#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Lockbit 3 - широко распространенный штамм вымогательского ПО, имеющий партнерскую программу и программу вознаграждения за ошибки. Компания GERT проанализировала конструктор для Lockbit 3 и обнаружила, что он используется не только группой разработчиков Lockbit, но и другими лицами.
-----

Lockbit - один из самых распространенных штаммов ransomware, который имеет партнерскую программу для тех, кто участвует в его распространении. Кроме того, существует программа вознаграждения исследователей безопасности, которые находят уязвимости, позволяющие расшифровывать файлы без уплаты выкупа. Lockbit v3, также известный как Lockbit Black, был впервые обнаружен в июне 2022 года. Он способен использовать зашифрованные исполняемые файлы со случайно сгенерированными паролями. В сентябре 2022 года произошла утечка билдера для Lockbit 3, позволяющего любому желающему создать собственную версию этой программы-рансома.

В ходе инцидента, проведенного компанией GERT, был обнаружен вариант Lockbit 3, используемый для шифрования критически важных систем. При вторжении использовалась тактика, аналогичная тем, что применяются восемью основными группами ransomware для разведки, сбора информации, сбора и развертывания. Процедура требования выкупа отличалась от той, которую обычно использует группа Lockbit. В записке с требованием выкупа указывалась сумма, которую необходимо заплатить за получение ключей, и направлялись сообщения в службу Tox и по электронной почте.

Команда GERT компании "Касперский" решила проанализировать сборщик Lockbit 3, чтобы понять методику его построения и выявить возможности дополнительного анализа. В ходе анализа были выявлены параметры, принудительно заложенные в вредоносную программу, такие как убийство сервисов, процессов, защитника и журналов, а также опции самоуничтожения и отсутствия выключения системы. 90% образцов настраивают развертывание сети с помощью PSEXEC или GPO и редко используют C2-коммуникации. 77 образцов не содержат ссылок на Lockbit, что позволяет предположить, что сборщик используется не оригинальной группой Lockbit.

#technique

Bypassing Bitlocker using a cheap logic analyzer on a Lenovo laptop

https://www.errno.fr/BypassingBitlocker

#technique

Abusing mhyprotect to kill AVs / EDRs / XDRs / Protected Processes.

https://github.com/zer0condition/mhydeath

#ParsedReport #CompletenessLow
28-08-2023

The Fraud Gala: Exploring a Recent BEC Campaign

https://blog.cluster25.duskrise.com/2023/08/25/the-fraud-gala-bec

Report completeness: Low

Actors/Campaigns:
Bec (motivation: cyber_criminal)

Victims:
Companies in the us, canada, and italy in the technology, financial, energy, and logistics sectors

Industry:
Foodtech, Energy, Financial, Logistic

Geo:
Canada, Italy

TTPs:
Tactics: 3
Technics: 5

IOCs:
Email: 4

Platforms:
intel

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Мошенничество с использованием BEC представляет собой серьезную угрозу для организаций любого размера, и организациям следует принять меры по защите от этого мошенничества.
-----

Мошенничества, связанные с компрометацией деловой электронной почты (BEC), представляют собой серьезную угрозу для организаций любого масштаба. Злоумышленники выдают себя за ключевых фигур в организации, таких как руководители или доверенные партнеры, чтобы обманом заставить сотрудников выполнить действия, выгодные злоумышленникам. К распространенным видам BEC-мошенничества относятся мошенничество с использованием имени генерального директора, когда мошенники выдают себя за высокопоставленных руководителей, требуя срочного перевода средств, и мошенничество с использованием фальшивых счетов, когда сотрудники, ответственные за обработку платежей, перенаправляют их на поддельные счета.

Недавно компания Cluster25 наблюдала BEC-кампанию, в которой в качестве приманки использовалось пожертвование в некоммерческий фонд, а в качестве CC указывался адрес электронной почты генерального директора. Атака заключалась в имитации разговора с генеральным директором компании, в ходе которого он соглашался на просьбу о пожертвовании. Мошенническое письмо содержало два PDF-файла: один с налоговой информацией, другой - со счетом-фактурой на сумму пожертвования и банковскими реквизитами.

Атаке подверглись компании из США, Канады и Италии, работающие в технологическом, финансовом, энергетическом и логистическом секторах. Все темы электронных писем касались торжественного мероприятия и возможности спонсорства. Злоумышленник использовал банковский счет, зарегистрированный на PNC Bank в Питтсбурге.

После выявления атаки BEC важно принять меры по снижению ущерба. Организации должны обеспечить осведомленность сотрудников о риске атак BEC, а также наличие соответствующих средств контроля и процедур для выявления и пресечения подозрительной активности. Например, сотрудники должны быть обучены распознавать признаки атаки BEC, такие как необычные запросы на перевод средств или изменения в процессах оплаты.

Наконец, организациям следует убедиться в наличии надежных планов реагирования на инциденты, позволяющих быстро обнаружить и отреагировать на любую BEC-атаку. Это должно включать наличие специальной группы, которая может расследовать любые подозрительные действия, а также возможность связаться с правоохранительными и другими соответствующими органами в случае необходимости.

Осознавая угрозу BEC-атак и принимая необходимые меры по защите своей организации, предприятия могут значительно снизить риски, связанные с этими мошенничествами.

#ParsedReport #CompletenessLow
28-08-2023

Rogue Scripts Are Exploiting OTP Verification APIs To Send Heaps of OTP SMSes, Hold The Potential Of Triggering Service Disruptions.

https://www.cloudsek.com/threatintelligence/rogue-scripts-are-exploiting-otp-verification-apis-to-send-heaps-of-otp-smses-hold-the-potential-of-triggering-service-disruptions

Report completeness: Low

Threats:
Sms_bomber

Victims:
Indian companies and their apis

Industry:
Telco, Financial

Geo:
Indonesia, Indian, India, Russia

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1188, T1097, T1498, T1568

Links:
https://github.com/TheSpeedX/TBomb
https://github.com/iMro0t/bomb3r
https://github.com/LimerBoy/Impulse/blob/master/tools/SMS/services.json
https://github.com/Priyans0830m/DDOS-BOMBER/tree/main
https://github.com/bhattsameer/Bombers/tree/master
https://github.com/ebankoff/Beast\_Bomber
https://github.com/anubhavanonymous/XLR8\_BOMBER

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Платформа XVigil компании CloudSEK помогает организациям выявлять вредоносную активность, связанную с SMS-бомберами, например, неконтролируемую рассылку SMS, которая может привести к перебоям в работе телекоммуникационных сервисов, захвату учетных записей, а также атаки на усталость или истощение MFA. Компаниям также следует использовать ограничение скорости и защиту CAPTCHA, а также информировать клиентов о рисках, связанных с вредоносными SMS-бомбардировщиками.
-----

Платформа XVigil компании CloudSEK, работающая на основе искусственного интеллекта, обнаружила на GitHub репозитории индийских компаний и их API, которые позволяют неограниченно использовать возможности OTP SMS. Это представляет опасность, поскольку позволяет осуществлять неконтролируемую SMS-рассылку без ограничений по скорости или CAPTCHA, что может быть использовано автоматизированными инструментами. Такое злоупотребление может привести к более высоким, чем ожидалось, затратам на API, юридическим последствиям и негативному влиянию на общественный имидж компании.

Угрожающие лица разработали автоматизированное программное обеспечение, которое использует конечные точки генерации OTP для отправки большого количества сообщений OTP. Это может привести к целенаправленному отключению телекоммуникационных услуг, а также к сценариям захвата учетных записей. Кроме того, это может привести к атакам типа "усталость" или "истощение" MFA.

Пользователь SMS-бомбардировщика указывает целевой телефонный номер или список телефонных номеров, на которые он хочет рассылать сообщения. Эта информация может быть введена вручную или импортирована из файла. Простой поисковый запрос в Google даст вам результаты по SMS-бомбардировщикам.

Платформа XVigil компании CloudSEK помогает организациям обнаружить подобные вредоносные действия, чтобы предотвратить злоупотребление API и защитить данные своих клиентов. Кроме того, компаниям следует использовать ограничение скорости и защиту CAPTCHA на конечных точках API, а также следить за необычной активностью. Кроме того, компании должны информировать своих клиентов о рисках, связанных с вредоносными SMS-бомбардировщиками, и о том, как их избежать.

#ParsedReport #CompletenessHigh
28-08-2023

HTML Smuggling Leads to Domain Wide Ransomware

https://thedfirreport.com/2023/08/28/html-smuggling-leads-to-domain-wide-ransomware

Report completeness: High

Actors/Campaigns:
Shathak
Wizard_spider

Threats:
Smuggling_technique
Nokoyawa
Icedid
Cobalt_strike
Adfind_tool
Nltest_tool
Beacon
Sessiongopher_tool
Netscan_tool
Meterpreter_tool
Process_injection_technique

Industry:
Financial

Geo:
Bulgaria

TTPs:
Tactics: 11
Technics: 31

IOCs:
IP: 6
File: 14
Command: 4
Path: 9
Domain: 3
Hash: 16

Soft:
active directory, psexec, windows file explorer, openssl, softperfect network scanner, whatsapp

Algorithms:
gzip, zip, base64

Win API:
DllRegisterServer, CreateRemoteThread

Languages:
php

Platforms:
x86

YARA: Found
SIGMA: Found

Links:
https://github.com/ufrisk/MemProcFS
https://github.com/Arvanaghi/SessionGopher/blob/master/SessionGopher.ps1

#ParsedReport #CompletenessLow
28-08-2023

JPCERT/CC Eyes

https://blogs.jpcert.or.jp/en/2023/08/maldocinpdf.html

Report completeness: Low

Threats:
Maldoc_in_pdf_technique

ChatGPT TTPs:
do not use without manual check
T1220.001, T1064, T1059.003

IOCs:
Url: 2
Hash: 3

Languages:
javascript

YARA: Found

Links:
https://github.com/DidierStevens/DidierStevensSuite/blob/master/pdfid.py
https://github.com/decalage2/oletools/wiki/olevba

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: MalDoc in PDF - это новая техника, используемая в атаке, которая обходит обнаружение путем встраивания вредоносного файла Word в PDF-файл, однако инструмент анализа OLEVBA все же может быть использован для противодействия этой технике.
-----

MalDoc in PDF - это новая техника, используемая в атаке, произошедшей в июле, которая обходит обнаружение путем встраивания вредоносного файла Word в файл PDF. Эта техника называется MalDoc in PDF и позволяет открыть вредоносный файл Word в Word, несмотря на то, что он имеет магические числа и файловую структуру PDF. Атака использует расширение файла .doc, поэтому, когда файл настроен на открытие в Word в настройках Windows, он открывается как файл Word.

При анализе файла, созданного MalDoc в формате PDF, скорее всего, средства анализа PDF, такие как pdfid, не смогут обнаружить его вредоносные части. Это связано с тем, что вредоносное поведение проявляется только при открытии файла в Word, но не при его открытии в программах просмотра PDF. Кроме того, поскольку файл распознается как PDF-файл, существующее антивирусное программное обеспечение может его не обнаружить.

Для борьбы с этой техникой все же можно использовать OLEVBA, инструмент анализа вредоносных файлов Word. OLEVBA выводит встроенные макросы, что позволяет проверить вредоносную часть файла по результатам анализа, проведенного инструментом. Однако MalDoc in PDF не обходит настройку, отключающую автоисполнение в Word макросов. Поэтому при проведении автоматизированного анализа вредоносного ПО с использованием тех или иных инструментов, "песочницы" и т.д. необходимо ориентироваться на результаты обнаружения.

#ParsedReport #CompletenessHigh
28-08-2023

Telekom Security. Shining some light on the DarkGate loader

https://github.security.telekom.com/2023/08/darkgate-loader.html

Report completeness: High

Threats:
Darkgate
Emotet
Junk_code_technique
Process_hollowing_technique
Rastafareye_actor

Industry:
Telco

Geo:
Spanish, Spain, Russian

TTPs:
Tactics: 7
Technics: 0

IOCs:
File: 1
Email: 1
Hash: 1

Soft:
curl, discord, telegram

Algorithms:
sha256, base64, xor

Win API:
VirtualProtect

Languages:
visual_basic, delphi, autoit

Platforms:
x64

YARA: Found

Links:
https://github.com/fossabot/myAut2Exe
https://github.com/huettenhain/dhrake
https://github.com/PonyPC/myaut\_contrib
https://github.com/telekom-security/malware\_analysis/blob/main/darkgate/extractor.py
https://github.com/crypto2011/IDR

#ParsedReport #ExtractedSchema

Classified images:
windows: 7, schema: 2, code: 3, dump: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: DarkGate - вредоносная программа, разработанная актером RastaFarEye и рекламируемая на киберпреступных форумах с июня 2021 года. Она содержит методы уклонения, антианалитические приемы и более 100 команд. Он запрограммирован и скомпилирован с использованием Delphi и в настоящее время доступен для аренды ограниченному числу аффилированных лиц.
-----

Недавно специалисты Telekom Security CTI обнаружили вредоносную кампанию, распространяемую через фишинговые письма и ложно приписываемую вредоносной программе Emotet. После дальнейшего анализа выяснилось, что на самом деле это DarkGate - вредоносная программа, разработанная человеком под ником RastaFarEye и рекламируемая на киберпреступных форумах с июня 2021 года. Вредоносная программа имеет встроенные методы уклонения, конфигурацию вредоносного кода и различные функции. В настоящее время она доступна для аренды ограниченному числу аффилированных лиц и, вероятно, будет представлять постоянную угрозу в ближайшем будущем.

Вредоносная полезная нагрузка поставляется в виде инсталляторов MSI или скриптов Visual Basic, причем последние содержат обфусцированный код, вызывающий двоичный файл curl для загрузки исполняемого файла AutoIt и файла скрипта с контролируемого злоумышленником сервера. Единственной целью скрипта является выполнение шелл-кода, содержащегося в виде шестнадцатеричной строки, в которую внедряется PE-файл в виде стековых строк. PE-файл зашифрован однобайтовым XOR-ключом и может быть расшифрован с помощью нестандартной алфавитной таблицы.

DarkGate содержит несколько механизмов уклонения от защиты и приемов антианализа, таких как запись своей копии на диск, создание ключа запуска в реестре для сохранения, поиск известных антивирусных продуктов, маскировка своего присутствия и внедрение в легитимные процессы Windows. Кроме того, он способен похищать пароли, cookies и другие конфиденциальные данные из системы жертвы, а также собирать произвольные файлы по запросу через канал C2.

Вредоносная программа содержит главный цикл C2, который опрашивает сервер C2 на предмет новых команд, выполняет их и отсылает результаты. Существует более 100 различных команд, среди которых сбор информации, самоуправление, самообновление, кража, криптомайнер, RAT и управление файлами. Разработчик предлагает различные ценовые модели для аренды вредоносной программы и ограничивает доступ не более чем 10 аффилированными лицами (слотами), чтобы сохранить конфиденциальность проекта.

Для выявления различных кампаний или филиалов исследователи могут отслеживать определенные комбинации конфигурационных флагов. Вредоносная программа запрограммирована и скомпилирована на Delphi и использует для извлечения конфиденциальных данных несколько легитимных свободно распространяемых инструментов, опубликованных компанией Nirsoft. Разработчик вложил в проект более 20 тыс. часов с 2017 года и владеет английским и испанским языками.

#ParsedReport #CompletenessLow
28-08-2023

dreaming blue bird

https://wezard4u-tistory-com.translate.goog/6562?_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=ru&_x_tr_pto=wapp

Report completeness: Low

Actors/Campaigns:
Kimsuky

Threats:
Powerstats
Abrisk
Starslord
Casdet

Industry:
Education

Geo:
Korea

IOCs:
File: 14
Hash: 3
Path: 2

Soft:
chrome, outlook, curl, windows com, component object model, windows registry

Algorithms:
sha1, crc-32, sha256

#ParsedReport #CompletenessMedium
28-08-2023

NPM Package Masquerading as Email Validator Contains C2 and Sophisticated Data Exfiltration. The attack chain

https://blog.phylum.io/npm-emails-validator-package-malware

Report completeness: Medium

Threats:
Cobalt_strike
Dnscat2_tool
Mettle
Beacon
Meterpreter_tool
Metasploit_tool
Supply_chain_technique

Victims:
Javascript developers

Geo:
French

IOCs:
File: 6
Domain: 2
Hash: 12

Soft:
docker, node.js, macos, android

Algorithms:
base64, pbkdf2

Functions:
w, resolveTxt

Languages:
javascript

Links:
https://github.com/marketplace/phylum-io
https://github.com/rapid7/metasploit-framework
https://github.com/rapid7/mettle
https://github.com/iagox86/dnscat2

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Этот последний инцидент знаменует собой еще одну сложную атаку на разработчиков JavaScript, в которой для утечки конфиденциальных данных используются записи DNS TXT, расшифровка и выполнение двоичных файлов. Хакерам, специалистам по исследованию данных и инженерам важно сохранять бдительность.
-----

Утром 24 августа автоматическая система обнаружения рисков компании Phylum выявила подозрительный пакет, опубликованный на npm под названием emails-helper. При более глубоком исследовании выяснилось, что этот пакет является частью сложной атаки с использованием Base64-кодированных и зашифрованных двоичных файлов. Ключи шифрования извлекаются из TXT-записи DNS, размещенной на удаленном сервере. Кроме того, с этого же сервера извлекается URL-адрес в шестнадцатеричной кодировке, который затем передается порожденным двоичным файлам. Конечный результат - развертывание мощных средств тестирования на проникновение, таких как dnscat2, mettle и Cobalt Strike Beacon.

Когда пользователь выполняет команду "npm install" для пакета, предустановочный хук в файле package.json немедленно запускает init.js. Этот минифицированный, обфусцированный и очень сложный кусок кода затем передает ключи шифрования и URL-адрес сервера C2 с удаленного сервера. Он также извлекает чувствительную информацию о машине и файлах и кодирует их. Затем происходит утечка данных через HTTP или DNS. Затем пакет декодирует и расшифровывает поставляемые с ним двоичные файлы и запускает соответствующий двоичный файл как можно тише, после чего завершает работу.

Этот последний инцидент знаменует собой очередную сложную атаку на цепочки поставок, направленную на разработчиков JavaScript. Обычно подобные атаки дают некоторые подсказки о конкретных разработчиках или организациях, против которых они направлены. Однако в данном случае такие индикаторы отсутствуют. Вредоносный пакет под названием "emails-helper", судя по всему, имеет удивительно общий и широкий охват, особенно если учесть его методы эксфильтрации данных и использование таких мощных инструментов, как dnscat2, mettle или Cobalt Strike Beacon.

Эта атака особенно сложна, поскольку предполагает получение ключей шифрования и URL-адресов C2-серверов через TXT-записи DNS, а затем расшифровку и выполнение двоичного файла "на лету". Подобные атаки представляют огромную угрозу для разработчиков, поэтому хакерам, специалистам по изучению данных и инженерам, отвечающим за выявление и уничтожение злоумышленников в цепочке поставок ПО, важно сохранять бдительность.

#ParsedReport #CompletenessMedium
25-08-2023

Adversary On The Defense: ANTIBOT.PW

https://inquest.net/blog/adversary-on-the-defense-antibot-pw

Report completeness: Medium

Threats:
Antibot
Cloaking_technique
Killbot
Phisher
Sendinbox_tool
Indoxploit_tool

Industry:
Financial

Geo:
Indonesian, Indonesia

ChatGPT TTPs:
do not use without manual check
T1572, T1133, T1543

IOCs:
Url: 4
Domain: 4
Hash: 2
File: 3
Email: 1
IP: 7

Functions:
get_client_ip

Languages:
php, javascript

Platforms:
apple

Links:
https://github.com/radenvodka/antibot
https://github.com/radenvodka

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Antibot - скрипт фильтрации веб-трафика, призванный отличать реальных пользователей от ботов, связанных с сервисами ANTIBOT.PW и Killbot, которые связаны с подпольными поставщиками программного обеспечения/сервисов, специализирующимися на фишинге и банковском мошенничестве. Разработчиком SendInbox и Antibot является Эка Сиахван (Eka Syahwan), генеральный директор (CEO) компании CilegonTech.
-----

Antibot - это скрипт фильтрации веб-трафика, предназначенный для отличия реальных пользователей от ботов. Изначально он был создан как простой PHP-скрипт для установки пользователем на веб-сервер и впервые появился в 2019 году. Он связан с сервисами ANTIBOT.PW и Killbot - двумя сервисами, ориентированными на злоупотребления, которые предлагают функции, полезные в контексте рассылки спама, перенаправления фишинговых URL, проверки фишинговых отправлений, проверки IP-адресов клиентов и кардинга. Antibot был замечен в исходном содержимом активных фишинговых страниц и связан с подпольными поставщиками программного обеспечения и услуг, специализирующимися на фишинге и банковском мошенничестве.

ANTIBOT.PW представляет собой платформу с веб-интерфейсом API и предлагается как коммерческий продукт, а также как более совершенный вариант сервиса под названием Killbot. Оператор ANTIBOT.PW и Killbot имеет опыт тесного взаимодействия с недобросовестными сообществами и разрабатывает программное обеспечение, способствующее преступной фишинговой и мошеннической деятельности в этих сообществах. Об этом свидетельствуют интеграция и партнерство с другими известными фишинговыми наборами и сервисами, такими как HijaIyh.

Регистрации доменов ANTIBOT.PW и Killbot были отмечены в апреле (KILLBOT.ORG) и июле (KILLBOT.PW). Хранилище файлов для Killbot размещено по адресу files.killbot.org, а скрипты этих двух сервисов практически идентичны. Для интеграции сервиса Killbot в фишинговые страницы используется клиентский контент, а отфильтрованные клиенты перенаправляются на легитимные сайты.

В 2018 году компания Deep End Research опубликовала анализ активности спам- и фишинговых кампаний в Индонезии, направленных на Apple, PayPal и другие ведущие бренды. Исследователи выявили связь между Экой Сяхван и этой индонезийской экосистемой спама и фишинга. Сиахван является разработчиком SendInbox и Antibot, причем до того, как эти программные проекты были удалены из сети, они размещались на его аккаунте @radenvodka на GitHub. Он является генеральным директором (CEO) компании CilegonTech и ранее вел блоги по адресам http://www.ekasyahwan.com/ и http://blog.antibot.pw/, а также личный блог RadenVodka по адресу https://radenvodka-id.blogspot.com/.

#ParsedReport #CompletenessLow
28-08-2023

Revisting BLISTER: New development of the BLISTER loader

https://www.elastic.co/security-labs/revisiting-blister-new-developments-of-the-blister-loader

Report completeness: Low

Threats:
Blister
Socgholish_loader
Mythic
Imminentmonitor_rat
Smuggling_technique
Process_injection_technique
Process_hollowing_technique

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036, T1140, T1059, T1086, T1082, T1033, T1053, T1064, T1035, T1071, have more...

IOCs:
File: 1
Hash: 1

Algorithms:
zip, xor, sha256

Win API:
GetComputerNameExW

YARA: Found

Links:
https://github.com/elastic/labs-releases/tree/main/indicators/blister
https://github.com/elastic/protections-artifacts/blob/main/behavior/rules/defense\_evasion\_windows\_error\_manager\_reporting\_masquerading.toml
https://github.com/elastic/protections-artifacts/blob/main/behavior/rules/defense\_evasion\_potential\_masquerading\_as\_windows\_error\_manager.toml
https://github.com/its-a-feature/Mythic
https://github.com/elastic/detection-rules/blob/ef432d0907548abf7699fa5d86150dc6b4133125/rules\_building\_block/defense\_evasion\_masquerading\_vlc\_dll.toml
https://github.com/elastic/labs-releases/tree/main/tools/blister
https://github.com/hasherezade/tiny\_tracer
https://github.com/elastic/protections-artifacts/blob/main/yara/rules/Windows\_Trojan\_Blister.yar
https://github.com/elastic/protections-artifacts/blob/main/behavior/rules/defense\_evasion\_potential\_operation\_via\_direct\_syscall.toml
https://github.com/ionescu007/HookingNirvana/blob/master/Esoteric%20Hooks.pdf
https://github.com/elastic/detection-rules/blob/main/rules/windows/persistence\_evasion\_registry\_startup\_shell\_folder\_modified.toml

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: BLISTER - это семейство вредоносных программ, которое за последние два года продемонстрировало высокую стойкость и адаптивность, получая обновления и набирая обороты. Его авторы добавляют новые функции и приемы для обхода обнаружения, такие как встраивание вредоносного кода в легитимные приложения и использование шифрования для защиты вредоносной программы. Кроме того, BLISTER использует различные методы защиты от отладки и обнаружения, а компания Elastic Security Labs выпустила экстрактор полезной нагрузки для детектирования последних вариантов BLISTER.
-----

Недавняя эволюция семейства вредоносных программ-загрузчиков BLISTER является примером упорства и адаптивности злоумышленников. Обнаруженный лабораторией Elastic Security Labs в 2021 году, BLISTER спустя два года продолжает получать обновления и набирать обороты в качестве новой угрозы. Об этом свидетельствует недавняя цепочка заражений, описанная специалистами подразделения 42 компании Palo Alto, которая распространяет BLISTER и внедряет полезную нагрузку из MYTHIC, открытого фреймворка Command and Control (C2).

Компания Elastic Security Labs обнаружила в природе множество новых вариантов BLISTER, и анализ этих образцов выявил ряд изменений. Авторы вредоносного ПО добавили новые функциональные возможности и тестируют различные методы обхода обнаружения, такие как встраивание вредоносного кода в другие легитимные приложения и использование шифрования для защиты вредоносного кода. В последних вариантах BLISTER также замечено использование библиотеки VLC Media Player для контрабанды вредоносного кода.

Кроме того, в BLISTER применен другой алгоритм хэширования, используемый в ядре и загрузчике, что может помочь обойти антивирусные продукты, использующие сигнатуры YARA. Кроме того, в BLISTER добавлена функция подбора ключей, позволяющая точно нацеливаться на сети жертв и снижающая уязвимость в средах VM/sandbox, а также возможность выполнения исключительно на выделенных машинах. После извлечения блока конфигурационных данных вредоносная программа извлекает доменное имя машины с помощью Windows API GetComputerNameExW и сравнивает полученный хэш с хэшем, присутствующим в ее конфигурации.

Кроме того, обновлена функциональность BLISTER по борьбе с отладкой по времени: в конфигурацию введено поле, позволяющее настраивать таймер сна. Наконец, BLISTER теперь может отсоединять все текущие инструменты процесса, что позволяет обойти механизмы обнаружения системных вызовов на пользовательском уровне, на которых основаны некоторые решения EDR. Для детектирования последних вариантов BLISTER и получения новых сведений компания Elastic Security Labs разработала эффективный экстрактор полезной нагрузки, доступный широкой публике.

#ParsedReport #CompletenessHigh
24-08-2023

Scarabs colon-izing vulnerable servers

https://www.welivesecurity.com/en/eset-research/scarabs-colon-izing-vulnerable-servers

Report completeness: High

Actors/Campaigns:
Cosmicbeetle

Threats:
Scarab
Spacecolon
Schacktool
Scinstaller_tool
Scservice_tool
Scransom
Zerologon_vuln
Impacket_tool
Clipbanker
Scpatcher_tool
Vega_locker
Zeppelin
Cobian_rat
Mimikatz_tool
Filecoder
Delshad
Credential_dumping_technique
Mamba
Metasploit_tool
Netscan_tool
Nlbrute_tool
Nmap_tool
Radmin_tool

Industry:
Financial, Entertainment

Geo:
Mexico, Polish, Poland, Turkish, Ukraine, Turkey, Thailand, Israel, Brazil

CVEs:
CVE-2020-1472 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- microsoft windows server 2008 (r2)
- microsoft windows server 2012 (r2, -)
- microsoft windows server 2016 (-, 1903, 1909, 2004)
- microsoft windows server 2019 (-)
- fedoraproject fedora (31, 32, 33)
have more...
CVE-2021-33764 [Vulners]
CVSS V3.1: 5.9,
Vulners: Exploitation: Unknown
X-Force: Risk: 5.9
X-Force: Patch: Official fix
Soft:
- microsoft windows server 2016 (-, 2004, 20h2)
- microsoft windows server 2008 (-)
- microsoft windows server 2012 (-)
- microsoft windows server 2019 (-)


TTPs:
Tactics: 12
Technics: 36

IOCs:
File: 20
Coin: 4
Path: 2
Hash: 15
Domain: 11
IP: 12

Soft:
windows explorer, windows file explorer, credssp, windows service, indows defender, s defender, chrome, google chrome, windows defender, sysinternals, have more...

Algorithms:
zip, aes-128, aes-cbc, 7zip, base64, aes

Functions:
GetTickCount

Win API:
MessageBox, etTickCount AP

Languages:
delphi, visual_basic, python, java

Platforms:
x64, x86

Links:
https://github.com/DavidXanatos/DiskCryptor
https://github.com/mRemoteNG/mRemoteNG
https://github.com/lab52io/StopDefender
https://github.com/fortra/impacket