#ParsedReport #CompletenessLow
28-08-2023

Rogue Scripts Are Exploiting OTP Verification APIs To Send Heaps of OTP SMSes, Hold The Potential Of Triggering Service Disruptions.

https://www.cloudsek.com/threatintelligence/rogue-scripts-are-exploiting-otp-verification-apis-to-send-heaps-of-otp-smses-hold-the-potential-of-triggering-service-disruptions

Report completeness: Low

Threats:
Sms_bomber

Victims:
Indian companies and their apis

Industry:
Telco, Financial

Geo:
Indonesia, Indian, India, Russia

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1188, T1097, T1498, T1568

Links:
https://github.com/TheSpeedX/TBomb
https://github.com/iMro0t/bomb3r
https://github.com/LimerBoy/Impulse/blob/master/tools/SMS/services.json
https://github.com/Priyans0830m/DDOS-BOMBER/tree/main
https://github.com/bhattsameer/Bombers/tree/master
https://github.com/ebankoff/Beast\_Bomber
https://github.com/anubhavanonymous/XLR8\_BOMBER

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Платформа XVigil компании CloudSEK помогает организациям выявлять вредоносную активность, связанную с SMS-бомберами, например, неконтролируемую рассылку SMS, которая может привести к перебоям в работе телекоммуникационных сервисов, захвату учетных записей, а также атаки на усталость или истощение MFA. Компаниям также следует использовать ограничение скорости и защиту CAPTCHA, а также информировать клиентов о рисках, связанных с вредоносными SMS-бомбардировщиками.
-----

Платформа XVigil компании CloudSEK, работающая на основе искусственного интеллекта, обнаружила на GitHub репозитории индийских компаний и их API, которые позволяют неограниченно использовать возможности OTP SMS. Это представляет опасность, поскольку позволяет осуществлять неконтролируемую SMS-рассылку без ограничений по скорости или CAPTCHA, что может быть использовано автоматизированными инструментами. Такое злоупотребление может привести к более высоким, чем ожидалось, затратам на API, юридическим последствиям и негативному влиянию на общественный имидж компании.

Угрожающие лица разработали автоматизированное программное обеспечение, которое использует конечные точки генерации OTP для отправки большого количества сообщений OTP. Это может привести к целенаправленному отключению телекоммуникационных услуг, а также к сценариям захвата учетных записей. Кроме того, это может привести к атакам типа "усталость" или "истощение" MFA.

Пользователь SMS-бомбардировщика указывает целевой телефонный номер или список телефонных номеров, на которые он хочет рассылать сообщения. Эта информация может быть введена вручную или импортирована из файла. Простой поисковый запрос в Google даст вам результаты по SMS-бомбардировщикам.

Платформа XVigil компании CloudSEK помогает организациям обнаружить подобные вредоносные действия, чтобы предотвратить злоупотребление API и защитить данные своих клиентов. Кроме того, компаниям следует использовать ограничение скорости и защиту CAPTCHA на конечных точках API, а также следить за необычной активностью. Кроме того, компании должны информировать своих клиентов о рисках, связанных с вредоносными SMS-бомбардировщиками, и о том, как их избежать.

#ParsedReport #CompletenessHigh
28-08-2023

HTML Smuggling Leads to Domain Wide Ransomware

https://thedfirreport.com/2023/08/28/html-smuggling-leads-to-domain-wide-ransomware

Report completeness: High

Actors/Campaigns:
Shathak
Wizard_spider

Threats:
Smuggling_technique
Nokoyawa
Icedid
Cobalt_strike
Adfind_tool
Nltest_tool
Beacon
Sessiongopher_tool
Netscan_tool
Meterpreter_tool
Process_injection_technique

Industry:
Financial

Geo:
Bulgaria

TTPs:
Tactics: 11
Technics: 31

IOCs:
IP: 6
File: 14
Command: 4
Path: 9
Domain: 3
Hash: 16

Soft:
active directory, psexec, windows file explorer, openssl, softperfect network scanner, whatsapp

Algorithms:
gzip, zip, base64

Win API:
DllRegisterServer, CreateRemoteThread

Languages:
php

Platforms:
x86

YARA: Found
SIGMA: Found

Links:
https://github.com/ufrisk/MemProcFS
https://github.com/Arvanaghi/SessionGopher/blob/master/SessionGopher.ps1

#ParsedReport #CompletenessLow
28-08-2023

JPCERT/CC Eyes

https://blogs.jpcert.or.jp/en/2023/08/maldocinpdf.html

Report completeness: Low

Threats:
Maldoc_in_pdf_technique

ChatGPT TTPs:
do not use without manual check
T1220.001, T1064, T1059.003

IOCs:
Url: 2
Hash: 3

Languages:
javascript

YARA: Found

Links:
https://github.com/DidierStevens/DidierStevensSuite/blob/master/pdfid.py
https://github.com/decalage2/oletools/wiki/olevba

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: MalDoc in PDF - это новая техника, используемая в атаке, которая обходит обнаружение путем встраивания вредоносного файла Word в PDF-файл, однако инструмент анализа OLEVBA все же может быть использован для противодействия этой технике.
-----

MalDoc in PDF - это новая техника, используемая в атаке, произошедшей в июле, которая обходит обнаружение путем встраивания вредоносного файла Word в файл PDF. Эта техника называется MalDoc in PDF и позволяет открыть вредоносный файл Word в Word, несмотря на то, что он имеет магические числа и файловую структуру PDF. Атака использует расширение файла .doc, поэтому, когда файл настроен на открытие в Word в настройках Windows, он открывается как файл Word.

При анализе файла, созданного MalDoc в формате PDF, скорее всего, средства анализа PDF, такие как pdfid, не смогут обнаружить его вредоносные части. Это связано с тем, что вредоносное поведение проявляется только при открытии файла в Word, но не при его открытии в программах просмотра PDF. Кроме того, поскольку файл распознается как PDF-файл, существующее антивирусное программное обеспечение может его не обнаружить.

Для борьбы с этой техникой все же можно использовать OLEVBA, инструмент анализа вредоносных файлов Word. OLEVBA выводит встроенные макросы, что позволяет проверить вредоносную часть файла по результатам анализа, проведенного инструментом. Однако MalDoc in PDF не обходит настройку, отключающую автоисполнение в Word макросов. Поэтому при проведении автоматизированного анализа вредоносного ПО с использованием тех или иных инструментов, "песочницы" и т.д. необходимо ориентироваться на результаты обнаружения.

#ParsedReport #CompletenessHigh
28-08-2023

Telekom Security. Shining some light on the DarkGate loader

https://github.security.telekom.com/2023/08/darkgate-loader.html

Report completeness: High

Threats:
Darkgate
Emotet
Junk_code_technique
Process_hollowing_technique
Rastafareye_actor

Industry:
Telco

Geo:
Spanish, Spain, Russian

TTPs:
Tactics: 7
Technics: 0

IOCs:
File: 1
Email: 1
Hash: 1

Soft:
curl, discord, telegram

Algorithms:
sha256, base64, xor

Win API:
VirtualProtect

Languages:
visual_basic, delphi, autoit

Platforms:
x64

YARA: Found

Links:
https://github.com/fossabot/myAut2Exe
https://github.com/huettenhain/dhrake
https://github.com/PonyPC/myaut\_contrib
https://github.com/telekom-security/malware\_analysis/blob/main/darkgate/extractor.py
https://github.com/crypto2011/IDR

#ParsedReport #ExtractedSchema

Classified images:
windows: 7, schema: 2, code: 3, dump: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: DarkGate - вредоносная программа, разработанная актером RastaFarEye и рекламируемая на киберпреступных форумах с июня 2021 года. Она содержит методы уклонения, антианалитические приемы и более 100 команд. Он запрограммирован и скомпилирован с использованием Delphi и в настоящее время доступен для аренды ограниченному числу аффилированных лиц.
-----

Недавно специалисты Telekom Security CTI обнаружили вредоносную кампанию, распространяемую через фишинговые письма и ложно приписываемую вредоносной программе Emotet. После дальнейшего анализа выяснилось, что на самом деле это DarkGate - вредоносная программа, разработанная человеком под ником RastaFarEye и рекламируемая на киберпреступных форумах с июня 2021 года. Вредоносная программа имеет встроенные методы уклонения, конфигурацию вредоносного кода и различные функции. В настоящее время она доступна для аренды ограниченному числу аффилированных лиц и, вероятно, будет представлять постоянную угрозу в ближайшем будущем.

Вредоносная полезная нагрузка поставляется в виде инсталляторов MSI или скриптов Visual Basic, причем последние содержат обфусцированный код, вызывающий двоичный файл curl для загрузки исполняемого файла AutoIt и файла скрипта с контролируемого злоумышленником сервера. Единственной целью скрипта является выполнение шелл-кода, содержащегося в виде шестнадцатеричной строки, в которую внедряется PE-файл в виде стековых строк. PE-файл зашифрован однобайтовым XOR-ключом и может быть расшифрован с помощью нестандартной алфавитной таблицы.

DarkGate содержит несколько механизмов уклонения от защиты и приемов антианализа, таких как запись своей копии на диск, создание ключа запуска в реестре для сохранения, поиск известных антивирусных продуктов, маскировка своего присутствия и внедрение в легитимные процессы Windows. Кроме того, он способен похищать пароли, cookies и другие конфиденциальные данные из системы жертвы, а также собирать произвольные файлы по запросу через канал C2.

Вредоносная программа содержит главный цикл C2, который опрашивает сервер C2 на предмет новых команд, выполняет их и отсылает результаты. Существует более 100 различных команд, среди которых сбор информации, самоуправление, самообновление, кража, криптомайнер, RAT и управление файлами. Разработчик предлагает различные ценовые модели для аренды вредоносной программы и ограничивает доступ не более чем 10 аффилированными лицами (слотами), чтобы сохранить конфиденциальность проекта.

Для выявления различных кампаний или филиалов исследователи могут отслеживать определенные комбинации конфигурационных флагов. Вредоносная программа запрограммирована и скомпилирована на Delphi и использует для извлечения конфиденциальных данных несколько легитимных свободно распространяемых инструментов, опубликованных компанией Nirsoft. Разработчик вложил в проект более 20 тыс. часов с 2017 года и владеет английским и испанским языками.

#ParsedReport #CompletenessLow
28-08-2023

dreaming blue bird

https://wezard4u-tistory-com.translate.goog/6562?_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=ru&_x_tr_pto=wapp

Report completeness: Low

Actors/Campaigns:
Kimsuky

Threats:
Powerstats
Abrisk
Starslord
Casdet

Industry:
Education

Geo:
Korea

IOCs:
File: 14
Hash: 3
Path: 2

Soft:
chrome, outlook, curl, windows com, component object model, windows registry

Algorithms:
sha1, crc-32, sha256

#ParsedReport #CompletenessMedium
28-08-2023

NPM Package Masquerading as Email Validator Contains C2 and Sophisticated Data Exfiltration. The attack chain

https://blog.phylum.io/npm-emails-validator-package-malware

Report completeness: Medium

Threats:
Cobalt_strike
Dnscat2_tool
Mettle
Beacon
Meterpreter_tool
Metasploit_tool
Supply_chain_technique

Victims:
Javascript developers

Geo:
French

IOCs:
File: 6
Domain: 2
Hash: 12

Soft:
docker, node.js, macos, android

Algorithms:
base64, pbkdf2

Functions:
w, resolveTxt

Languages:
javascript

Links:
https://github.com/marketplace/phylum-io
https://github.com/rapid7/metasploit-framework
https://github.com/rapid7/mettle
https://github.com/iagox86/dnscat2

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Этот последний инцидент знаменует собой еще одну сложную атаку на разработчиков JavaScript, в которой для утечки конфиденциальных данных используются записи DNS TXT, расшифровка и выполнение двоичных файлов. Хакерам, специалистам по исследованию данных и инженерам важно сохранять бдительность.
-----

Утром 24 августа автоматическая система обнаружения рисков компании Phylum выявила подозрительный пакет, опубликованный на npm под названием emails-helper. При более глубоком исследовании выяснилось, что этот пакет является частью сложной атаки с использованием Base64-кодированных и зашифрованных двоичных файлов. Ключи шифрования извлекаются из TXT-записи DNS, размещенной на удаленном сервере. Кроме того, с этого же сервера извлекается URL-адрес в шестнадцатеричной кодировке, который затем передается порожденным двоичным файлам. Конечный результат - развертывание мощных средств тестирования на проникновение, таких как dnscat2, mettle и Cobalt Strike Beacon.

Когда пользователь выполняет команду "npm install" для пакета, предустановочный хук в файле package.json немедленно запускает init.js. Этот минифицированный, обфусцированный и очень сложный кусок кода затем передает ключи шифрования и URL-адрес сервера C2 с удаленного сервера. Он также извлекает чувствительную информацию о машине и файлах и кодирует их. Затем происходит утечка данных через HTTP или DNS. Затем пакет декодирует и расшифровывает поставляемые с ним двоичные файлы и запускает соответствующий двоичный файл как можно тише, после чего завершает работу.

Этот последний инцидент знаменует собой очередную сложную атаку на цепочки поставок, направленную на разработчиков JavaScript. Обычно подобные атаки дают некоторые подсказки о конкретных разработчиках или организациях, против которых они направлены. Однако в данном случае такие индикаторы отсутствуют. Вредоносный пакет под названием "emails-helper", судя по всему, имеет удивительно общий и широкий охват, особенно если учесть его методы эксфильтрации данных и использование таких мощных инструментов, как dnscat2, mettle или Cobalt Strike Beacon.

Эта атака особенно сложна, поскольку предполагает получение ключей шифрования и URL-адресов C2-серверов через TXT-записи DNS, а затем расшифровку и выполнение двоичного файла "на лету". Подобные атаки представляют огромную угрозу для разработчиков, поэтому хакерам, специалистам по изучению данных и инженерам, отвечающим за выявление и уничтожение злоумышленников в цепочке поставок ПО, важно сохранять бдительность.

#ParsedReport #CompletenessMedium
25-08-2023

Adversary On The Defense: ANTIBOT.PW

https://inquest.net/blog/adversary-on-the-defense-antibot-pw

Report completeness: Medium

Threats:
Antibot
Cloaking_technique
Killbot
Phisher
Sendinbox_tool
Indoxploit_tool

Industry:
Financial

Geo:
Indonesian, Indonesia

ChatGPT TTPs:
do not use without manual check
T1572, T1133, T1543

IOCs:
Url: 4
Domain: 4
Hash: 2
File: 3
Email: 1
IP: 7

Functions:
get_client_ip

Languages:
php, javascript

Platforms:
apple

Links:
https://github.com/radenvodka/antibot
https://github.com/radenvodka

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Antibot - скрипт фильтрации веб-трафика, призванный отличать реальных пользователей от ботов, связанных с сервисами ANTIBOT.PW и Killbot, которые связаны с подпольными поставщиками программного обеспечения/сервисов, специализирующимися на фишинге и банковском мошенничестве. Разработчиком SendInbox и Antibot является Эка Сиахван (Eka Syahwan), генеральный директор (CEO) компании CilegonTech.
-----

Antibot - это скрипт фильтрации веб-трафика, предназначенный для отличия реальных пользователей от ботов. Изначально он был создан как простой PHP-скрипт для установки пользователем на веб-сервер и впервые появился в 2019 году. Он связан с сервисами ANTIBOT.PW и Killbot - двумя сервисами, ориентированными на злоупотребления, которые предлагают функции, полезные в контексте рассылки спама, перенаправления фишинговых URL, проверки фишинговых отправлений, проверки IP-адресов клиентов и кардинга. Antibot был замечен в исходном содержимом активных фишинговых страниц и связан с подпольными поставщиками программного обеспечения и услуг, специализирующимися на фишинге и банковском мошенничестве.

ANTIBOT.PW представляет собой платформу с веб-интерфейсом API и предлагается как коммерческий продукт, а также как более совершенный вариант сервиса под названием Killbot. Оператор ANTIBOT.PW и Killbot имеет опыт тесного взаимодействия с недобросовестными сообществами и разрабатывает программное обеспечение, способствующее преступной фишинговой и мошеннической деятельности в этих сообществах. Об этом свидетельствуют интеграция и партнерство с другими известными фишинговыми наборами и сервисами, такими как HijaIyh.

Регистрации доменов ANTIBOT.PW и Killbot были отмечены в апреле (KILLBOT.ORG) и июле (KILLBOT.PW). Хранилище файлов для Killbot размещено по адресу files.killbot.org, а скрипты этих двух сервисов практически идентичны. Для интеграции сервиса Killbot в фишинговые страницы используется клиентский контент, а отфильтрованные клиенты перенаправляются на легитимные сайты.

В 2018 году компания Deep End Research опубликовала анализ активности спам- и фишинговых кампаний в Индонезии, направленных на Apple, PayPal и другие ведущие бренды. Исследователи выявили связь между Экой Сяхван и этой индонезийской экосистемой спама и фишинга. Сиахван является разработчиком SendInbox и Antibot, причем до того, как эти программные проекты были удалены из сети, они размещались на его аккаунте @radenvodka на GitHub. Он является генеральным директором (CEO) компании CilegonTech и ранее вел блоги по адресам http://www.ekasyahwan.com/ и http://blog.antibot.pw/, а также личный блог RadenVodka по адресу https://radenvodka-id.blogspot.com/.

#ParsedReport #CompletenessLow
28-08-2023

Revisting BLISTER: New development of the BLISTER loader

https://www.elastic.co/security-labs/revisiting-blister-new-developments-of-the-blister-loader

Report completeness: Low

Threats:
Blister
Socgholish_loader
Mythic
Imminentmonitor_rat
Smuggling_technique
Process_injection_technique
Process_hollowing_technique

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036, T1140, T1059, T1086, T1082, T1033, T1053, T1064, T1035, T1071, have more...

IOCs:
File: 1
Hash: 1

Algorithms:
zip, xor, sha256

Win API:
GetComputerNameExW

YARA: Found

Links:
https://github.com/elastic/labs-releases/tree/main/indicators/blister
https://github.com/elastic/protections-artifacts/blob/main/behavior/rules/defense\_evasion\_windows\_error\_manager\_reporting\_masquerading.toml
https://github.com/elastic/protections-artifacts/blob/main/behavior/rules/defense\_evasion\_potential\_masquerading\_as\_windows\_error\_manager.toml
https://github.com/its-a-feature/Mythic
https://github.com/elastic/detection-rules/blob/ef432d0907548abf7699fa5d86150dc6b4133125/rules\_building\_block/defense\_evasion\_masquerading\_vlc\_dll.toml
https://github.com/elastic/labs-releases/tree/main/tools/blister
https://github.com/hasherezade/tiny\_tracer
https://github.com/elastic/protections-artifacts/blob/main/yara/rules/Windows\_Trojan\_Blister.yar
https://github.com/elastic/protections-artifacts/blob/main/behavior/rules/defense\_evasion\_potential\_operation\_via\_direct\_syscall.toml
https://github.com/ionescu007/HookingNirvana/blob/master/Esoteric%20Hooks.pdf
https://github.com/elastic/detection-rules/blob/main/rules/windows/persistence\_evasion\_registry\_startup\_shell\_folder\_modified.toml

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: BLISTER - это семейство вредоносных программ, которое за последние два года продемонстрировало высокую стойкость и адаптивность, получая обновления и набирая обороты. Его авторы добавляют новые функции и приемы для обхода обнаружения, такие как встраивание вредоносного кода в легитимные приложения и использование шифрования для защиты вредоносной программы. Кроме того, BLISTER использует различные методы защиты от отладки и обнаружения, а компания Elastic Security Labs выпустила экстрактор полезной нагрузки для детектирования последних вариантов BLISTER.
-----

Недавняя эволюция семейства вредоносных программ-загрузчиков BLISTER является примером упорства и адаптивности злоумышленников. Обнаруженный лабораторией Elastic Security Labs в 2021 году, BLISTER спустя два года продолжает получать обновления и набирать обороты в качестве новой угрозы. Об этом свидетельствует недавняя цепочка заражений, описанная специалистами подразделения 42 компании Palo Alto, которая распространяет BLISTER и внедряет полезную нагрузку из MYTHIC, открытого фреймворка Command and Control (C2).

Компания Elastic Security Labs обнаружила в природе множество новых вариантов BLISTER, и анализ этих образцов выявил ряд изменений. Авторы вредоносного ПО добавили новые функциональные возможности и тестируют различные методы обхода обнаружения, такие как встраивание вредоносного кода в другие легитимные приложения и использование шифрования для защиты вредоносного кода. В последних вариантах BLISTER также замечено использование библиотеки VLC Media Player для контрабанды вредоносного кода.

Кроме того, в BLISTER применен другой алгоритм хэширования, используемый в ядре и загрузчике, что может помочь обойти антивирусные продукты, использующие сигнатуры YARA. Кроме того, в BLISTER добавлена функция подбора ключей, позволяющая точно нацеливаться на сети жертв и снижающая уязвимость в средах VM/sandbox, а также возможность выполнения исключительно на выделенных машинах. После извлечения блока конфигурационных данных вредоносная программа извлекает доменное имя машины с помощью Windows API GetComputerNameExW и сравнивает полученный хэш с хэшем, присутствующим в ее конфигурации.

Кроме того, обновлена функциональность BLISTER по борьбе с отладкой по времени: в конфигурацию введено поле, позволяющее настраивать таймер сна. Наконец, BLISTER теперь может отсоединять все текущие инструменты процесса, что позволяет обойти механизмы обнаружения системных вызовов на пользовательском уровне, на которых основаны некоторые решения EDR. Для детектирования последних вариантов BLISTER и получения новых сведений компания Elastic Security Labs разработала эффективный экстрактор полезной нагрузки, доступный широкой публике.

#ParsedReport #CompletenessHigh
24-08-2023

Scarabs colon-izing vulnerable servers

https://www.welivesecurity.com/en/eset-research/scarabs-colon-izing-vulnerable-servers

Report completeness: High

Actors/Campaigns:
Cosmicbeetle

Threats:
Scarab
Spacecolon
Schacktool
Scinstaller_tool
Scservice_tool
Scransom
Zerologon_vuln
Impacket_tool
Clipbanker
Scpatcher_tool
Vega_locker
Zeppelin
Cobian_rat
Mimikatz_tool
Filecoder
Delshad
Credential_dumping_technique
Mamba
Metasploit_tool
Netscan_tool
Nlbrute_tool
Nmap_tool
Radmin_tool

Industry:
Financial, Entertainment

Geo:
Mexico, Polish, Poland, Turkish, Ukraine, Turkey, Thailand, Israel, Brazil

CVEs:
CVE-2020-1472 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- microsoft windows server 2008 (r2)
- microsoft windows server 2012 (r2, -)
- microsoft windows server 2016 (-, 1903, 1909, 2004)
- microsoft windows server 2019 (-)
- fedoraproject fedora (31, 32, 33)
have more...
CVE-2021-33764 [Vulners]
CVSS V3.1: 5.9,
Vulners: Exploitation: Unknown
X-Force: Risk: 5.9
X-Force: Patch: Official fix
Soft:
- microsoft windows server 2016 (-, 2004, 20h2)
- microsoft windows server 2008 (-)
- microsoft windows server 2012 (-)
- microsoft windows server 2019 (-)


TTPs:
Tactics: 12
Technics: 36

IOCs:
File: 20
Coin: 4
Path: 2
Hash: 15
Domain: 11
IP: 12

Soft:
windows explorer, windows file explorer, credssp, windows service, indows defender, s defender, chrome, google chrome, windows defender, sysinternals, have more...

Algorithms:
zip, aes-128, aes-cbc, 7zip, base64, aes

Functions:
GetTickCount

Win API:
MessageBox, etTickCount AP

Languages:
delphi, visual_basic, python, java

Platforms:
x64, x86

Links:
https://github.com/DavidXanatos/DiskCryptor
https://github.com/mRemoteNG/mRemoteNG
https://github.com/lab52io/StopDefender
https://github.com/fortra/impacket

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Spacecolon - это набор инструментов, используемый компанией CosmicBeetle для развертывания на уязвимых серверах программ-вымогателей Scarab и вредоносных программ ClipBanker. Он постоянно совершенствуется, и в настоящее время CosmicBeetle разрабатывает новую программу-вымогатель под названием ScRansom. Для предотвращения подобных атак необходимо поддерживать системы в безопасном и актуальном состоянии.
-----

Spacecolon - это набор инструментов, используемый CosmicBeetle, активным участником угроз, для развертывания программы Scarab ransomware на уязвимых серверах. Spacecolon был впервые замечен в мае 2020 года и состоит из трех компонентов Delphi: ScHackTool, ScInstaller и ScService. Для получения доступа к целевым системам операторы CosmicBeetle, скорее всего, используют уязвимость ZeroLogon или грубый перебор учетных данных RDP. Жертвы CosmicBeetle разбросаны по всему миру, и среди них нет четкой схемы целевой аудитории.

Scarab - это написанная на Delphi программа-вымогатель, содержащая заметные пересечения в коде с семействами Buran и VegaLocker. Он опирается на встроенную конфигурацию, которая определяет расширение файлов для шифрования, имена файлов, список расширений файлов для шифрования и сообщение о выкупе. Кроме того, Scarab использует ClipBanker, который отслеживает содержимое буфера обмена и изменяет содержимое, которое, по его мнению, может быть адресом криптовалютного кошелька, на контролируемый злоумышленником. По данным телеметрии ESET, некоторые цели были скомпрометированы с помощью перебора RDP, а другие - с помощью уязвимости ZeroLogon. Также возможно, что CosmicBeetle использует уязвимость в FortiOS для получения начального доступа.

ScHackTool - основной компонент Spacecolon, используемый его операторами. Он сильно зависит от графического интерфейса и позволяет загружать и исполнять дополнительные инструменты на скомпрометированной машине по требованию. ScHackTool использует изящный прием против эмуляции, маскируясь под сообщение об ошибке. ScInstaller - небольшой Delphi-инструмент, используемый для установки ScService, который выступает в роли простого бэкдора. ScService взаимодействует с C&C-сервером по протоколу TCP на порту 443. Протокол очень прост, и ScService может выполнять произвольные команды и исполняемые файлы, открывать и закрывать SSH-туннель, получать информацию о машине и обновлять INI-файл. В марте 2023 года ScService претерпел заметные изменения в развитии.

Spacecolon находится в стадии разработки, а CosmicBeetle - в процессе создания новой программы-вымогателя ScRansom. В этом блоге мы рассмотрели Spacecolon, его компоненты, операторов и используемые им методы. Хотя CosmicBeetle не выбирает цели, он использует в своих интересах серверы, на которых отсутствуют критические обновления безопасности. Spacecolon представляет собой опасную угрозу, и для предотвращения атак необходимо поддерживать системы в безопасном и актуальном состоянии.

#technique

Fastjson2 Blacklist Bypass and Exploitation

https://paper-seebug-org.translate.goog/3017/?_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=ru&_x_tr_pto=wapp

#technique

DebugAmsi is another way to bypass AMSI through the Windows process debugger mechanism.

https://github.com/MzHmO/DebugAmsi

#ParsedReport #CompletenessMedium
29-08-2023

Peeling Back the Layers of RemcosRat Malware

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/peeling-back-the-layers-of-remcosrat-malware

Report completeness: Medium

Threats:
Remcos_rat
Pe_injection_technique
Syk_crypter
Process_injection_technique

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1086, T1117, T1218, T1045, T1140, T1056, T1035, T1053, T1082, T1083, have more...

IOCs:
Command: 1
File: 6
IP: 1
Hash: 5

Soft:
windows defender, microsoft visual c++

Algorithms:
rc4, zip, base64, xor

Functions:
GetDelegateForFunctionPointer

Win API:
GetThreadContext, SetThreadContext, ReadProcessMemory, VirtualAllocEx, NtUnmapViewOfSection, WriteProcessMemory, ResumeThread

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Специалисты McAfee Labs наблюдали вредоносную кампанию Remcos RAT, в ходе которой сильно обфусцированные VBS-файлы доставлялись по фишинговым письмам с вложениями ZIP/RAR. Этот сложный троянец удаленного доступа (RAT) использовал различные методы обфускации и защиты от отладки, чтобы избежать обнаружения, и специалисты McAfee Labs успешно распаковали вредоносную полезную нагрузку. McAfee предлагает надежное программное обеспечение для обнаружения и защиты от угроз, подобных RemcosRat.
-----

Специалисты McAfee Labs обнаружили вредоносную кампанию Remcos RAT, в рамках которой сильно обфусцированные VBS-файлы доставлялись по фишинговым письмам с вложениями ZIP/RAR. Этот сложный троянец удаленного доступа (RAT) предоставляет злоумышленнику черный доступ к зараженной системе и собирает различную конфиденциальную информацию. Для того чтобы избежать обнаружения, Remcos использует различные методы обфускации и защиты от отладки.

Логика деобфускации сначала ищет любые переменные, содержащие mdR, в данном случае это MaximumDriveCount. Путем выделения символов из определенных позиций (3, 11, 2) выявляется строка iex (Invoke-Expression). Вредоносная программа обфусцирует команду, чтобы избежать статического обнаружения. Для выполнения расшифрованных DLL в памяти вредоносная программа использует отражающую загрузку кода. Это подразумевает внедрение и выполнение расшифрованного кода в одном и том же процессе с использованием параметра load в функции NewLateBinding.LateGet().

Расшифрованная DLL dGXsvRf.dll - это троянец SykCrypter, который использует ресурс SYKSBIKO, содержащий зашифрованную полезную нагрузку. SykCrypter расшифровывает конечную полезную нагрузку и множество строк, связанных с определением наличия антивирусного ПО, методами персистенции и антиотладочными методами. Для расшифровки данных используется простая операция XOR с ключом 170 и текущим индексом. Кроме того, вредоносная программа сбрасывает свою копию в папку %appdata% с помощью команды cmd. Для сохранения перезагрузки системы вредоносная программа создает в папке Documents файл быстрого доступа с расширением .pif, а также создает запись в реестре Run key.

SykCrypter DLL расшифровывает и загружает файл .NET и вызывает свою функцию GetDelegateForFunctionPointer, создавая делегирование всем API из kernel32 и NTDll.dll с помощью одного и того же метода. Он загружает GetThreadContext, SetThreadContext, ReadProcessMemory, VirtualAllocEx, NtUnmapViewOfSection и другие. Конфигурационный файл Remcos присутствует в RCData SETTINGS, который зашифрован алгоритмом RC4. Он содержит информацию о C2 (IP-адрес и номер порта), мьютекс, созданный вредоносной программой, и другие сведения о конфигурации. Эта вредоносная программа способна собирать информацию из различных приложений, таких как браузеры, почтовые клиенты, криптовалютные кошельки и т.д. Кроме того, она обеспечивает удаленный доступ для злоумышленника и может выступать в качестве дроппера для других вредоносных программ.

Специалисты McAfee Labs успешно распаковали вредоносную кампанию Remcos RAT и обнаружили, как она загружает и исполняет сценарии VBS и PowerShell, разворачивает различные уровни и загружает конечную полезную нагрузку Remcos для удаленного доступа. Компания McAfee стремится предоставить своим клиентам надежную и эффективную защиту от угроз, которая обнаруживает и защищает от таких угроз, как RemcosRat и многих других семейств. Наше программное обеспечение для обеспечения безопасности использует комбинацию сигнатур, машинного обучения, анализа угроз и поведенческих методов обнаружения для выявления и пресечения угроз, чтобы обеспечить вашу безопасность.