#ParsedReport #CompletenessLow
01-09-2023

Threat Actors orchestrate cyber-attacks on vulnerable Ivanti products

https://cyble.com/blog/threat-actors-orchestrate-cyber-attacks-on-vulnerable-ivanti-products

Report completeness: Low

Victims:
Government agencies, big corporations, ivanti endpoint manager mobile, ivanti sentry

Industry:
Government

Geo:
Germany, Norwegian

CVEs:
CVE-2023-35081 [Vulners]
CVSS V3.1: 7.2,
Vulners: Exploitation: Unknown
X-Force: Risk: 7.2
X-Force: Patch: Official fix
Soft:
- ivanti endpoint manager mobile (<11.8.1.2, <11.9.1.2, <11.10.0.3)

CVE-2023-35078 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 10
X-Force: Patch: Official fix
Soft:
- ivanti endpoint manager mobile (le11.10)

CVE-2023-38035 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- ivanti mobileiron sentry (le9.18.0)


TTPs:
Tactics: 6
Technics: 11

IOCs:
IP: 1

Soft:
ivanti epmm, ivanti sentry, moveit, papercut

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что злоумышленники использовали уязвимости в программном обеспечении Ivanti для атаки на государственные учреждения, и что эти уязвимости могут быть использованы для кражи данных, которые могут быть проданы в темной паутине и на киберпреступных форумах.
-----

Норвежская организация по безопасности и обслуживанию (DSS) 24 июля 2023 г. сообщила, что 12 государственных учреждений подверглись атаке из-за неизвестных уязвимостей в программном обеспечении одного из их поставщиков. Позднее Норвежское управление национальной безопасности (NSM) подтвердило, что злоумышленники использовали CVE-2023-35078 для нарушения безопасности. Ivanti выпустила исправление для этой уязвимости, но вскоре после этого выпустила еще одно исправление для уязвимости обхода пути в Ivanti EPMM (CVE-2023-35081). По заявлению производителя, CVE-2023-35078 затронула то же ограниченное число клиентов, что и CVE-2023-35081, что свидетельствует о том, что эксплуатация CVE-2023-35078 в сочетании с CVE-2023-35081 сделала продукты Ivanti более уязвимыми.

На одном из киберпреступных форумов CRIL был замечен угрожающий субъект, предположительно продающий эксплойты нулевого дня для CVE-2023-35081, а в сети Cyble Global Sensor Intelligence (CGSI) стали фиксироваться попытки эксплуатации Ivanti EPMM (CVE-2023-35078) и Ivanti Sentry (CVE-2023-38035). В случае CVE-2023-35078 злоумышленники отправляли GET-запросы к конечной точке /mifs/aad/api/v2/admins/users, пытаясь получить конфиденциальную информацию, например, персональные данные (PII). В случае CVE-2023-38035 POST-запрос отправлялся на конечную точку mics/services/MICSLogService. По данным CGSI, атаки были направлены на уязвимые активы Ivanti в США и Германии - странах с наибольшей подверженностью Ivanti Assets по данным онлайн-сканеров.

В последнее время все более распространенным явлением становится эксплуатация уязвимых Интернет-ресурсов, яркими примерами которой являются уязвимости MoveIT и PaperCut. В зависимости от степени использования этих приложений/программ в организации злоумышленники могут осуществлять атаки с целью выкупа, эксфильтрации данных или установки веб-оболочек. Эксплуатация Ivanti Endpoint Manager Mobile (EPMM) и Ivanti Sentry особенно привлекательна для злоумышленников, поскольку они связаны с возможностями управления мобильными устройствами (MDM) и унифицированного управления конечными точками (UEM). Эти уязвимые приложения представляют собой выгодные цели для злоумышленников, позволяющие похищать данные, которые затем могут быть проданы в "темной паутине" и на киберпреступных форумах.

#ParsedReport #CompletenessMedium
01-09-2023

BadBazaar espionage tool targets Android users via trojanized Signal and Telegram apps. MITRE ATT&CK techniques

https://www.welivesecurity.com/en/eset-research/badbazaar-espionage-tool-targets-android-users-trojanized-signal-telegram-apps

Report completeness: Medium

Actors/Campaigns:
Gref
Playful_taurus

Threats:
Badbazaar
Aitm_technique
Doubleagent
Xslcmd
Silkbean
Carbonsteal
Goldeneagle

Victims:
Android users, uyghurs and other turkic ethnic minorities

Geo:
Ukraine, Netherlands, Singapore, Australia, Hungary, China, Poland, Yemen, Germany, Congo, Spain, Chinese, Denmark, Brazil, Portugal, Lithuania

TTPs:
Tactics: 4
Technics: 6

IOCs:
Domain: 15
Hash: 6
IP: 18
File: 2

Soft:
android, telegram

Algorithms:
sha1

Links:
https://github.com/signalapp/Signal-Android

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, code: 5, chats: 1, windows: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: GREF распространяла вредоносные приложения через Google Play Store, Samsung Galaxy Store, альтернативные магазины приложений и специализированные сайты. Эти приложения относятся к семейству вредоносных программ BadBazaar и используются для утечки информации об устройстве, списках контактов, журналах вызовов, списке установленных приложений, а также для шпионажа за сообщениями Signal. Пользователям важно быть бдительными и загружать только официальные версии приложений из легальных источников.
-----

Исследователи компании ESET обнаружили две активные кампании, направленные на пользователей Android и приписываемые китайской APT-группе GREF. Вредоносный код, обнаруженный в этих приложениях, относится к семейству вредоносных программ BadBazaar, которое использовалось для атак на уйгуров и другие тюркские этнические меньшинства. Оба приложения, Signal Plus Messenger и FlyGram, были созданы одним и тем же разработчиком, имеют одинаковые вредоносные функции, а в описаниях приложений в обоих магазинах содержится ссылка на один и тот же сайт разработчика. Вредоносное приложение Signal Plus Messenger было загружено в Google Play 7 июля 2022 года и успело установиться более сотни раз. Вредоносное приложение FlyGram было загружено в Google Play около 4 июня 2020 года и успело получить более 5 тыс. установок.

Вредоносные приложения распространялись на устройствах в Австралии, Бразилии, Венгрии, Германии, Гонконге, Дании, Демократической Республике Конго, Испании, Йемене, Литве, Нидерландах, Польше, Португалии, Сингапуре, США, Украине. Ссылка на FlyGram в магазине Google Play была опубликована в уйгурской группе Telegram. Приложение FlyGram также доступно для загрузки со специализированного сайта.

Ранее компания Lookout приписывала BadBazaar китайской группировке APT15. Исследователи ESET не располагают достаточными доказательствами связи между GREF и APT15, но считают, что могут с высокой степенью уверенности отнести Signal Plus Messenger и FlyGram к семейству вредоносных программ BadBazaar. Вредоносные приложения содержат код, проверяющий, является ли оператор устройства китайцем, что является уникальным для семейства BadBazaar.

Signal Plus Messenger и FlyGram - несколько иные варианты BadBazaar, ориентированные на утечку пользовательских данных и шпионаж. Signal Plus Messenger отправляет на C&C-сервер различные данные об устройстве, такие как IMEI, номер телефона, MAC-адрес и т.д. Он также может шпионить за сообщениями Signal, используя функцию link device. FlyGram отправляет на C&C-сервер базовую информацию об устройстве, такую как IMEI-номер, MAC-адрес, имя оператора, язык устройства и часовой пояс. Кроме того, FlyGram может пересылать информацию с устройства, включая внутренние файлы Telegram. Программа имеет функцию облачной синхронизации, позволяющую создавать резервные копии и восстанавливать контакты, фотографии профиля, группы и каналы Telegram.

Единственный способ не стать жертвой вредоносного приложения для обмена сообщениями - загружать только официальные версии с официальных каналов. Для обнаружения несанкционированных подключений к учетной записи Signal пользователи могут проверить меню "Связанные устройства". GREF распространяла вредоносные приложения через официальный магазин Google Play, Samsung Galaxy Store, альтернативные магазины приложений и специализированные сайты.

Основной целью BadBazaar является утечка информации с устройства, списка контактов, журналов вызовов, списка установленных приложений, а также шпионаж за сообщениями Signal путем тайного подключения приложения Signal Plus Messenger к устройству злоумышленника. В итоге пользователям важно быть бдительными и следить за тем, чтобы загружать легитимные приложения из официальных источников.

#rstcloud

Помните, мы все грозились научить ChatGPT детектить TTP в отчетах.
Так вот, в TRAM эту задачку, вроде бы, решили через BERT. Будем тестить.

З.ы. Там еще есть нотебук Jupyter для дообучения модели. Текущая F1 модели 0.882

https://medium.com/mitre-engenuity/our-tram-large-language-model-automates-ttp-identification-in-cti-reports-5bc0a30d4567

Тем временем draft RFC по IOC в августе добрался до релиза
https://www.rfc-editor.org/info/rfc9424

#ParsedReport #CompletenessLow
04-09-2023

Tracking Fileless Malware Distributed Through Spam Mails

https://asec.ahnlab.com/en/56512

Report completeness: Low

Threats:
Agent_tesla
Remcos_rat
Limerat
Trojan/win.generic.r526355

Industry:
Financial

IOCs:
File: 5
Url: 2
Hash: 2

Algorithms:
base64

#ParsedReport #CompletenessLow
04-09-2023

apt-c-55 kimsuky. 1. Attack activity analysis

https://mp-weixin-qq-com.translate.goog/s?__biz=MzUyMjk4NzExMA==&mid=2247493300&idx=1&sn=614dda72d95b5dfd732916aec0662598&chksm=f9c1d5bdceb65cab316de9e368fef6a997b82e96ed1a70b9b53ea8ae3c5698a8d4c95488e956&scene=178&cur_album_id=1955835290309230595&_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=en&_x_tr_pto=wapp#rd

Report completeness: Low

Actors/Campaigns:
Kimsuky

Threats:
Harpoon

Victims:
South korean government departments, think tanks, government diplomacy, news organizations, educational and academic institutions, countries including the united states, russia, and european countries

Industry:
Government

Geo:
Korea, Russia, Korean

ChatGPT TTPs:
do not use without manual check
T1059.003, T1036.005, T1171, T1203, T1566.001, T1112, T1106, T1486

IOCs:
Hash: 7
Url: 6
File: 4
Path: 1

Soft:
chrome

Algorithms:
xor, base64

Languages:
php

Platforms:
x64

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 8, table: 2, windows: 4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Организация APT-C-55 (Kimsuky) на протяжении длительного времени атакует правительственные учреждения Южной Кореи с помощью образцов вредоносных макроатак, используя социальную инженерию, гарпунные письма, атаки "водяных ям" и другие средства. Недавно исследователи обнаружили последнюю атакующую кампанию этой организации, которая использует корейские доменные имена для загрузки и передачи вредоносной полезной нагрузки. Предполагается, что этот сайт мог быть захвачен организацией Kimsuky.
-----

Ключевые факты:.

Организация APT-C-55 (Kimsuky) уже давно нацелена на государственные ведомства Южной Кореи.

Для доставки вредоносных файлов организация использует социальную инженерию, гарпунные письма, атаки типа "водяная яма" и другие средства.

Атака начинается с lnk-файла, который содержит большое количество невидимых и бессмысленных символов, призванных снизить защиту жертвы.

После щелчка на lnk-файле будет расшифрован и освобожден от себя файл VBS-сценария, который будет выполнен.

Полезная нагрузка используется в основном для сбора информации и ее обратной передачи.

Доменное имя xn--vn4b27hka971hbue.kr фактически является корейским доменным именем .kr.

Домашняя страница доменного имени является домашней страницей компании под названием "Hansol Tape". Есть предположение, что этот сайт мог быть захвачен организацией Kimsuky.

#ParsedReport #CompletenessHigh
04-09-2023

ICYMI: Emotet Reappeared Early This Year, Unfortunately

https://www.trellix.com/en-us/about/newsroom/stories/research/icymi-emotet-reappeared-early-this-year-unfortunately.html

Report completeness: High

Threats:
Emotet
Joao
Zipbomb_technique
Hiatusrat
Passview_tool
Process_injection_technique
Process_hollowing_technique
Amphitryon
Powerstats

Industry:
Healthcare, Energy, Government, Financial, Entertainment, E-commerce

Geo:
Ukraine, Thailand, Estonia, Singapore, Turkey, Portugal, Guatemala, Emirates, Italy, Israel

TTPs:

IOCs:
File: 12
IP: 87
Hash: 322

Soft:
microsoft word, microsoft onenote, onenote, microsoft office word, microsoft office

Algorithms:
ecc, zip, ecdh

Win API:
WinHttpSendRequest

Languages:
visual_basic, javascript

SIGMA: Found

#ParsedReport #ExtractedSchema

Classified images:
schema: 4, dump: 1, chart: 3, windows: 4, code: 4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Компания Trellix проводит мониторинг Emotet с целью выявления новых векторов заражения и изменений в его деятельности и методологии, обеспечивая защиту от его вредоносной тактики с помощью сигнатурного обнаружения и сигнатур Endpoint Security. Основным вектором заражения Emotet являются вредоносные почтовые кампании и перехваченные потоки писем.
-----

Emotet - опасная и живучая вредоносная программа, существующая с 2014 года. Несмотря на попытки уничтожить его в начале 2021 года, он продолжает представлять угрозу. Для защиты организаций от этого вредоносного ПО компания Trellix проводит мониторинг Emotet с целью выявления новых векторов заражения и изменений в его деятельности и методологии. В мире Emotet распространен в Эстонии, Таиланде, Гватемале, Израиле, Сингапуре, Турции, Италии, Объединенных Арабских Эмиратах, Украине и Португалии. 5 наиболее популярных отраслей - электронная коммерция, энергетика/коммунальное хозяйство, финансовые услуги, государственные учреждения и здравоохранение.

Основным вектором заражения Emotet являются вредоносные почтовые кампании и перехваченные потоки писем, причем в нескольких вариантах. Такие письма часто содержат вредоносные zip-вложения или сильно заполненные документы Microsoft Word или OneNote, предназначенные для того, чтобы заманить пользователя на включение макросов. Эти документы содержат вредоносные макросы VBA, которые выполняют функцию загрузчика Emotet, извлекают полезную нагрузку Emotet с контролируемых злоумышленниками серверов распространения и заражают системы, добавляя их в ботнет Emotet.

Вредоносный код сильно обфусцирован и может быть деобфусцирован путем замены команды execute на команду echo, которая позволяет wscript не выполнять, а печатать вывод. Деобфусцированное содержимое раскрывает жестко закодированные URL-адреса, с которых может быть загружена полезная нагрузка Emotet. Вредоносная программа также снимает отпечатки пальцев с зараженного компьютера и отправляет собранную информацию на сервер C2, зашифрованную с помощью алгоритма Elliptic Curve Cryptography.

Для того чтобы обойти защиту, основанную на процессах, угрозы внедряют вредоносный код в приостановленные и "полые" процессы. Этот код использует модули NirSoft для получения учетных данных браузера. Для внедрения кода вредоносная программа также использует копию программы CertUtil и создает файл .tmp для сохранения собранной информации.

#ParsedReport #CompletenessMedium
04-09-2023

Executive Summary

https://interlab.or.kr/archives/19416

Report completeness: Medium

Actors/Campaigns:
Kimsuky

Threats:
Process_injection_technique
Process_hollowing_technique
Superbear
Quasar_rat
Bazarbackdoor

Victims:
Interlab, journalist, civil society groups

Geo:
Korean, Asia

TTPs:
Tactics: 1
Technics: 0

IOCs:
File: 3
IP: 1
Domain: 1
Email: 1
Hash: 2

Soft:
wordpress

Functions:
Windows, SetThreatContext

Win API:
CreateProcess, NtUnmapViewOfSection, VirtualAllocEx, WriteProcessMemory, ResumeThread

Languages:
autoit

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея этого текста заключается в том, что компания Interlab обнаружила новый RAT и считает, что он может быть приписан северокорейской угрожающей группе Kimsuky. Они пригласили другие общественные организации и промышленные предприятия внести свой вклад в проводимое расследование.
-----

8/28/2023 г. в Interlab поступил образец, отправленный журналисту, с высокоцелевым содержанием, заманивающим открыть документ. Вредоносный документ был в формате .LNK и при выполнении загружал вредоносную команду powershell и легитимный DOCX, связанный с организацией. Анализ выявил выполнение AutoIT-скрипта, который использовался для инъекции процессов с помощью техники "впадения" в процесс. Эта техника инжектировала новую RAT, получившую в коде название SuperBear, которая устанавливала соединение с сервером C2, расположенным по адресу: По наблюдениям, SuperBear RAT выполняет одну из трех основных операций атаки: перехват и обработка системных данных, выполнение команд командной оболочки или загрузка вредоносной DLL на зараженную машину. Исследователь угроз Interlab Ovi опубликовал полный технический отчет по SuperBear RAT в своем блоге.

Основываясь на сходстве вектора атаки и корреляции с кодом нескольких кампаний, специалисты Interlab предполагают, что эта кампания принадлежит северокорейской группировке Kimsuky. Известно, что Kimsuky использует для своих операций инструментарий с открытым исходным кодом, например Quasar RAT, и данная кампания не является исключением. Скрипт AutoIT, обнаруженный в этой кампании, был взят с различных интернет-форумов. Это интересная и примечательная особенность операций, проводимых Kimsuky.

Interlab считает, что SuperBear RAT является новым из-за несоответствия сигнатур данных, обнаруженных в самом RAT. Им пока не удалось обнаружить аналогичный образец в ретро-охоте, хотя это может измениться. Interlab приглашает другие общественные группы и промышленные предприятия внести свой вклад в это продолжающееся расследование.

#ParsedReport #CompletenessLow
04-09-2023

Phishing script files that leak user information are being distributed using Telegram.

https://asec.ahnlab.com/ko/56551

Report completeness: Low

Industry:
Telco

IOCs:
File: 9
Hash: 1

Soft:
telegram

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея данного текста заключается в том, что фишинг становится все более распространенной угрозой кибербезопасности, и для защиты от него необходимо принимать меры предосторожности, например, не вводить учетные данные во вложениях к письмам от неизвестных источников и использовать современное антивирусное программное обеспечение.
-----

Центр реагирования на чрезвычайные ситуации безопасности АнЛаб (ASEC) недавно обнаружил новую фишинговую аферу, использующую вложения электронной почты. Вложенные файлы маскируются под программы просмотра PDF-документов и содержат вредоносные скрипты с такими ключевыми словами, как "purchase order", "order", "receipt" и "order". Фишинговая атака направлена на обман пользователей путем подключения их к рекламному сайту загрузки PDF-файлов, открыто предоставляемому отечественной ERP-компанией, при трехкратной попытке входа в систему. Кроме того, был выявлен скрипт, перенаправляющий пользователей на сайт с обычным файлом изображения, не содержащим вредоносных функций.

Установлено, что эти вредоносные скрипты используют сильные стороны Telegram - анонимность и логику шифрования - для отправки сообщений. Функция "sendTeleMsg" используется для передачи адреса электронной почты, пароля и IP-адреса пользователя в чат, созданный злоумышленником через Telegram API. Для получения не только IP-адреса, но и информации о провайдере, а также региональной информации, включая широту/долготу, используются сервисы с открытым исходным кодом, такие как json.geoiplookup.io.

Важно знать об этой новой фишинговой афере, так как она использует API обычных приложений и поэтому может обходиться без обнаружения антивирусными продуктами. Кроме того, с помощью API Telegram могут быть распространены учетные записи пользователей. Пользователям рекомендуется не вводить информацию об учетной записи во вложениях к письмам из неизвестных источников.

Фишинг становится все более распространенной угрозой кибербезопасности, причем мошенничества, подобные этому, с течением времени становятся все более изощренными. Важно не терять бдительности и защищаться от подобных атак, принимая меры предосторожности, например, не вводить информацию о счетах во вложениях к письмам из неизвестных источников, а также использовать современное антивирусное программное обеспечение. Эти меры помогут обеспечить сохранность вашей личной и финансовой информации.

#ParsedReport #CompletenessLow
04-09-2023

CHM Malware Using Fukushima Contaminated Water Discharge: RedEyes (ScarCruft)

https://asec.ahnlab.com/ko/56654

Report completeness: Low

Actors/Campaigns:
Scarcruft

Threats:
M2rat

Victims:
Domestic users

Industry:
Financial

TTPs:
Tactics: 1
Technics: 0

IOCs:
File: 1
Command: 2
Path: 1
Registry: 1
IP: 1
Url: 4
Hash: 1

Algorithms:
zip

Languages:
javascript

#ParsedReport #CompletenessMedium
04-09-2023

Low-profile Threat Actor observed imitating NoEscape Ransomware

https://cyble.com/blog/low-profile-threat-actor-observed-imitating-noescape-ransomware

Report completeness: Medium

Threats:
Noescape
Powershell_ransomware

Industry:
Education

TTPs:
Tactics: 7
Technics: 11

IOCs:
File: 3
Url: 2
Path: 1
Hash: 2
IP: 1

Soft:
1password

Crypto:
bitcoin

Algorithms:
aes, sha256, base64

YARA: Found

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Компания CRIL обнаружила уникальный вариант программы-вымогателя, который не переименовывает файлы после шифрования и эволюционировал в течение двух дней. Важно сохранять бдительность и защищаться от этой угрозы.
-----

Компания Cyble Research & Intelligence Labs (CRIL) недавно обнаружила открытый каталог, содержащий подозрительный BAT-файл. В результате дальнейшего расследования было установлено, что этот пакетный файл используется для загрузки программ-вымогателей. Уникальность этого варианта ransomware заключается в том, что он не переименовывает файлы после шифрования, а также не использует никаких каналов связи или сайтов утечки информации. В записке с требованием выкупа содержится требование заплатить 30 биткойнов, что составляет примерно 780 000 долларов США, и утверждается, что угроза была нанесена учебному заведению.

Судя по всему, эта программа находится на стадии тестирования, поскольку ее эволюция происходила в течение двух дней. За это время TA ввела в процесс шифрования более 70 дополнительных расширений файлов, закодировала ключи шифрования в Base64 и добавила функцию определения публичного IP-адреса жертвы. Заражение начинается с пакетного файла, который имеет двойное расширение Readme.txt.bat, вероятно, в попытке обмануть пользователей, заставив их поверить, что это безобидный файл.

CRIL уже сообщал о существующем варианте вымогательского ПО NoEscape, который работает по модели Ransomware-as-a-Service (RaaS) и использует двойное вымогательство. Хотя этот вариант имитирует внешний вид NoEscape, он не использует те же методы, например, двойное вымогательство. Важно отметить, что злоумышленники все еще находятся на стадии тестирования и могут продолжать совершенствовать вредоносную программу. Поэтому необходимо сохранять бдительность и защищаться от этой угрозы.