#ParsedReport #CompletenessLow
28-08-2023

Revisting BLISTER: New development of the BLISTER loader

https://www.elastic.co/security-labs/revisiting-blister-new-developments-of-the-blister-loader

Report completeness: Low

Threats:
Blister
Socgholish_loader
Mythic
Imminentmonitor_rat
Smuggling_technique
Process_injection_technique
Process_hollowing_technique

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036, T1140, T1059, T1086, T1082, T1033, T1053, T1064, T1035, T1071, have more...

IOCs:
File: 1
Hash: 1

Algorithms:
zip, xor, sha256

Win API:
GetComputerNameExW

YARA: Found

Links:
https://github.com/elastic/labs-releases/tree/main/indicators/blister
https://github.com/elastic/protections-artifacts/blob/main/behavior/rules/defense\_evasion\_windows\_error\_manager\_reporting\_masquerading.toml
https://github.com/elastic/protections-artifacts/blob/main/behavior/rules/defense\_evasion\_potential\_masquerading\_as\_windows\_error\_manager.toml
https://github.com/its-a-feature/Mythic
https://github.com/elastic/detection-rules/blob/ef432d0907548abf7699fa5d86150dc6b4133125/rules\_building\_block/defense\_evasion\_masquerading\_vlc\_dll.toml
https://github.com/elastic/labs-releases/tree/main/tools/blister
https://github.com/hasherezade/tiny\_tracer
https://github.com/elastic/protections-artifacts/blob/main/yara/rules/Windows\_Trojan\_Blister.yar
https://github.com/elastic/protections-artifacts/blob/main/behavior/rules/defense\_evasion\_potential\_operation\_via\_direct\_syscall.toml
https://github.com/ionescu007/HookingNirvana/blob/master/Esoteric%20Hooks.pdf
https://github.com/elastic/detection-rules/blob/main/rules/windows/persistence\_evasion\_registry\_startup\_shell\_folder\_modified.toml

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: BLISTER - это семейство вредоносных программ, которое за последние два года продемонстрировало высокую стойкость и адаптивность, получая обновления и набирая обороты. Его авторы добавляют новые функции и приемы для обхода обнаружения, такие как встраивание вредоносного кода в легитимные приложения и использование шифрования для защиты вредоносной программы. Кроме того, BLISTER использует различные методы защиты от отладки и обнаружения, а компания Elastic Security Labs выпустила экстрактор полезной нагрузки для детектирования последних вариантов BLISTER.
-----

Недавняя эволюция семейства вредоносных программ-загрузчиков BLISTER является примером упорства и адаптивности злоумышленников. Обнаруженный лабораторией Elastic Security Labs в 2021 году, BLISTER спустя два года продолжает получать обновления и набирать обороты в качестве новой угрозы. Об этом свидетельствует недавняя цепочка заражений, описанная специалистами подразделения 42 компании Palo Alto, которая распространяет BLISTER и внедряет полезную нагрузку из MYTHIC, открытого фреймворка Command and Control (C2).

Компания Elastic Security Labs обнаружила в природе множество новых вариантов BLISTER, и анализ этих образцов выявил ряд изменений. Авторы вредоносного ПО добавили новые функциональные возможности и тестируют различные методы обхода обнаружения, такие как встраивание вредоносного кода в другие легитимные приложения и использование шифрования для защиты вредоносного кода. В последних вариантах BLISTER также замечено использование библиотеки VLC Media Player для контрабанды вредоносного кода.

Кроме того, в BLISTER применен другой алгоритм хэширования, используемый в ядре и загрузчике, что может помочь обойти антивирусные продукты, использующие сигнатуры YARA. Кроме того, в BLISTER добавлена функция подбора ключей, позволяющая точно нацеливаться на сети жертв и снижающая уязвимость в средах VM/sandbox, а также возможность выполнения исключительно на выделенных машинах. После извлечения блока конфигурационных данных вредоносная программа извлекает доменное имя машины с помощью Windows API GetComputerNameExW и сравнивает полученный хэш с хэшем, присутствующим в ее конфигурации.

Кроме того, обновлена функциональность BLISTER по борьбе с отладкой по времени: в конфигурацию введено поле, позволяющее настраивать таймер сна. Наконец, BLISTER теперь может отсоединять все текущие инструменты процесса, что позволяет обойти механизмы обнаружения системных вызовов на пользовательском уровне, на которых основаны некоторые решения EDR. Для детектирования последних вариантов BLISTER и получения новых сведений компания Elastic Security Labs разработала эффективный экстрактор полезной нагрузки, доступный широкой публике.

#ParsedReport #CompletenessHigh
24-08-2023

Scarabs colon-izing vulnerable servers

https://www.welivesecurity.com/en/eset-research/scarabs-colon-izing-vulnerable-servers

Report completeness: High

Actors/Campaigns:
Cosmicbeetle

Threats:
Scarab
Spacecolon
Schacktool
Scinstaller_tool
Scservice_tool
Scransom
Zerologon_vuln
Impacket_tool
Clipbanker
Scpatcher_tool
Vega_locker
Zeppelin
Cobian_rat
Mimikatz_tool
Filecoder
Delshad
Credential_dumping_technique
Mamba
Metasploit_tool
Netscan_tool
Nlbrute_tool
Nmap_tool
Radmin_tool

Industry:
Financial, Entertainment

Geo:
Mexico, Polish, Poland, Turkish, Ukraine, Turkey, Thailand, Israel, Brazil

CVEs:
CVE-2020-1472 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- microsoft windows server 2008 (r2)
- microsoft windows server 2012 (r2, -)
- microsoft windows server 2016 (-, 1903, 1909, 2004)
- microsoft windows server 2019 (-)
- fedoraproject fedora (31, 32, 33)
have more...
CVE-2021-33764 [Vulners]
CVSS V3.1: 5.9,
Vulners: Exploitation: Unknown
X-Force: Risk: 5.9
X-Force: Patch: Official fix
Soft:
- microsoft windows server 2016 (-, 2004, 20h2)
- microsoft windows server 2008 (-)
- microsoft windows server 2012 (-)
- microsoft windows server 2019 (-)


TTPs:
Tactics: 12
Technics: 36

IOCs:
File: 20
Coin: 4
Path: 2
Hash: 15
Domain: 11
IP: 12

Soft:
windows explorer, windows file explorer, credssp, windows service, indows defender, s defender, chrome, google chrome, windows defender, sysinternals, have more...

Algorithms:
zip, aes-128, aes-cbc, 7zip, base64, aes

Functions:
GetTickCount

Win API:
MessageBox, etTickCount AP

Languages:
delphi, visual_basic, python, java

Platforms:
x64, x86

Links:
https://github.com/DavidXanatos/DiskCryptor
https://github.com/mRemoteNG/mRemoteNG
https://github.com/lab52io/StopDefender
https://github.com/fortra/impacket

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Spacecolon - это набор инструментов, используемый компанией CosmicBeetle для развертывания на уязвимых серверах программ-вымогателей Scarab и вредоносных программ ClipBanker. Он постоянно совершенствуется, и в настоящее время CosmicBeetle разрабатывает новую программу-вымогатель под названием ScRansom. Для предотвращения подобных атак необходимо поддерживать системы в безопасном и актуальном состоянии.
-----

Spacecolon - это набор инструментов, используемый CosmicBeetle, активным участником угроз, для развертывания программы Scarab ransomware на уязвимых серверах. Spacecolon был впервые замечен в мае 2020 года и состоит из трех компонентов Delphi: ScHackTool, ScInstaller и ScService. Для получения доступа к целевым системам операторы CosmicBeetle, скорее всего, используют уязвимость ZeroLogon или грубый перебор учетных данных RDP. Жертвы CosmicBeetle разбросаны по всему миру, и среди них нет четкой схемы целевой аудитории.

Scarab - это написанная на Delphi программа-вымогатель, содержащая заметные пересечения в коде с семействами Buran и VegaLocker. Он опирается на встроенную конфигурацию, которая определяет расширение файлов для шифрования, имена файлов, список расширений файлов для шифрования и сообщение о выкупе. Кроме того, Scarab использует ClipBanker, который отслеживает содержимое буфера обмена и изменяет содержимое, которое, по его мнению, может быть адресом криптовалютного кошелька, на контролируемый злоумышленником. По данным телеметрии ESET, некоторые цели были скомпрометированы с помощью перебора RDP, а другие - с помощью уязвимости ZeroLogon. Также возможно, что CosmicBeetle использует уязвимость в FortiOS для получения начального доступа.

ScHackTool - основной компонент Spacecolon, используемый его операторами. Он сильно зависит от графического интерфейса и позволяет загружать и исполнять дополнительные инструменты на скомпрометированной машине по требованию. ScHackTool использует изящный прием против эмуляции, маскируясь под сообщение об ошибке. ScInstaller - небольшой Delphi-инструмент, используемый для установки ScService, который выступает в роли простого бэкдора. ScService взаимодействует с C&C-сервером по протоколу TCP на порту 443. Протокол очень прост, и ScService может выполнять произвольные команды и исполняемые файлы, открывать и закрывать SSH-туннель, получать информацию о машине и обновлять INI-файл. В марте 2023 года ScService претерпел заметные изменения в развитии.

Spacecolon находится в стадии разработки, а CosmicBeetle - в процессе создания новой программы-вымогателя ScRansom. В этом блоге мы рассмотрели Spacecolon, его компоненты, операторов и используемые им методы. Хотя CosmicBeetle не выбирает цели, он использует в своих интересах серверы, на которых отсутствуют критические обновления безопасности. Spacecolon представляет собой опасную угрозу, и для предотвращения атак необходимо поддерживать системы в безопасном и актуальном состоянии.

#technique

Fastjson2 Blacklist Bypass and Exploitation

https://paper-seebug-org.translate.goog/3017/?_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=ru&_x_tr_pto=wapp

#technique

DebugAmsi is another way to bypass AMSI through the Windows process debugger mechanism.

https://github.com/MzHmO/DebugAmsi

#ParsedReport #CompletenessMedium
29-08-2023

Peeling Back the Layers of RemcosRat Malware

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/peeling-back-the-layers-of-remcosrat-malware

Report completeness: Medium

Threats:
Remcos_rat
Pe_injection_technique
Syk_crypter
Process_injection_technique

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1086, T1117, T1218, T1045, T1140, T1056, T1035, T1053, T1082, T1083, have more...

IOCs:
Command: 1
File: 6
IP: 1
Hash: 5

Soft:
windows defender, microsoft visual c++

Algorithms:
rc4, zip, base64, xor

Functions:
GetDelegateForFunctionPointer

Win API:
GetThreadContext, SetThreadContext, ReadProcessMemory, VirtualAllocEx, NtUnmapViewOfSection, WriteProcessMemory, ResumeThread

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Специалисты McAfee Labs наблюдали вредоносную кампанию Remcos RAT, в ходе которой сильно обфусцированные VBS-файлы доставлялись по фишинговым письмам с вложениями ZIP/RAR. Этот сложный троянец удаленного доступа (RAT) использовал различные методы обфускации и защиты от отладки, чтобы избежать обнаружения, и специалисты McAfee Labs успешно распаковали вредоносную полезную нагрузку. McAfee предлагает надежное программное обеспечение для обнаружения и защиты от угроз, подобных RemcosRat.
-----

Специалисты McAfee Labs обнаружили вредоносную кампанию Remcos RAT, в рамках которой сильно обфусцированные VBS-файлы доставлялись по фишинговым письмам с вложениями ZIP/RAR. Этот сложный троянец удаленного доступа (RAT) предоставляет злоумышленнику черный доступ к зараженной системе и собирает различную конфиденциальную информацию. Для того чтобы избежать обнаружения, Remcos использует различные методы обфускации и защиты от отладки.

Логика деобфускации сначала ищет любые переменные, содержащие mdR, в данном случае это MaximumDriveCount. Путем выделения символов из определенных позиций (3, 11, 2) выявляется строка iex (Invoke-Expression). Вредоносная программа обфусцирует команду, чтобы избежать статического обнаружения. Для выполнения расшифрованных DLL в памяти вредоносная программа использует отражающую загрузку кода. Это подразумевает внедрение и выполнение расшифрованного кода в одном и том же процессе с использованием параметра load в функции NewLateBinding.LateGet().

Расшифрованная DLL dGXsvRf.dll - это троянец SykCrypter, который использует ресурс SYKSBIKO, содержащий зашифрованную полезную нагрузку. SykCrypter расшифровывает конечную полезную нагрузку и множество строк, связанных с определением наличия антивирусного ПО, методами персистенции и антиотладочными методами. Для расшифровки данных используется простая операция XOR с ключом 170 и текущим индексом. Кроме того, вредоносная программа сбрасывает свою копию в папку %appdata% с помощью команды cmd. Для сохранения перезагрузки системы вредоносная программа создает в папке Documents файл быстрого доступа с расширением .pif, а также создает запись в реестре Run key.

SykCrypter DLL расшифровывает и загружает файл .NET и вызывает свою функцию GetDelegateForFunctionPointer, создавая делегирование всем API из kernel32 и NTDll.dll с помощью одного и того же метода. Он загружает GetThreadContext, SetThreadContext, ReadProcessMemory, VirtualAllocEx, NtUnmapViewOfSection и другие. Конфигурационный файл Remcos присутствует в RCData SETTINGS, который зашифрован алгоритмом RC4. Он содержит информацию о C2 (IP-адрес и номер порта), мьютекс, созданный вредоносной программой, и другие сведения о конфигурации. Эта вредоносная программа способна собирать информацию из различных приложений, таких как браузеры, почтовые клиенты, криптовалютные кошельки и т.д. Кроме того, она обеспечивает удаленный доступ для злоумышленника и может выступать в качестве дроппера для других вредоносных программ.

Специалисты McAfee Labs успешно распаковали вредоносную кампанию Remcos RAT и обнаружили, как она загружает и исполняет сценарии VBS и PowerShell, разворачивает различные уровни и загружает конечную полезную нагрузку Remcos для удаленного доступа. Компания McAfee стремится предоставить своим клиентам надежную и эффективную защиту от угроз, которая обнаруживает и защищает от таких угроз, как RemcosRat и многих других семейств. Наше программное обеспечение для обеспечения безопасности использует комбинацию сигнатур, машинного обучения, анализа угроз и поведенческих методов обнаружения для выявления и пресечения угроз, чтобы обеспечить вашу безопасность.

#ParsedReport #CompletenessLow
29-08-2023

Compromised OpenCart Payment Module Steals Credit Card Information

https://blog.sucuri.net/2023/08/opencart-payment-module-steals-credit-card-information.html

Report completeness: Low

Actors/Campaigns:
Magecart

Victims:
Opencart website

Industry:
E-commerce, Financial

ChatGPT TTPs:
do not use without manual check
T1503, T1132, T1140

Soft:
opencart, oscommerce, wordpress

Crypto:
bitcoin

Algorithms:
base64

Languages:
php, javascript

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Magecart - это разновидность веб-вредоносного ПО, предназначенного для кражи данных кредитных карт со взломанных сайтов электронной коммерции. Обычно она представлена в виде вариантов на базе JavaScript или PHP, причем варианты на базе PHP сложнее обнаружить. В данном случае речь шла о PHP-инфекции, которая подделала легитимный платежный шлюз, и похищенные данные были зашифрованы и помещены в фиктивный каталог кэша, связанный с криптовалютным платежным шлюзом.
-----

Magecart - это разновидность вредоносного ПО, предназначенного для кражи данных кредитных карт со взломанных сайтов электронной коммерции. Впервые она появилась в 2015 году и была нацелена на сайты, созданные на платформе Magento, но с тех пор получила распространение и на другие платформы, такие как OSCommerce, WordPress/WooCommerce и OpenCart. В 2021 году количество заражений Magecart, обнаруженных SiteCheck в средах WooCommerce WordPress, превысило количество заражений Magento.

Варианты Magecart могут иметь две формы: JavaScript или PHP. Варианты, основанные на JavaScript, обычно легче обнаружить, и их можно заблокировать с помощью плагина для браузера, блокирующего сценарии. Варианты на базе PHP обнаружить сложнее, поскольку они могут быть скрыты в внутреннем коде сайта, что затрудняет доступ к ним исследователей.

В данном случае мы исследовали PHP-инфекцию, которая вмешалась в работу легитимного платежного шлюза. Мы начали с изучения страницы оформления заказа, поскольку подобные вредоносные программы обычно загружаются только после того, как товар помещен в корзину. Затем мы установили временной интервал начала хищения, используя отчеты компаний, обслуживающих кредитные карты. Это позволило нам определить источник скиммера, который находился в одном из ключевых файлов, отвечающих за обработку платежной информации.

Вредоносная программа собирала все обычные данные, такие как имена, адреса и платежные реквизиты. Однако вместо того, чтобы передать похищенные данные на сторонний сервер, злоумышленники решили зашифровать их и сбросить в фиктивный каталог кэша, связанный с криптовалютным платежным шлюзом Plisio. Возможно, это была попытка придать заражению более аутентичный вид.

#ParsedReport #CompletenessLow
29-08-2023

Stealthy Android Malware MMRat Carries Out Bank Fraud Via Fake App Stores. Distribution analysis

https://www.trendmicro.com/en_us/research/23/h/mmrat-carries-out-bank-fraud-via-fake-app-stores.html

Report completeness: Low

Threats:
Mmrat
Gigabud_rat
Vultur
Strat_rat

Victims:
Mobile users in southeast asia

Industry:
Financial, Government

Geo:
Asia, Vietnamese

TTPs:
Tactics: 2
Technics: 0

IOCs:
File: 1
Hash: 52

Soft:
android, wechat

Platforms:
apple

Links:
https://github.com/pedroSG94/rtmp-rtsp-stream-client-java/tree/master

#ParsedReport #ExtractedSchema

Classified images:
code: 24, windows: 14, schema: 2

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: MMRat - новый банковский троян для Android, ориентированный на пользователей мобильных устройств в Юго-Восточной Азии. Для осуществления банковского мошенничества он использует специализированный C&C-протокол, фишинговые сайты, а также ряд технологий, таких как кейлоггинг, захват экрана и удаленное управление устройством. Кроме того, он способен удалять себя после выполнения поставленных задач, что затрудняет отслеживание его деятельности.
-----

Новый банковский троян для Android, получивший название MMRat, с конца июня 2023 года атакует пользователей мобильных устройств в Юго-Восточной Азии.

Он способен перехватывать пользовательский ввод и содержимое экрана, а также дистанционно управлять устройствами-жертвами.

MMRat маскируется под официальное государственное приложение или приложение для знакомств, а затем представляет жертвам фишинговый сайт.

Он злоупотребляет сервисом Accessibility для предоставления себе прав и перехвата пользовательского ввода и действий.

Кроме того, он использует API MediaProjection для записи экрана жертвы и передачи содержимого на удаленный сервер.

Для осуществления банковского мошенничества он выполняет несколько шагов по обходу пользователя, после чего удаляет себя, получив C&C-команду UNINSTALL_APP.

#ParsedReport #CompletenessMedium
29-08-2023

New Remo Android Banking Trojan Targets Over 50 Banking Applications And Crypto Wallets

https://cyble.com/blog/new-remo-android-banking-trojan-targets-over-50-banking-applications-and-crypto-wallets

Report completeness: Medium

Threats:
Roamer
Omni

Victims:
Banking and cryptocurrency wallet applications in thailand, vietnam, and indonesia

Industry:
Retail, Financial

Geo:
Chinese, India, Vietnam, Asia, Indonesia, China, Thailand

TTPs:
Tactics: 5
Technics: 4

IOCs:
File: 17
Url: 12
Hash: 7

Soft:
android

Wallets:
metamask, tokenpocket

Crypto:
binance

Algorithms:
sha256, sha1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что троян Remo Banking Trojan представляет собой сложную киберпреступную угрозу, направленную на приложения для банковских операций и криптовалютных кошельков в Юго-Восточной Азии, и что пользователи и организации должны принять меры по защите от этой и других возникающих угроз.
-----

Киберпреступность - это растущая проблема, поскольку злоумышленники постоянно находят новые способы использования технологий в своих корыстных целях. В июне 2023 года компания Cyble Research and Intelligence Labs (CRIL) обнаружила мошенничество с добычей криптовалют, распространявшее троянца Remo Android Banking Trojan, который был нацелен на банковские приложения во Вьетнаме и Индии. Дальнейший анализ вредоносного ПО выявил возможного китайского угрожающего актора (TA), стоящего за этой деятельностью. Вредоносный APK распространялся через фишинговые сайты и после установки устанавливал соединение с C&C-сервером, позволяющим ему осуществлять свою вредоносную деятельность.

Вредоносная программа была нацелена на более чем 50 банковских приложений и криптовалютных кошельков в Таиланде, Вьетнаме и Индонезии, обеспечивая утечку конфиденциальной информации из этих приложений. Злоумышленник использовал сервис Accessibility для выполнения действий банковского троянца, предотвращения деинсталляции и предоставления автоматических разрешений, а также перехватывал весь видимый текст на текущем экране из целевых приложений и передавал его на C&C-сервер. Кроме того, сервис отслеживал редактирование текстовых полей в целевых приложениях и передавал любую введенную конфиденциальную информацию, а также похищал все контакты, сохраненные на зараженном устройстве, и отправлял их на C&C-сервер.

Банковский троянец Remo представляет собой сложную угрозу, использующую различные методы обхода обнаружения, включая сильные методы обфускации и собственные процессы шифрования и дешифрования. Для кражи конфиденциальной информации из банковских приложений и криптовалютных кошельков он также использует фишинг, кейлоггинг и эксплуатацию сервисов доступа. Использование поддельной платформы Binance подчеркивает растущую изобретательность и находчивость киберпреступников в разработке мощных и опасных угроз.

Учитывая, что вредоносная программа была ориентирована на Юго-Восточную Азию, предположение о ее китайском происхождении, хотя и является спекулятивным, позволяет говорить о причастности к ней ТА с высоким уровнем сложности. В связи с этим пользователям необходимо сохранять бдительность при работе с веб-сайтами и загрузке приложений, а также соблюдать осторожность при вводе личной или конфиденциальной информации. Организациям также необходимо быть в курсе возникающих угроз, а также иметь надежные средства защиты от них.

#ParsedReport #CompletenessLow
29-08-2023

FortiGuard AI Detects Malicious Packages Hidden in the Python Package Index

https://www.fortinet.com/blog/threat-research/fortiguard-ai-detects-malicious-packages-in-pypi

Report completeness: Low

Threats:
Supply_chain_technique

IOCs:
Email: 1
Hash: 6
Url: 3

Soft:
discord

Languages:
python

#ParsedReport #CompletenessHigh
28-08-2023

HTML Smuggling Leads to Domain Wide Ransomware

https://thedfirreport.com/2023/08/28/html-smuggling-leads-to-domain-wide-ransomware

Report completeness: High

Actors/Campaigns:
Shathak
Wizard_spider

Threats:
Smuggling_technique
Nokoyawa
Icedid
Cobalt_strike
Adfind_tool
Nltest_tool
Beacon
Sessiongopher_tool
Netscan_tool
Meterpreter_tool
Process_injection_technique

Industry:
Financial

Geo:
Bulgaria

TTPs:
Tactics: 11
Technics: 31

IOCs:
IP: 6
File: 14
Command: 4
Path: 9
Domain: 3
Hash: 16

Soft:
active directory, psexec, windows file explorer, openssl, softperfect network scanner, whatsapp

Algorithms:
gzip, zip, base64

Win API:
DllRegisterServer, CreateRemoteThread

Languages:
php

Platforms:
x86

YARA: Found
SIGMA: Found

Links:
https://github.com/ufrisk/MemProcFS
https://github.com/Arvanaghi/SessionGopher/blob/master/SessionGopher.ps1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея данного текста заключается в том, что угрозы могут быстро развернуть вредоносную полезную нагрузку, поэтому организациям важно проявлять бдительность и принимать превентивные меры для защиты от злоумышленников.
-----

В данном случае речь идет о двух разных угрозах, связанных с Nokoyawa ransomware. Распространитель вредоносного HTML-файла отслеживается компанией Proofpoint под кодовым именем TA551, а исполнитель - компанией Microsoft под кодовым именем Storm-0390. Вредоносный HTML-файл был доставлен по электронной почте и содержал защищенный паролем ZIP-файл с ISO-файлом, в котором была развернута вредоносная программа IcedID. Эта вредоносная программа IcedID устанавливала постоянство на хосте с помощью запланированного задания и инициировала подключение к серверам Cobalt Strike. Затем угрожающий агент получал доступ к учетным данным через LSASS и использовал PsExec и WMIC для перемещения файлов между системами в сети. Двоичный файл ransomware и пакетный скрипт копировались на хосты и выполнялись на контроллере домена.

Угроза использовала Windows xcopy для переименования rundll32.exe в entails.exe, а затем внедрила его в процесс cmd.exe. Затем он использовал AdFind для поиска данных на контроллере домена и SoftPerfect Netscan для финального сканирования сети на предмет обнаружения. Угрожающий агент также подключался к различным узлам сети по RDP, туннелируя через процесс beacon, и передавал 1.dll (Cobalt Strike DLL), а также двоичный файл ransomware и пакетный скрипт через Windows File Explorer.

Двоичный файл ransomware был настроен на шифрование сети, загрузку скрытых дисков и удаление теневых копий томов. Кроме того, он был настроен на пропуск определенных каталогов и расширений файлов. Перед началом развертывания программы-вымогателя угроза также подключалась к серверу резервного копирования и открывала консоль резервного копирования на хосте.

ET HUNTING обнаружил подозрительные пустые SSL-сертификаты, RDP-ответы внешним хостам, Win32/IcedID-запросы, openSSL Demo CA, создание службы PsExec, передачу исполняемых файлов SMB, SMB2 NT Create AndX-запросы на .bat-файлы, DLL-файлы, исполняемые файлы и исполняемые файлы в временных каталогах, доступ к менеджеру удаленного управления сервисами DCERPC SVCCTL, поведенческий необычно быстрый трафик терминального сервера, поведенческий необычный трафик портов 135 и 445, оболочку PowerShell и Windows-команд.

Время распространения вымогательского ПО (TTR) составило чуть более 12 часов с момента первоначального заражения, что показывает, насколько быстро эти угрожающие субъекты могут развертывать свои вредоносные полезные нагрузки. Важно всегда быть бдительным и знать о последних угрозах, а также принимать превентивные меры для защиты организации от злоумышленников.

#ParsedReport #CompletenessMedium
30-08-2023

DuckTail - A Threat Actor Expos

https://www.zscaler.com/blogs/security-research/ducktail-threat-actor-expose

Report completeness: Medium

Threats:
Ducktail_stealer
Timestomp_technique

Victims:
Users working in the digital marketing and advertising space, facebook and tiktok business accounts, and google ad accounts

Industry:
Financial

Geo:
American, Vietnamese, Turkey, Vietnam

TTPs:
Tactics: 1
Technics: 7

IOCs:
Domain: 58
File: 5

Soft:
tiktok, telegram, chatgpt

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея этого текста заключается в том, что Zscaler ThreatLabz провела расследование, в ходе которого были раскрыты детали цепочки атак DuckTail, и что участники угроз DuckTail являются активными продавцами в подпольной экономике краденых учетных записей в социальных сетях.
-----

Для того чтобы разобраться во вредоносных операциях DuckTail, специалисты Zscaler ThreatLabz провели глубокое расследование, длившееся 3 месяца в мае 2023 года. В ходе исследования мы выяснили важные детали различных элементов цепочки атак DuckTail, начиная с разведки и заканчивая процедурами после компрометации.

В основном DuckTail атакует пользователей, работающих в сфере цифрового маркетинга и рекламы, с помощью социальной инженерии, осуществляемой через сообщения LinkedIn. Полезная нагрузка вредоносного ПО обычно представляет собой исполняемые файлы .NET, но также может быть представлена в виде надстроек Excel или расширений для браузеров. Как правило, полезная нагрузка распространяется через вредоносные архивы, размещенные на публичных "облачных" хостингах, URL-адреса Rebrandly или поддельные сайты.

Угрозы DuckTail успешно используют в своих целях популярные в последнее время платформы генеративного искусственного интеллекта, такие как ChatGPT и Google Bard AI. Они также используют частные прокси-сервисы для входа во взломанные учетные записи и не дают жертвам возможности восстановить учетную запись.

По нашим наблюдениям, участники угроз DuckTail являются активными продавцами в подпольной экономике краденых аккаунтов в социальных сетях. Аккаунты продаются в зависимости от их свойств, таких как тип аккаунта (персональный или бизнес-менеджер), ежедневный рекламный бюджет, количество рекламных аккаунтов, которые он контролирует, возраст аккаунта, наличие и валидность сохраненных способов оплаты, история успешных платежей аккаунта. Низкокачественные аккаунты могут быть проданы примерно за 350 000 вьетнамских донгов (\~15 долл. США), а более ценные - за 8 000 000 вьетнамских донгов (\~340 долл. США).

Поняв тактику, технику и процедуры DuckTail, мы сможем лучше защитить себя от их вредоносной деятельности.

#ParsedReport #CompletenessLow
30-08-2023

Threat Actor Interplay \| Good Day s Victim Portals and Their Ties to Cloak

https://www.sentinelone.com/blog/threat-actor-interplay-good-days-victim-portals-and-their-ties-to-cloak

Report completeness: Low

Threats:
Good_day_ransomware
Arcrypt
Arcrypter
Babuk

Geo:
Germany, Taiwan, Italy, France

ChatGPT TTPs:
do not use without manual check
T1203, T1104, T1070, T1083, T1486, T1490, T1491

IOCs:
Email: 1
Hash: 5
File: 6
Command: 1