#ParsedReport #CompletenessMedium
06-09-2023

Steal-It Campaign. MITRE ATT&CK TTP Mapping

https://www.zscaler.com/blogs/security-research/steal-it-campaign

Report completeness: Medium

Actors/Campaigns:
Steal-it (motivation: cyber_espionage)
Fancy_bear (motivation: cyber_espionage)

Threats:
Nishang_tool

Geo:
Belgium, Russian, Australia, Ukrainian, Ukraine, Poland

TTPs:

IOCs:
Domain: 3
File: 16
Url: 7
Path: 1
Hash: 7

Soft:
microsoft edge, chrome

Algorithms:
base64, zip

Functions:
DownloadString

Win Services:
WebClient

Languages:
javascript

Links:
https://github.com/samratashok/nishang/blob/master/Utility/Start-CaptureServer.ps1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея этого текста заключается в том, что специалисты Zscaler ThreatLabz обнаружили новую кампанию по краже под названием "Steal-It" и определили вредоносную полезную нагрузку и цепочку заражения, используемую участниками угрозы. Многоуровневая платформа облачной безопасности Zscaler помогает обнаружить угрозу и дает представление о поведении вредоносного ПО. Команда ThreatLabz компании Zscaler постоянно отслеживает новые угрозы и делится своими результатами с широким сообществом.
-----

Недавно лаборатория Zscaler ThreatLabz обнаружила новую кампанию по краже, получившую название "Steal-It". Эта кампания нацелена на такие регионы, как Австралия, Польша и Бельгия, и использует адаптированные версии сценария Start-CaptureServer PowerShell от Nishang для кражи хэшей NTLMv2. Затем эти украденные хэши передаются через API Mockbin. Анализ вредоносной полезной нагрузки показал, что злоумышленники использовали стратегию геозондирования, направленную на конкретные регионы, а также откровенные изображения моделей, чтобы заманить жертву на выполнение начальной полезной нагрузки. Наша команда считает, что кампания Steal-It может быть приписана APT28 (также известной как Fancy Bear) на основании ее сходства с кибератакой APT28, о которой сообщила CERT-UA.

Для анализа цепочки заражения Zscaler ThreatLabz разделил многочисленные образцы на разновидности в соответствии с наблюдаемыми тактиками, техниками и процедурами (TTP). Заражение начинается с ZIP-архива в комплекте с LNK-файлом, который загружает и выполняет сценарий PowerShell для перехвата хэшей NTLMv2. JavaScript-код используется для проверки наличия в заголовке userAgent ключевого слова "win" и проверки кода страны, чтобы определить, нацелена ли цепочка заражения на конкретную страну. Сценарий PowerShell, замаскированный под заголовок окна "Обновление Windows" и сообщение "Dynamic Cumulative Update for Windows (KB5023696)", загружается с сайта run.mocky.io, чтобы скрыть свои вредоносные намерения.

Многоуровневая платформа облачной безопасности Zscaler обнаруживает индикаторы на различных уровнях. В результате анализа "песочницы" были определены показатели угроз и конкретные методы MITRE ATT&CK, что позволило специалистам по кибербезопасности получить критически важные сведения о поведении вредоносного ПО. Такой комплексный подход позволяет им эффективно обнаруживать и противодействовать угрозам, исходящим от агентов угроз. Команда ThreatLabz компании Zscaler постоянно отслеживает новые угрозы и делится своими результатами с широким сообществом, чтобы опередить эти угрозы.

#ParsedReport #CompletenessLow
05-09-2023

Threat Actor Continues to Plague the Open-Source Ecosystem with Sophisticated Info-Stealing Malware

https://checkmarx.com/blog/threat-actor-continues-to-plague-the-open-source-ecosystem-with-sophisticated-info-stealing-malware

Report completeness: Low

Threats:
Plaguebot
White_snake
Supply_chain_technique
Mythic

Industry:
Telco

ChatGPT TTPs:
do not use without manual check
T1217.003, T1543.003, T1547.001, T1566.001, T1036.003, T1084.001, T1124.004, T1497.001, T1537.001, T1571.003, have more...

IOCs:
File: 1
IP: 7
Hash: 3

Soft:
telegram, openssh

Algorithms:
base64, zip

#ParsedReport #ExtractedSchema

Classified images:
code: 8, schema: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея этого текста заключается в том, что компания Checkmarx отслеживает вредоносную программу WhiteSnake, похищающую данные, и предоставляет средства связи и продукты для защиты клиентов от нее и других вредоносных угроз.
-----

Компания Checkmarx с мая 2021 года отслеживает вредоносного агента под ником PYTA31, который распространяет вредоносную программу WhiteSnake. WhiteSnake - это вредоносная программа, предназначенная для похищения данных из различных операционных систем, и предназначенная для утечки конфиденциальных данных, таких как информация о криптокошельках. Для того чтобы избежать обнаружения, вредоносная программа использует сложные методы, такие как загрузка и отправка массовых данных через файлообменный сервис и отправка ссылки на данные через канал Telegram. Вредоносная программа также загружает легитимное программное обеспечение OPENSSH для сохранения контроля над машинами под управлением Windows.

Компания Checkmarx и ее аффилированные лица предоставляют информацию о безопасности программного обеспечения, продуктах Checkmarx и услугах, помогающих защитить клиентов от вредоносной программы WhiteSnake и других вредоносных угроз. Благодаря аналитике цепочек поставок Checkmarx клиенты могут быть на шаг впереди злоумышленников и обеспечивать безопасность своих данных.

#ParsedReport #CompletenessLow
06-09-2023

Distribution of Backdoor via Malicious LNK: RedEyes (ScarCruft)

https://asec.ahnlab.com/en/56756

Report completeness: Low

Actors/Campaigns:
Scarcruft

Threats:
Rokrat
Dropper/lnk.generic.s2241
Trojan/bat.psexec.s2247

Geo:
Korean

TTPs:

IOCs:
File: 8
Path: 2
Command: 1
Url: 4
Hash: 3

Soft:
psexec

Algorithms:
base64

#ParsedReport #CompletenessMedium
06-09-2023

Android Users in South Korea targeted by spyware linked to Chinese Threat Actor

https://cyble.com/blog/android-users-in-south-korea-targeted-by-spyware-linked-to-chinese-threat-actor

Report completeness: Medium

Actors/Campaigns:
Axiom

Victims:
South korean android users

Industry:
Financial

Geo:
China, Korean, Chinese, Korea

TTPs:
Tactics: 6
Technics: 6

IOCs:
Url: 12
IP: 1
File: 1
Hash: 15

Soft:
android

Algorithms:
sha1, sha256, exhibit

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Исследователи обнаружили новую шпионскую кампанию, направленную на южнокорейских пользователей Android и связанную с китайским разработчиком. Шпионская программа передает украденные данные на C&C-сервер и содержит незавершенный код кейлоггинга, что свидетельствует о том, что она все еще находится в стадии разработки. Это подчеркивает необходимость проявлять бдительность при работе в Интернете и принимать меры по защите своих данных.
-----

Исследователи CRIL выявили новую кампанию по распространению шпионского ПО для Android, нацеленную на южнокорейских пользователей Android с июля 2023 года. Вредоносная программа распространяется через обманчивые фишинговые сайты, которые выдают себя за сайты для взрослых, но на самом деле доставляют вредоносный APK-файл. Шпионская программа связана с китайским агентом угроз и, предположительно, имеет отношение к Коммунистической партии Китая. После установки вредоносная программа запрашивает разрешения на доступ к конфиденциальным данным и активно следит за приложениями, используемыми жертвой в данный момент. Он может похищать контакты, SMS-сообщения, журналы вызовов, изображения, аудиофайлы и делать скриншоты. Кроме того, он может перенаправлять входящие звонки и выборочно перехватывать входящие текстовые сообщения, что позволяет ТА целенаправленно и потенциально извлекать из них конфиденциальную информацию.

Шпионская программа передает похищенные данные на C&C-сервер, расположенный по адресу hxxps://jkweb255.top/api/. В ходе исследования C&C-сервера мы просмотрели некоторые записи похищенных данных на сервере, обнаружив, что на момент написания этой статьи было добавлено около 23 зараженных устройств. Кроме того, сервер содержит более 28 000 номеров мобильных телефонов, многие из которых связаны с банками и кредитными организациями Южной Кореи.

Шпионская программа также содержит недоработанный код для регистрации нажатий клавиш, что говорит о том, что она все еще находится в стадии разработки и может появиться с дополнительными функциями в ближайшие дни. Анализ кода показывает, что шпионская программа использует сервис Accessibility Service для регистрации нажатий клавиш, мониторинга выбранных приложений для обмена сообщениями и социальных сетей, а также инициирует другие действия. Наличие этого кода говорит о том, что TA, возможно, планирует заниматься финансовым мошенничеством с использованием украденных данных.

Выявление этой сложной шпионской кампании для Android свидетельствует о постоянной угрозе, исходящей от злоумышленников в цифровом пространстве. Это не только демонстрирует возможности ТА по созданию сложных атак, но и подчеркивает необходимость проявлять бдительность при работе в Интернете. Пользователи должны знать о потенциальных фишинговых сайтах и принимать меры по защите своих данных. В частности, регулярно обновлять свои устройства, избегать подозрительных ссылок и использовать для дополнительной защиты антивирусные программы.

#ParsedReport #CompletenessHigh
06-09-2023

Fake Update Utilizes New IDAT Loader To Execute StealC and Lumma Infostealers

https://www.rapid7.com/blog/post/2023/08/31/fake-update-utilizes-new-idat-loader-to-execute-stealc-and-lumma-infostealers

Report completeness: High

Threats:
Idat_loader
Stealc
Lumma_stealer
Sectop_rat
Amadey
Process_doppelganging_technique
Heavens_gate_technique
Clearfake
Socgholish_loader
Process_injection_technique

Victims:
Users downloading malicious binaries from the compromised site

TTPs:
Tactics: 2
Technics: 9

IOCs:
Url: 1
File: 7
Domain: 14
IP: 1
Hash: 12

Soft:
chrome, windows defender

Algorithms:
xor, base64

Win API:
ExpandEnvironmentStringsW, QueryPerformanceCounter, CreateProcessW, GetComputerNameW, SetEnvironmentVariableW, NtCreateSection, NtMapViewOfSection, NtWriteVirtualMemory, NtSuspendThread, NtResumeThread, have more...

Languages:
python, javascript

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Злоумышленники используют новую вредоносную программу ClearFake для обмана пользователей, заставляя их выполнять вредоносные двоичные файлы, что приводит к доставке инфопохитителей типа Stealc, Lumma и Amadey. Вредоносная полезная нагрузка хранится в чанке IDAT формата PNG, а загрузчик использует такие техники уклонения, как Process Doppelgnging и Heaven's Gate.
-----

Недавно компания Rapid7 обнаружила замануху Fake Browser Update, которая обманом заставляла пользователей выполнять вредоносные двоичные файлы. Вредоносные двоичные файлы использовали сложный загрузчик под названием IDAT для выполнения инфопохитителей и RAT на скомпрометированных системах, включая StealC, Lumma и Amadey. Свое название IDAT-загрузчик получил потому, что угрожающий агент хранит вредоносную полезную нагрузку в IDAT-чанке файла формата PNG. Кроме того, в поток атак была включена недавно обнаруженная вредоносная программа ClearFake.

Кампания началась 19 июля 2023 г. Вредоносная программа ClearFake использовала base64 для обфускации вредоносного Javascript. Также было замечено, что единственным заметным отличием от SocGholish является отсутствие отслеживания посещений по IP-адресу или cookies, что означает большую вероятность обнаружения заражения владельцем сайта.

Когда пользователь нажимал кнопку "Обновить Chrome", в папку загрузки по умолчанию автоматически загружался двоичный файл. Этот двоичный файл назывался ChromeSetup.exe, который уже использовался в предыдущих атаках SocGholish, а теперь был принят ClearFake. Кроме того, специалисты Rapid7 заметили, что внешний вид и имя файла первоначального исполняемого файла дроппера могут меняться в зависимости от браузера пользователя при посещении скомпрометированной веб-страницы.

Исполняемые файлы содержали недействительные подписи и пытались загрузить и установить пакет MSI. При выполнении MSI-дроппер записывал легитимный исполняемый файл VMwareHostOpen.exe, несколько легитимных зависимостей и вредоносный файл библиотеки динамических связей (DLL) vmtools.dll. Кроме того, он передавал зашифрованный файл vmo.log, который имел структуру PNG и впоследствии был расшифрован вредоносной DLL.

Для обхода средств защиты загрузчик IDAT использовал динамический импорт и технику обхода "Heaven's Gate", создавая на основе вывода API-вызова QueryPerformanceCounter новую папку в каталоге %APPDATA% и рандомизируя ее значение. Затем он внедрял код в процесс cmd.exe, используя технику создания нового участка памяти, сопоставлял представление этого участка локальному вредоносному процессу и заполнял это представление шелл-кодом.

Затем код загрузчика извлекал переменную окружения TCBEDOPKVDTUFUSOCPTRQFD и считывал в память данные файла %TEMP%\89680228. Затем эти данные были XORed с ключом 3D ED C0 D3 и внедрены в процесс explorer.exe с помощью техники инъекции Process Doppelgnginging. Конечная полезная нагрузка, внедренная в процесс explorer.exe, была идентифицирована как Lumma Stealer.

Hard-Hit HardBit. Анализ версий шифровальщика семейства HardBit и декриптор

https://rt-solar.ru/analytics/reports/3676/

#rstcloud

К вопросу о том, насколько можно использовать открытые источники IOC для отслеживания трендов по угрозам.
Очень даже можно, на мой взгляд. Самое главное - правильно подбирать источники.

#ParsedReport #CompletenessLow
07-09-2023

macOS Pirrit Adware

https://labs.k7computing.com/index.php/macos-pirrit-adware

Report completeness: Low

Threats:
Pirrit
Supernova

ChatGPT TTPs:
do not use without manual check
T1036.003, T1036.005

IOCs:
File: 1
Hash: 5

Soft:
macos, photoshop, lightroom, autocad, operagx, flash player, gatekeeper, chatgpt, virtualbox, opera, have more...

Algorithms:
zip

Platforms:
x86

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Исследователи из K7 Labs обнаружили сайт crack(-)mac(.)com, на котором предлагалось взломанное программное обеспечение для macOS, однако загружаемые программы на самом деле являлись рекламным ПО Pirrit, которое может воздействовать на пользователей, перенаправляя их на вредоносные сайты, собирая пользовательские данные и выдавая назойливую рекламу.
-----

Недавно исследователи из K7 Labs обнаружили сайт, предоставляющий взломанное программное обеспечение для macOS. Сайт под названием crack(-)mac(.)com был хорошо оформлен и заявлял, что предоставляет безопасное, быстрое и бесплатное программное обеспечение. Однако на самом деле пользователи непреднамеренно загружали рекламное ПО Pirrit.

Pirrit - рекламное ПО для macOS, впервые обнаруженное в 2016 году и с тех пор активно распространяющееся. Оно воздействует на пользователей, перенаправляя их на вредоносные сайты, собирая пользовательские данные и выдавая назойливую рекламу. Vexfile - сайт, известный тем, что на нем размещается множество вредоносных файлов, также был подтвержден VT Relations. В результате изучения VM check и применения антиотладочных средств было установлено, что сайт может принадлежать рекламному ПО Pirrit. Об этом также упоминалось в обнаружениях VT.

В процессе установки программа предлагала загрузить другие приложения, такие как Supernova, Avast AV, Opera и CC Cleaner. Эти приложения могли содержать дополнительные вредоносные элементы, но выявить полезную нагрузку следующего этапа в ходе анализа не удалось. Существует блог, в котором описывается другая цепочка заражения этой рекламной программой Pirrit.

#ParsedReport #CompletenessMedium
06-09-2023

QakBot's Endgame: The Final Move Before the Takedown

https://www.trellix.com/content/mainsite/en-us/about/newsroom/stories/research/qakbots-endgame-the-final-move-before-the-takedown.html

Report completeness: Medium

Actors/Campaigns:
Ta570

Threats:
Qakbot
Emotet
Prolock
Egregor
Doppelpaymer
Process_injection_technique

Industry:
Entertainment, Financial

TTPs:
Tactics: 6
Technics: 16

IOCs:
File: 7
Registry: 1

Soft:
windows error reporting manager, windows error reporting

Algorithms:
ror13, base64

Win API:
ShellExecuteExW, BitBlt, VirtualAlloc, VirtualProtect

Languages:
python, javascript

#ParsedReport #ExtractedSchema

Classified images:
code: 7, chart: 3, schema: 2

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Qakbot - это вредоносный банковский троян, действующий с 2007 года и использующийся для кражи конфиденциальных данных. Несмотря на глобальную операцию по уничтожению Qakbot летом 2023 года, организации и частные лица должны сохранять бдительность и принимать проактивные меры для защиты своих систем от подобных атак.
-----

Qakbot, известный также под названиями QBot, QuakBot и Pinkslipbot, - вредоносный банковский троян, действующий с 2007 года. Он предназначен для кражи конфиденциальных данных, включая учетные данные и финансовую информацию. Qakbot был связан с развертыванием программ-вымогателей и способен загружать и исполнять дополнительное вредоносное ПО. Последняя версия Qakbot, появившаяся в апреле 2023 года, использует в качестве начального вектора заражения файлы JavaScript. Сценарий атаки предполагает загрузку жертвой вредоносного JS-файла со встроенного URL-адреса, содержащегося в фишинговом письме. Для повышения эффективности вредоносных URL-адресов угрозы используют различные техники уклонения, такие как обфускация, уклонение от гео-адреса, уклонение от пустого содержимого и уклонение от перенаправления.

Вредоносная программа сложна и трудно поддается анализу. В нем используются сложные методы обфускации, закодированные строки, вызовы функций и динамически генерируемый код. После выполнения JS-файла происходит вызов закодированной команды PowerShell, которая отвечает за сброс вредоносного DLL-файла. Этот файл затем запускается с помощью приложения rundll32.exe. Поведение этого файла включает использование алгоритма ROR13 для вычисления адресов VirtualAlloc и VirtualProtect, расшифровку сильно обфусцированного шелл-кода и возврат в исходное состояние.

Летом 2023 года в результате глобальной операции, проведенной под руководством Министерства юстиции и ФБР, деятельность Qakbot была успешно ликвидирована. Несмотря на это, организации и частные лица должны сохранять проактивность в защите своих систем от подобных атак с использованием современных вредоносных программ. Важно проявлять осторожность и сохранять бдительность при получении подозрительных писем, поскольку они могут привести к загрузке вредоносных JS-файлов. Кроме того, для эффективного обнаружения, ослабления и нейтрализации этой угрозы необходимо применять надежные меры кибербезопасности.

#ParsedReport #CompletenessMedium
07-09-2023

Multiple Nation-State Threat Actors Exploit CVE-2022-47966 and CVE-2022-42475

https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-250a

Report completeness: Medium

Threats:
Mirai
Connectwise_rat
Screenconnect_tool
Metasploit_tool
Meterpreter_tool
Mimikatz_tool
Procdump_tool
Credential_dumping_technique
Anydesk_tool
Daxin
Lockbit

Victims:
Aeronautical sector organization

Geo:
Brazil, Portuguese

CVEs:
CVE-2021-44228 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 10
X-Force: Patch: Official fix
Soft:
- apache log4j (2.0, <2.15.0, <2.3.1, <2.12.2)
- siemens sppa-t3000 ses3000 firmware (*)
- siemens logo\! soft comfort (*)
- siemens spectrum power 4 (4.70)
- siemens siveillance control pro (*)
have more...
CVE-2022-47966 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- zohocorp manageengine access manager plus (4.3)
- zohocorp manageengine ad360 (<4.3)
- zohocorp manageengine adaudit plus (7.0)
- zohocorp manageengine admanager plus (7.1)
- zohocorp manageengine adselfservice plus (6.2)
have more...
CVE-2022-42475 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- fortinet fortios (le5.6.14, le5.4.13, le5.2.15, le5.0.14, le6.2.11, le6.0.15, le6.4.10, le7.2.2, le7.0.8, le6.0.14, le6.4.9, le7.0.7)
- fortinet fortiproxy (le1.0.7, le1.1.6, le1.2.13, 7.2.0, le7.0.7, le2.0.11)


TTPs:
Tactics: 7
Technics: 37

IOCs:
IP: 23
Path: 30
File: 21
Email: 1
Command: 2
Domain: 3

Soft:
local security authority, active directory, psexec, sysinternals, apache log4j, outlook, windows registry, windows service

Algorithms:
aes, zip

Win API:
CreateServiceW

Languages:
java, php, javascript

Platforms:
x86

Links:
https://github.com/cisagov/Decider/
https://github.com/projectdiscovery/interactsh

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: CISA, ФБР и CNMF выявили признаки компрометации в одной из организаций авиационного сектора в январе 2023 г., где субъекты APT использовали две уязвимости для получения несанкционированного доступа и бокового перемещения по сети организации. CISA выпустила совместный совет по кибербезопасности, чтобы предоставить защитникам сетей тактику, методы и процедуры, индикаторы компрометации, а также методы обнаружения и защиты от аналогичной эксплуатации.
-----

В январе 2023 года субъекты APT использовали две отдельные уязвимости - CVE-2022-47966 и CVE-2022-42475 - для получения несанкционированного доступа в одной из организаций авиационного сектора.

Субъекты APT инициировали несколько TLS-шифрованных сессий на TCP-порту 10443, что свидетельствовало об успешном обмене передачей данных с межсетевого устройства.

Действующие лица APT использовали отключенные, легитимные учетные данные административной учетной записи ранее нанятого подрядчика.

CISA не удалось установить, был ли осуществлен доступ к служебной информации, ее изменение или утечка.

CISA выпустила совместный совет по кибербезопасности, в котором защитники сетей должны ознакомиться с тактикой, методами и процедурами, индикаторами компрометации, а также методами обнаружения и защиты от аналогичной эксплуатации.

Для предотвращения подобных атак в будущем CISA рекомендует вести журнал регистрации создания новых пользователей, отслеживать выполняемые команды и аргументы на предмет действий, связанных с созданием локальной учетной записи, отслеживать изменения, вносимые в запланированные задачи, и контролировать вызовы API, которые могут создавать или модифицировать Windows.

#ParsedReport #CompletenessMedium
07-09-2023

New Hive0117 phishing campaign imitates conscription summons to deliver DarkWatchman malware

https://securityintelligence.com/posts/new-hive0117-phishing-campaign-imitates-conscription-summons-deliver-darkwatchman-malware

Report completeness: Medium

Actors/Campaigns:
Hive0117

Threats:
Darkwatchman
Melissa
Beacon

Victims:
Individuals associated with major energy, finance, transport, and software security industries based in russia, kazakhstan, latvia, and estonia

Industry:
Government, Financial, Military, Energy

Geo:
Latvia, Moscow, Kazakhstan, Russia, Russian, Estonia, Ukraine

TTPs:

IOCs:
Email: 1
File: 5
Registry: 1
Command: 2
Hash: 17

Soft:
windows registry

Algorithms:
xor, zip, base64

Languages:
javascript, php