#ParsedReport #CompletenessHigh
31-08-2023

Decrypting Key Group Ransomware: Emerging Financially Motivated Cyber Crime Gang

https://blog.eclecticiq.com/decrypting-key-group-ransomware-emerging-financially-motivated-cyber-crime-gang

Report completeness: High

Actors/Campaigns:
Key_wolf

Threats:
Keygroup_ransomware
Njrat
Chaos_ransomware
Lolbin_technique
Vssadmin_tool
Lolbas_technique

Industry:
E-commerce

Geo:
Ukraine, Russian, Russia

IOCs:
Domain: 3
Command: 1
IP: 1
Hash: 7
File: 13

Soft:
telegram, bcdedit, chatgpt

Algorithms:
cbc, base64, sha256, aes, pbkdf2

Languages:
python

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Семейство программ-вымогателей Key Group - это малоискушенные, но опасные агенты угроз, ориентированные в первую очередь на получение финансовой выгоды путем продажи PII или первоначального доступа к скомпрометированным устройствам и получения выкупа. Они используют различные методы для поиска и заражения жертв и уклонения от обнаружения.
-----

Семейство программ-вымогателей Key Group было впервые обнаружено 6 января 2023 года и с тех пор не прекращало своей активности. По мнению исследователей EclecticIQ, эта группа представляет собой преимущественно русскоязычную, финансово мотивированную группу угроз, которая использует канал Telegram для переговоров о выкупе. Кроме того, у них есть закрытый канал, предназначенный только для приглашенных, для обмена информацией, такой как доксинг и наступательные инструменты. Вероятно, с 29 июня 2023 года группа использует NjRAT, инструмент удаленного администрирования (RAT), для удаленного доступа к устройствам жертв.

Программа использует CBC-режим Advanced Encryption Standard (AES) для шифрования файлов и передачи персональной информации (PII) с устройств жертв злоумышленникам. Зашифрованные файлы получают расширение .keygroup777tg. По оценке аналитиков EclecticIQ, программа Key Group ransomware может быть отнесена к категории угроз низкого уровня сложности. Это связано с тем, что в образцах ransomware были обнаружены многочисленные криптографические ошибки, которые позволили создать инструмент дешифрования 03.08.2023.

Участники Key Group используют darkweb-площадку Dark Store для обмена взломанными учетными записями в социальных сетях, частными VPN-сервисами и учетными записями электронной почты. Владелец группы действует под псевдонимом DARKZEUS. В предыдущих версиях вымогательского ПО Key Group для защиты российских жертв использовался конструктор вымогательского ПО Chaos 4.0.

Программа использует AES-шифрование, реализованное на языке C# с помощью класса RijndaelManaged. Он кодирует пароль в виде байтов UTF-8, а затем хэширует их по алгоритму SHA-256. Зашифрованные байты записываются в новый файл в том же каталоге с кодированным именем и расширением .keygroup777tg. Для шифрования данных используется статический ключ N0dQM0I1JCM=.

Программа Key Group ransomware отправляет злоумышленникам метаданные, связанные с сетью, используя сокращатель URL-адресов yip.su, перенаправляющий на сайт iplogger.org. Они включают отпечаток браузера, IP-адрес, геолокацию и дату заражения жертвы. Для удаления службы теневого копирования тома (Volume Shadow Copy Service, VSS) и предотвращения восстановления данных группировка также использует двоичные файлы (live-off-the-land binaries, LOLBINS). Кроме того, они могут отключать обновления от различных антивирусных решений путем модификации файла hosts.

Семейство программ-вымогателей Key Group - это малоискушенные, но опасные угрозы, ориентированные в первую очередь на получение финансовой выгоды путем продажи PII или первоначального доступа к скомпрометированным устройствам и получения выкупа. Группа использует различные методы для поиска и заражения жертв и ускользания от обнаружения. Частным лицам и организациям важно принять необходимые меры предосторожности для защиты своих данных и систем от такого рода атак.

#rstcloud

Добавили в фид источник с хэшами уязвимых драйверов.
Такие драйвера подвержены lolbins, BYOVD-атакам

Как использовать:

Самое простое - поставить на мониторинг по событиям от NGFW, или EDR. Если по сети пролетит такой драйвер (появится на хосте), то это повод насторожиться и повнимательнее посмотреть откуда, кто и как решил затащить этот драйвер в инфру.

Чуть сложнее - поискать на машинках файлы с данными хэшами, чтобы понять где в инфре есть потенциально уязвимые машины.

З.ы. На винде можно настроить блокировку уязвимых драйверов
https://learn.microsoft.com/en-us/windows/security/application-security/application-control/windows-defender-application-control/design/microsoft-recommended-driver-block-rules#steps-to-download-and-apply-the-vulnerable-driver-blocklist-binary

#ParsedReport #CompletenessLow
01-09-2023

Backdoor LNK : RedEyes(ScarCruft)

https://asec.ahnlab.com/ko/56526

Report completeness: Low

Actors/Campaigns:
Scarcruft

Threats:
Rokrat
Dropper/lnk.generic.s2241
Trojan/bat.psexec.s2247

TTPs:
Tactics: 1
Technics: 1

ChatGPT TTPs:
do not use without manual check
T1193, T1064, T1204

IOCs:
File: 9
Path: 2
Registry: 1
Command: 1
Url: 5
Hash: 3

Soft:
psexec

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что злоумышленниками распространяются вредоносные LNK- и CHM-файлы, которые при исполнении могут выполнять различные вредоносные действия. Для защиты от подобных угроз пользователям следует избегать выполнения больших LNK-файлов неизвестного происхождения и проявлять повышенную осторожность при загрузке любых подозрительных файлов.
-----

Центр реагирования на чрезвычайные ситуации в области безопасности АнЛаб (ASEC) недавно подтвердил факт распространения вредоносного кода в виде LNK-файлов. Эти вредоносные файлы, загружаемые с именами REPORT.ZIP, KB_20230531.rar, attachment.rar и hanacard_20230610.rar, содержат ранее идентифицированные вредоносные CHM-файлы. После выполнения эти файлы запускают дополнительный скрипт с определенного URL через процесс mshta и получают команды с сервера злоумышленника. Затем этот код вредоносного скрипта выполняется в папке %Temp% с помощью команды PowerShell, в результате чего создается как обычный документ 'Status Survey.xlsx', так и вредоносный скрипт 'PMmVvG56FLC9y.bat'.

Учитывая различия между командами, приведенными в табл. 1, и ранее идентифицированными командами, можно предположить, что злоумышленник постоянно модифицирует код скрипта. Это означает, что наряду с уже подтвержденными функциями могут выполняться и другие вредоносные действия. Для защиты от этих угроз пользователям следует быть предельно внимательными при работе с файлами, имеющими неизвестного создателя и размер более 10 МБ.

Таким образом, злоумышленники распространяют вредоносные LNK- и CHM-файлы, при выполнении которых с определенного URL через процесс mshta запускается дополнительный скрипт, получающий команды с сервера злоумышленника. Затем эти вредоносные скрипты могут выполнять различные вредоносные действия, например, создавать в папке %Temp% обычные документы и вредоносные скрипты. Для защиты от подобных угроз пользователям следует избегать выполнения больших LNK-файлов неизвестного происхождения и проявлять повышенную осторожность при загрузке любых подозрительных файлов.

#ParsedReport #CompletenessMedium
01-09-2023

New MaaS Prysmax Launches Fully Undetectable Infostealer

https://www.cyfirma.com/outofband/new-maas-prysmax-launches-fully-undetectable-infostealer

Report completeness: Medium

Threats:
Prysmax

Industry:
Government

Geo:
Spain

TTPs:
Tactics: 1
Technics: 0

IOCs:
Command: 14
Path: 2
Registry: 5
Hash: 5
Domain: 2

Soft:
telegram, pyinstaller, windows defender, windows firewall, discord

Algorithms:
sha256

Languages:
python

SIGMA: Found

#ParsedReport #ExtractedSchema

Classified images:
windows: 1, table: 2, schema: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Prysmax - это новая вредоносная программа, предназначенная для извлечения конфиденциальных данных и обхода традиционных сигнатурных методов обнаружения, используемых антивирусными решениями, что делает ее практически полностью необнаружимой. Кроме того, он использует различные технологии для обеспечения устойчивости и анонимной утечки данных. Предполагается, что разработчик Prysmax действует из Испании.
-----

Исследователи компании CYFIRMA недавно обнаружили новую вредоносную программу-как-сервис под названием Prysmax. Этот инфопохититель на языке python предназначен для извлечения конфиденциальных данных, таких как криптокошельки, пароли и cookies, из широкого спектра сервисов. Особую опасность Prysmax придает его способность обходить традиционные сигнатурные методы обнаружения, используемые антивирусными решениями. Благодаря этому вредоносная программа практически не обнаруживается более чем 95% защитных решений.

Вредоносная программа предназначена для отключения Windows Defender, манипулирования ассоциациями файлов и выполнения параллельно с легитимными процессами .exe, что позволяет максимально расширить сферу ее влияния. Кроме того, он использует PowerShell для скрытой утечки данных и обмена информацией. Все это делает Prysmax трудно обнаруживаемым и удаляемым даже при использовании самых современных средств кибербезопасности.

Для обеспечения устойчивости вредоносная программа добавляет запись в систему запуска пользователя, используя специальный ключ реестра, и манипулирует критическими сетевыми сервисами через изменения в реестре. Кроме того, вредонос анонимно пересылает файлы на съемные носители, а в качестве C2 использует бота Discord.

Судя по имеющимся артефактам, предполагается, что разработчик Prysmax stealer действует из Испании. Вредоносная программа имеет 0-2 обнаружения на VT, что свидетельствует о высокой вероятности остаться незамеченной, если жертва полагается на сигнатурные обнаружения.

#ParsedReport #CompletenessLow
01-09-2023

Threat Actors orchestrate cyber-attacks on vulnerable Ivanti products

https://cyble.com/blog/threat-actors-orchestrate-cyber-attacks-on-vulnerable-ivanti-products

Report completeness: Low

Victims:
Government agencies, big corporations, ivanti endpoint manager mobile, ivanti sentry

Industry:
Government

Geo:
Germany, Norwegian

CVEs:
CVE-2023-35081 [Vulners]
CVSS V3.1: 7.2,
Vulners: Exploitation: Unknown
X-Force: Risk: 7.2
X-Force: Patch: Official fix
Soft:
- ivanti endpoint manager mobile (<11.8.1.2, <11.9.1.2, <11.10.0.3)

CVE-2023-35078 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 10
X-Force: Patch: Official fix
Soft:
- ivanti endpoint manager mobile (le11.10)

CVE-2023-38035 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- ivanti mobileiron sentry (le9.18.0)


TTPs:
Tactics: 6
Technics: 11

IOCs:
IP: 1

Soft:
ivanti epmm, ivanti sentry, moveit, papercut

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что злоумышленники использовали уязвимости в программном обеспечении Ivanti для атаки на государственные учреждения, и что эти уязвимости могут быть использованы для кражи данных, которые могут быть проданы в темной паутине и на киберпреступных форумах.
-----

Норвежская организация по безопасности и обслуживанию (DSS) 24 июля 2023 г. сообщила, что 12 государственных учреждений подверглись атаке из-за неизвестных уязвимостей в программном обеспечении одного из их поставщиков. Позднее Норвежское управление национальной безопасности (NSM) подтвердило, что злоумышленники использовали CVE-2023-35078 для нарушения безопасности. Ivanti выпустила исправление для этой уязвимости, но вскоре после этого выпустила еще одно исправление для уязвимости обхода пути в Ivanti EPMM (CVE-2023-35081). По заявлению производителя, CVE-2023-35078 затронула то же ограниченное число клиентов, что и CVE-2023-35081, что свидетельствует о том, что эксплуатация CVE-2023-35078 в сочетании с CVE-2023-35081 сделала продукты Ivanti более уязвимыми.

На одном из киберпреступных форумов CRIL был замечен угрожающий субъект, предположительно продающий эксплойты нулевого дня для CVE-2023-35081, а в сети Cyble Global Sensor Intelligence (CGSI) стали фиксироваться попытки эксплуатации Ivanti EPMM (CVE-2023-35078) и Ivanti Sentry (CVE-2023-38035). В случае CVE-2023-35078 злоумышленники отправляли GET-запросы к конечной точке /mifs/aad/api/v2/admins/users, пытаясь получить конфиденциальную информацию, например, персональные данные (PII). В случае CVE-2023-38035 POST-запрос отправлялся на конечную точку mics/services/MICSLogService. По данным CGSI, атаки были направлены на уязвимые активы Ivanti в США и Германии - странах с наибольшей подверженностью Ivanti Assets по данным онлайн-сканеров.

В последнее время все более распространенным явлением становится эксплуатация уязвимых Интернет-ресурсов, яркими примерами которой являются уязвимости MoveIT и PaperCut. В зависимости от степени использования этих приложений/программ в организации злоумышленники могут осуществлять атаки с целью выкупа, эксфильтрации данных или установки веб-оболочек. Эксплуатация Ivanti Endpoint Manager Mobile (EPMM) и Ivanti Sentry особенно привлекательна для злоумышленников, поскольку они связаны с возможностями управления мобильными устройствами (MDM) и унифицированного управления конечными точками (UEM). Эти уязвимые приложения представляют собой выгодные цели для злоумышленников, позволяющие похищать данные, которые затем могут быть проданы в "темной паутине" и на киберпреступных форумах.

#ParsedReport #CompletenessMedium
01-09-2023

BadBazaar espionage tool targets Android users via trojanized Signal and Telegram apps. MITRE ATT&CK techniques

https://www.welivesecurity.com/en/eset-research/badbazaar-espionage-tool-targets-android-users-trojanized-signal-telegram-apps

Report completeness: Medium

Actors/Campaigns:
Gref
Playful_taurus

Threats:
Badbazaar
Aitm_technique
Doubleagent
Xslcmd
Silkbean
Carbonsteal
Goldeneagle

Victims:
Android users, uyghurs and other turkic ethnic minorities

Geo:
Ukraine, Netherlands, Singapore, Australia, Hungary, China, Poland, Yemen, Germany, Congo, Spain, Chinese, Denmark, Brazil, Portugal, Lithuania

TTPs:
Tactics: 4
Technics: 6

IOCs:
Domain: 15
Hash: 6
IP: 18
File: 2

Soft:
android, telegram

Algorithms:
sha1

Links:
https://github.com/signalapp/Signal-Android

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, code: 5, chats: 1, windows: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: GREF распространяла вредоносные приложения через Google Play Store, Samsung Galaxy Store, альтернативные магазины приложений и специализированные сайты. Эти приложения относятся к семейству вредоносных программ BadBazaar и используются для утечки информации об устройстве, списках контактов, журналах вызовов, списке установленных приложений, а также для шпионажа за сообщениями Signal. Пользователям важно быть бдительными и загружать только официальные версии приложений из легальных источников.
-----

Исследователи компании ESET обнаружили две активные кампании, направленные на пользователей Android и приписываемые китайской APT-группе GREF. Вредоносный код, обнаруженный в этих приложениях, относится к семейству вредоносных программ BadBazaar, которое использовалось для атак на уйгуров и другие тюркские этнические меньшинства. Оба приложения, Signal Plus Messenger и FlyGram, были созданы одним и тем же разработчиком, имеют одинаковые вредоносные функции, а в описаниях приложений в обоих магазинах содержится ссылка на один и тот же сайт разработчика. Вредоносное приложение Signal Plus Messenger было загружено в Google Play 7 июля 2022 года и успело установиться более сотни раз. Вредоносное приложение FlyGram было загружено в Google Play около 4 июня 2020 года и успело получить более 5 тыс. установок.

Вредоносные приложения распространялись на устройствах в Австралии, Бразилии, Венгрии, Германии, Гонконге, Дании, Демократической Республике Конго, Испании, Йемене, Литве, Нидерландах, Польше, Португалии, Сингапуре, США, Украине. Ссылка на FlyGram в магазине Google Play была опубликована в уйгурской группе Telegram. Приложение FlyGram также доступно для загрузки со специализированного сайта.

Ранее компания Lookout приписывала BadBazaar китайской группировке APT15. Исследователи ESET не располагают достаточными доказательствами связи между GREF и APT15, но считают, что могут с высокой степенью уверенности отнести Signal Plus Messenger и FlyGram к семейству вредоносных программ BadBazaar. Вредоносные приложения содержат код, проверяющий, является ли оператор устройства китайцем, что является уникальным для семейства BadBazaar.

Signal Plus Messenger и FlyGram - несколько иные варианты BadBazaar, ориентированные на утечку пользовательских данных и шпионаж. Signal Plus Messenger отправляет на C&C-сервер различные данные об устройстве, такие как IMEI, номер телефона, MAC-адрес и т.д. Он также может шпионить за сообщениями Signal, используя функцию link device. FlyGram отправляет на C&C-сервер базовую информацию об устройстве, такую как IMEI-номер, MAC-адрес, имя оператора, язык устройства и часовой пояс. Кроме того, FlyGram может пересылать информацию с устройства, включая внутренние файлы Telegram. Программа имеет функцию облачной синхронизации, позволяющую создавать резервные копии и восстанавливать контакты, фотографии профиля, группы и каналы Telegram.

Единственный способ не стать жертвой вредоносного приложения для обмена сообщениями - загружать только официальные версии с официальных каналов. Для обнаружения несанкционированных подключений к учетной записи Signal пользователи могут проверить меню "Связанные устройства". GREF распространяла вредоносные приложения через официальный магазин Google Play, Samsung Galaxy Store, альтернативные магазины приложений и специализированные сайты.

Основной целью BadBazaar является утечка информации с устройства, списка контактов, журналов вызовов, списка установленных приложений, а также шпионаж за сообщениями Signal путем тайного подключения приложения Signal Plus Messenger к устройству злоумышленника. В итоге пользователям важно быть бдительными и следить за тем, чтобы загружать легитимные приложения из официальных источников.

#rstcloud

Помните, мы все грозились научить ChatGPT детектить TTP в отчетах.
Так вот, в TRAM эту задачку, вроде бы, решили через BERT. Будем тестить.

З.ы. Там еще есть нотебук Jupyter для дообучения модели. Текущая F1 модели 0.882

https://medium.com/mitre-engenuity/our-tram-large-language-model-automates-ttp-identification-in-cti-reports-5bc0a30d4567

Тем временем draft RFC по IOC в августе добрался до релиза
https://www.rfc-editor.org/info/rfc9424

#ParsedReport #CompletenessLow
04-09-2023

Tracking Fileless Malware Distributed Through Spam Mails

https://asec.ahnlab.com/en/56512

Report completeness: Low

Threats:
Agent_tesla
Remcos_rat
Limerat
Trojan/win.generic.r526355

Industry:
Financial

IOCs:
File: 5
Url: 2
Hash: 2

Algorithms:
base64

#ParsedReport #CompletenessLow
04-09-2023

apt-c-55 kimsuky. 1. Attack activity analysis

https://mp-weixin-qq-com.translate.goog/s?__biz=MzUyMjk4NzExMA==&mid=2247493300&idx=1&sn=614dda72d95b5dfd732916aec0662598&chksm=f9c1d5bdceb65cab316de9e368fef6a997b82e96ed1a70b9b53ea8ae3c5698a8d4c95488e956&scene=178&cur_album_id=1955835290309230595&_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=en&_x_tr_pto=wapp#rd

Report completeness: Low

Actors/Campaigns:
Kimsuky

Threats:
Harpoon

Victims:
South korean government departments, think tanks, government diplomacy, news organizations, educational and academic institutions, countries including the united states, russia, and european countries

Industry:
Government

Geo:
Korea, Russia, Korean

ChatGPT TTPs:
do not use without manual check
T1059.003, T1036.005, T1171, T1203, T1566.001, T1112, T1106, T1486

IOCs:
Hash: 7
Url: 6
File: 4
Path: 1

Soft:
chrome

Algorithms:
xor, base64

Languages:
php

Platforms:
x64

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 8, table: 2, windows: 4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Организация APT-C-55 (Kimsuky) на протяжении длительного времени атакует правительственные учреждения Южной Кореи с помощью образцов вредоносных макроатак, используя социальную инженерию, гарпунные письма, атаки "водяных ям" и другие средства. Недавно исследователи обнаружили последнюю атакующую кампанию этой организации, которая использует корейские доменные имена для загрузки и передачи вредоносной полезной нагрузки. Предполагается, что этот сайт мог быть захвачен организацией Kimsuky.
-----

Ключевые факты:.

Организация APT-C-55 (Kimsuky) уже давно нацелена на государственные ведомства Южной Кореи.

Для доставки вредоносных файлов организация использует социальную инженерию, гарпунные письма, атаки типа "водяная яма" и другие средства.

Атака начинается с lnk-файла, который содержит большое количество невидимых и бессмысленных символов, призванных снизить защиту жертвы.

После щелчка на lnk-файле будет расшифрован и освобожден от себя файл VBS-сценария, который будет выполнен.

Полезная нагрузка используется в основном для сбора информации и ее обратной передачи.

Доменное имя xn--vn4b27hka971hbue.kr фактически является корейским доменным именем .kr.

Домашняя страница доменного имени является домашней страницей компании под названием "Hansol Tape". Есть предположение, что этот сайт мог быть захвачен организацией Kimsuky.

#ParsedReport #CompletenessHigh
04-09-2023

ICYMI: Emotet Reappeared Early This Year, Unfortunately

https://www.trellix.com/en-us/about/newsroom/stories/research/icymi-emotet-reappeared-early-this-year-unfortunately.html

Report completeness: High

Threats:
Emotet
Joao
Zipbomb_technique
Hiatusrat
Passview_tool
Process_injection_technique
Process_hollowing_technique
Amphitryon
Powerstats

Industry:
Healthcare, Energy, Government, Financial, Entertainment, E-commerce

Geo:
Ukraine, Thailand, Estonia, Singapore, Turkey, Portugal, Guatemala, Emirates, Italy, Israel

TTPs:

IOCs:
File: 12
IP: 87
Hash: 322

Soft:
microsoft word, microsoft onenote, onenote, microsoft office word, microsoft office

Algorithms:
ecc, zip, ecdh

Win API:
WinHttpSendRequest

Languages:
visual_basic, javascript

SIGMA: Found

#ParsedReport #ExtractedSchema

Classified images:
schema: 4, dump: 1, chart: 3, windows: 4, code: 4