/en-us/security/blog/2023/08/24/flax-typhoon-using-legitimate-software-to-quietly-access-taiwanese-organizations

Report completeness: High

Actors/Campaigns:
Flax_typhoon (motivation: cyber_espionage)
Storm-0558
Volt_typhoon (motivation: cyber_espionage)
Dev-0978
Ethereal_panda

Threats:
Lolbin_technique
Juicypotato_tool
Potato_tool
Chinachopper
Metasploit_tool
Mimikatz_tool
Badpotato_tool
Bitsadmin
Winrm_tool
Passthehash_technique
Credential_stealing_technique

Industry:
Education, Government

Geo:
Chinese, Taiwan, Asia, China, Taiwanese, Africa, America

CVEs:
CVE-2023-36884 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: 8.3
X-Force: Patch: Unavailable
Soft:
- microsoft word (2013, 2016)
- microsoft windows server 2008 (r2, -)
- microsoft windows server 2012 (r2, -)
- microsoft windows server 2016 (-)
- microsoft windows server 2019 (-)
have more...

TTPs:
Tactics: 5
Technics: 0

IOCs:
File: 5
IP: 12
Hash: 4
Domain: 3

Soft:
microsoft 365 defender, microsoft defender, microsoft word, microsoft defender for endpoint, softether, windows terminal, windows service, console window host, component object model, local security authority, have more...

Languages:
java

Links:
https://github.com/SoftEtherVPN/SoftEtherVPN\_Stable/blob/master/WARNING.TXT
https://github.com/BeichenDream/BadPotato
https://github.com/ohpe/juicy-potato
https://github.com/SoftEtherVPN/SoftEtherVPN\_Stable