#ParsedReport #CompletenessMedium
14-09-2023

HiddenGh0st malware attacking MS-SQL servers

https://asec.ahnlab.com/ko/57028

Report completeness: Medium

Threats:
Hiddengh0st
Gh0st_rat
Cringe_rat
Remcos_rat
Atmosphere
Mimikatz_tool
Purplefox
Cloaking_technique
Malware/win32.rl_generic.r356012
Trojan/win.generic.c4446276
Malware/mdp.behavior.m29

Victims:
Ms-sql servers, improperly managed ms-sql servers, database servers, qq messenger users

Geo:
China, Chinese

ChatGPT TTPs:
do not use without manual check
T1071, T1053, T1016, T1082, T1036, T1060, T1083, T1089, T1158, T1497, have more...

IOCs:
Hash: 4
File: 11
Registry: 3
Command: 2
Path: 2
IP: 1
Domain: 1

Soft:
ms-sql, mysql, internet explorer, windows kernel

Algorithms:
zip

Functions:
GetMP, ObRegisterCallbacks, PsSetCreateProcessNotifyRoutineEx, CmRegisterCallbackEx, NtLoadDriver

Win API:
DefineDosDeviceA

Win Services:
BITS, rvice

Platforms:
x64, x86

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что Gh0st RAT - это вредоносное программное средство, обычно используемое для атак на серверы MS-SQL, с вариантом, известным как HiddenGh0st, который может похищать информацию об учетной записи и включает в себя различные команды.
-----

Gh0st RAT - это вредоносное программное средство, разработанное китайскими злоумышленниками и широко используемое для атак на серверы MS-SQL. Это один из самых распространенных вариантов вредоносного ПО, на который приходится 29,0% атак, согласно статистике за второй квартал 2023 года. Распространяется вариант Gh0st RAT, известный как HiddenGh0st, который устанавливает скрытый руткит, имеющий открытый исходный код и доступный на GitHub для сокрытия и защиты вредоносного ПО, отвечающего за функцию бэкдора. Данный вариант включает функцию кражи учетной информации и поддерживает различные команды, такие как удаление кэша Internet Explorer, открытие и закрытие CD-ROM, скрытие панели задач, изменение положения левой и правой кнопок мыши.

#ParsedReport #CompletenessMedium
14-09-2023

Konni APT exploits WinRAR vulnerability (CVE-2023-38831) to attack the digital currency industry for the first time

https://paper-seebug-org.translate.goog/3032/?_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=ru&_x_tr_pto=wapp

Report completeness: Medium

Actors/Campaigns:
Kimsuky
Scarcruft
Lazarus

Threats:
Uac_bypass_technique

Industry:
Military, Financial

Geo:
Korean, Koreas, Korea

CVEs:
CVE-2023-38831 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- rarlab winrar (<6.23)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1546.001, T1190, T1068, T1086.001, T1117, T1203, T1075, T1218.002

IOCs:
File: 13
Domain: 2
Registry: 2
Command: 1
Hash: 1

Algorithms:
aes, base64

Languages:
php

Platforms:
x64

#ParsedReport #ExtractedSchema

Classified images:
code: 21, windows: 3, schema: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Группа перспективной разведки угроз Chuangyu 404 недавно опубликовала отчет о результатах исследования, в котором подробно описаны методы, используемые северокорейской группировкой Konni для атак на операции с цифровыми валютами. Для осуществления атаки Konni использовала уязвимость WinRAR (CVE-2023-38831) и вредоносную полезную нагрузку. Атака использовалась для установки дополнительных вредоносных программ, кражи учетных данных и проведения DDoS-атак.
-----

Группа перспективной разведки угроз Chuangyu 404 недавно выпустила исследовательский отчет под названием "Провокационная эскалация крупномасштабных совместных военных учений Южной Кореи и США?". В этом отчете подробно описаны методы, используемые поддерживаемой Северной Кореей группировкой Konni для атак на операции с цифровыми валютами, часто осуществляемые организацией Lazarus. В этой атаке Konni использовала уязвимость WinRAR (CVE-2023-38831), которая была недавно раскрыта компанией Group-IB.

Образец атаки имел имя wallet_Screenshot_2023_09_06_Qbao_Network.rar, и при нажатии жертвой на HTML-файл в сжатом файле выполнялась вредоносная полезная нагрузка. Краткий анализ уязвимости CVE-2023-38831 определял наличие или отсутствие сеанса удаленного подключения и, если таковой имелся, запускал файл trap.bat. Если такового не было, то определялось, является ли текущая система Win10 или нет, при этом Num устанавливался равным 4, если да, и 1 в противном случае. Затем он проверял, является ли система 64-битной, и выполнял wpnprv64.dll или wpnprv32.dll соответственно. Далее использовалась функция экспорта "IIIIIIIII", содержащая основной вредоносный код и выбирающая различные методы обхода UAC в соответствии с переданными параметрами.

При установке входящего параметра в значение 4 для осуществления обхода UAC использовались технологии подмены AppInfo RPC и PPID и запускался файл trap.bat. Далее на примере программы x64 выполнялся rdssvc.dll (Konni RAT). Она считывала файл rdssvc.dat и расшифровывала из него адрес C2. Этот C2-адрес использовался для установления соединения между атакующим и целевой машиной. Затем атака могла быть использована для установки дополнительных вредоносных полезных нагрузок, кражи учетных данных и проведения DDoS-атак.

#ParsedReport #CompletenessMedium
14-09-2023

New Python NodeStealer Goes Beyond Facebook Credentials, Now Stealing All Browser Cookies and Login Credentials

https://www.netskope.com/blog/new-python-nodestealer-goes-beyond-facebook-credentials-now-stealing-all-browser-cookies-and-login-credentials

Report completeness: Medium

Threats:
Nodestealer
Doorway

Victims:
Facebook business accounts with bogus facebook messages with a malicious file attached

Geo:
America

IOCs:
Domain: 1
Path: 1
File: 6
Url: 9
Hash: 5

Soft:
telegram, chrome, google chrome, microsoft edge, opera

Algorithms:
zip

Languages:
javascript, python

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея этого текста заключается в том, что Netskope Threat Labs отслеживает кампанию, которая использует вредоносный файл-вложение для кражи cookies и учетных данных Facebook, а также данных из нескольких браузеров.
-----

Компания Netskope Threat Labs отслеживает кампанию, направленную на бизнес-аккаунты Facebook с помощью фальшивых сообщений, содержащих вложение с вредоносным файлом. Этот вредоносный файл представляет собой новый вариант NodeStealer на базе Python, целью которого является кража cookies и учетных данных Facebook, а также данных из нескольких браузеров. Вредоносный файл представляет собой пакетный файл, который при открытии с кодировкой UTF-8 загружает два zip-файла с вредоносного домена. Эти zip-файлы содержат интерпретатор Python, библиотеки и полезную нагрузку вредоносной программы. Вредоносная программа запускает Powershell для загрузки вредоносного Python-скрипта с именем project.py. Этот скрипт собирает IP-адрес пользователя, код страны, файлы браузера Google Chrome (Login Data, Cookies и Local State), а также файлы cookie с других сайтов. Все собранные файлы затем эксфильтрируются с помощью Telegram.

#technique
S4UTomato - Escalate Service Account To LocalSystem via Kerberos

https://paper-seebug-org.translate.goog/3034/?_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=ru&_x_tr_pto=wapp

#ParsedReport #CompletenessHigh
15-09-2023

Threat Group Assessment: Turla (aka Pensive Ursa). Additional References

https://unit42.paloaltonetworks.com/turla-pensive-ursa-threat-assessment

Report completeness: High

Actors/Campaigns:
Turla (motivation: cyber_espionage)
Tomiris

Threats:
Mispadu
Wildfire
Capibar
Carbon
Agent_btz
Crutch
Turla_silentmoon
Quietcanary
Tinyturla
Uroburos
Kazuar
Kopiluwak
Sunburst
Perseus
Topinambour
Gazer
Dll_hijacking_technique
Process_injection_technique

Victims:
Various government entities, embassies, military organizations, education, research and pharmaceutical companies

Industry:
Financial, Military, Healthcare, Education, Government

Geo:
Asia, Russian, Ukrainian, Ukraine

TTPs:
Tactics: 12
Technics: 0

IOCs:
File: 5
Path: 1
Hash: 39
Url: 13
Domain: 13
IP: 4

Soft:
macos

Algorithms:
sha256, rc4

Languages:
javascript

#ParsedReport #ExtractedSchema

Classified images:
windows: 13, code: 4, schema: 6, dump: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Pensive Ursa - российская APT-группа, созданная ФСБ и обладающая широким набором вредоносных инструментов и технологий, которые нанесли значительный ущерб организациям всех размеров и отраслей. Для защиты от Pensive Ursa и других APT-групп организациям необходимо уделять приоритетное внимание комплексным стратегиям безопасности и инвестировать в многоуровневые меры защиты.
-----

Группа перспективных постоянных угроз (APT) Pensive Ursa - это российская группа, работающая под руководством ФСБ и известная своими целенаправленными вторжениями и инновационной скрытностью. Группа действует как минимум с 2004 года, атакуя жертв в более чем 45 странах мира, а также в самых разных отраслях, включая государственные структуры, посольства и военные организации, а также образовательные, исследовательские и фармацевтические компании. Эта группа была выбрана в качестве объекта оценки MITRE ATT&CK 2023 года в связи с ее глобальным воздействием.

Мы изучили 10 основных типов вредоносных программ в арсенале Pensive Ursa и проследили их исполнение через призму продукта Cortex XDR компании Palo Alto Networks. К ним относятся Capibar (он же DeliveryCheck, GAMEDAY), Kazuar, Snake, Kopiluwak, QUIETCANARY/Tunnus, Crutch, ComRAT, Carbon, HyperStack и TinyTurla. Для каждого типа вредоносных программ приводится краткое описание и анализ, а также способы обнаружения и предотвращения угроз с помощью Cortex XDR.

Впервые Capibar был замечен в 2022 году и распространялся по электронной почте в виде документов с вредоносными макросами. Он предназначен для персистенции через запланированное задание, которое загружает и запускает полезную нагрузку в памяти. Kazuar предоставляет полный доступ к скомпрометированным системам и обладает мощным набором команд. Snake - наиболее сложный инструмент в наборе инструментов Pensive Ursa, используемый для достижения персистентности и эксфильтрации данных. QUIETCANARY - легкий бэкдор, написанный на .NET, способный выполнять различные команды и применяющий RC4-шифрование для защиты C2-коммуникаций. Вредоносная программа Kopiluwak распространяется в виде многослойной полезной нагрузки на JavaScript и собирает начальную профильную информацию об инфицированной машине. Crutch был обнаружен в декабре 2020 года и представляет собой бэкдор второго уровня, стойкость которого достигается за счет перехвата DLL. ComRAT - один из самых старых бэкдоров Pensive Ursa, впервые обнаруженный в 2007 году и разработанный на языке C++. Carbon - фреймворк с возможностями P2P-коммуникаций, используемый для отправки команд другим зараженным машинам в пораженной сети. HyperStack - бэкдор RPC, впервые обнаруженный в 2018 году и использовавшийся в операциях, направленных против государственных структур в Европе. Наконец, вредоносная программа TinyTurla была впервые обнаружена компанией Talos в 2021 году и устанавливается как служба под названием Windows Time Service.

Оповещения Cortex XDR сопоставляются с системой MITRE ATT&CK и содержат информацию о тактике и технике, связанной с угрозой. Деятельность и арсенал, связанные с "Урсой", вызвали в Cortex XDR многочисленные тревоги, которые были сопоставлены с тактикой и техникой, указанными в MITRE ATT&CK.

Потенциальный ущерб от APT-атаки Pensive Ursa может быть весьма значительным. Последствия не ограничиваются только финансовыми потерями и утечкой данных, но и возможностью проникновения атаки в критически важную инфраструктуру, что может иметь последствия для национальной безопасности и геополитики. Таким образом, каждая организация, независимо от ее размера и отрасли, должна уделять приоритетное внимание комплексным стратегиям безопасности и инвестировать в многоуровневые меры защиты, чтобы противостоять растущей угрозе APT-групп, подобных Pensive Ursa.

#ParsedReport #CompletenessMedium
15-09-2023

Covert Delivery of Cobalt Strike Beacon via Sophos Phishing Website. Overview

https://cyble.com/blog/covert-delivery-of-cobalt-strike-beacon-via-sophos-phishing-website

Report completeness: Medium

Threats:
Cobalt_strike
Beacon
Typosquatting_technique

Victims:
Sophos

TTPs:
Tactics: 4
Technics: 6

IOCs:
Domain: 1
File: 4
IP: 1
Hash: 1

Soft:
internet explorer

Algorithms:
aes, gzip, sha256, base64, sha1

Functions:
click, AddScript, BeginInvoke

Languages:
javascript

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Компания Cyble Research & Intelligence Labs (CRIL) обнаружила опечатанный домен Sophos, который запускает загрузку вредоносного загрузчика .Net, содержащего маяк Cobalt Strike. Эта техника повышает уклончивость вредоносной программы, выполняя скрипты без порождения новых процессов и сохранения их на диске, что снижает вероятность обнаружения.
-----

Компания Cyble Research & Intelligence Labs (CRIL) обнаружила опечатанный домен компании Sophos - sopbos . com - с помощью поиска на VirusTotal. Этот фишинговый сайт выдает себя за установку Sophos Home, возможно, с помощью фишингового письма или рекламы, содержащей ссылку. При посещении сайта пользователь инициирует загрузку вредоносного .Net-загрузчика, не требующего никакого взаимодействия с пользователем. Этот загрузчик содержит встроенный сценарий PowerShell, который использует runspace для выполнения и развертывания маяка Cobalt Strike, создающего обратную TCP-оболочку.

JavaScript-код на фишинговом сайте при загрузке инициирует загрузку вредоносной программы. Он декодирует исполняемый файл в Base64-кодировке и сохраняет его в блобе. В зависимости от браузера пользователя он либо напрямую сохраняет или открывает блоб с помощью window.navigator.msSaveOrOpenBlob, либо динамически генерирует элемент якоря и имитирует событие щелчка мыши. Загружаемый файл представляет собой 64-разрядный двоичный файл .Net, использующий runspace для выполнения встроенного кода PowerShell. Этот код расшифровывает и выполняет финальный сценарий PowerShell - маяк Cobalt Strike, который создает обратную оболочку с IP-адресом, закодированным в шестнадцатеричном формате.

Cobalt Strike использовался агентами угроз (АУ) для распространения различных полезных нагрузок, включая программы-вымогатели и троянские программы удаленного доступа (RAT). Однако из-за недоступности C&C-сервера не удалось определить, какую именно полезную нагрузку собирались распространить TA. Несмотря на это, следует отметить, что для выполнения сценариев PowerShell через runspace во вредоносной программе использовался загрузчик .Net. Эта техника повышает уклончивость вредоносной программы, поскольку скрипты выполняются без порождения новых процессов и сохранения на диске, что снижает вероятность их обнаружения.

#ParsedReport #CompletenessLow
15-09-2023

Spreading of malicious LNK impersonating the National Tax Service

https://asec.ahnlab.com/ko/57088

Report completeness: Low

Threats:
Quasar_rat
Amadey
Infostealer/bat.generic.s2319
Trojan/bat.runner.sc192407

Geo:
Korean

IOCs:
File: 19
Url: 4
Hash: 7

Algorithms:
zip

#ParsedReport #CompletenessLow
15-09-2023

Why Are You Texting Me? UNC3944 Leverages SMS Phishing Campaigns for SIM Swapping, Ransomware, Extortion, and Notoriety. Cyber Defense Self-Assessment

https://www.mandiant.com/resources/blog/unc3944-sms-phishing-sim-swapping-ransomware

Report completeness: Low

Actors/Campaigns:
Unc3944 (motivation: financially_motivated, information_theft)
0ktapus

Threats:
Recordstealer
Anydesk_tool
Meduza
Vidar_stealer
Blackcat
Megasync_tool
Ad_explorer_tool
Adrecon
Pingcastle_tool
Putty_tool
Plink_tool
Impacket_tool
Dwagent_tool
Fleetdeck_tool
Parsec_tool
Remotepc_tool
Rustdesk_tool
Screenconnect_tool
Splashtop_tool
Teamviewer_tool
Tightvnc_tool
Twingate_tool
Mimikatz_tool

Victims:
Organizations in the financial sector and other industries

Industry:
Healthcare, Financial, Telco, Entertainment, Retail, Bp_outsourcing

TTPs:
Tactics: 2
Technics: 0

Soft:
telegram, hashicorp vault, azure active directory, windows defender, microsoft defender, outlook, openssh proxifier, chrome, psexec, pulseway, have more...

Languages:
python

Links:
https://github.com/NetSPI/MicroBurst
https://github.com/fortra/impacket/blob/master/examples/wmiexec.py
https://github.com/fortra/impacket/blob/master/examples/secretsdump.py
https://github.com/C-Sto/gosecretsdump

#ParsedReport #ExtractedSchema

Classified images:
schema: 12, windows: 4, code: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что UNC3944 представляет собой финансово мотивированный кластер угроз, использующий социальную инженерию, SMS-фишинг и ransomware для получения доступа к конфиденциальным данным и системам с целью вымогательства. Они определили как минимум три фишинговых набора, которые они используют, и были замечены в использовании общедоступных инструментов для кражи учетных данных и загрузки программного обеспечения с сайтов производителей или репозиториев GitHub. Вполне вероятно, что они продолжат совершенствовать свои методы работы и тактику монетизации.
-----

UNC3944 представляет собой финансово мотивированный кластер угроз, который постоянно использует телефонную социальную инженерию и SMS-фишинг для получения учетных данных. С 2022 года UNC3944 сосредоточилась на получении доступа к учетным данным или системам, используемым для атак с подменой SIM-карт, а в середине 2023 года UNC3944 начала переходить к развертыванию программ-вымогателей в средах жертв. UNC3944 демонстрирует стремление к похищению больших объемов конфиденциальных данных с целью вымогательства и, судя по всему, понимает западную деловую практику, что может быть связано с географическим составом группы.

Для получения первоначального доступа UNC3944 в основном использует социальную инженерию: выдает себя за сотрудников при звонках в службу поддержки, устанавливает вредоносное ПО для кражи учетных данных RECORDSTEALER и использует фишинговые наборы для отправки перехваченных учетных данных в Telegram-каналы, контролируемые оператором. Также были замечены случаи использования неавторизованных федеративных провайдеров идентификационных данных для осуществления атак с использованием "золотого" SAML, создания виртуальных машин Azure с публичными IP-адресами, отключения правил брандмауэра и выполнения полезной нагрузки в виде выкупного ПО.

Компания UNC3944 выявила как минимум три фишинговых набора, используемых ею для проведения своих кампаний. Первый комплект, EIGHTBAIT, предназначен для отправки перехваченных учетных данных в Telegram-канал, контролируемый агентом, и позволяет развернуть AnyDesk на системе жертвы. Второй комплект, судя по всему, был создан на основе веб-страницы, скопированной у целевой организации, и использует типовую тему аутентификации. Третий набор имеет значительное визуальное и структурное сходство со вторым набором.

UNC3944 также использует общедоступные средства кражи учетных данных, копию клиента Vault, модуль PowerShell для CyberArk API, Trufflehog, GitGuardian, MicroBurst, а также различные инфокрады (ULTRAKNOT, VIDAR, ATOMIC).

Вполне вероятно, что UNC3944 продолжит совершенствовать свои профессиональные навыки и может привлекать подпольные сообщества для поддержки, чтобы повысить эффективность своих операций. Мы предполагаем, что в ходе вторжений, связанных с UNC3944, будут использоваться различные инструменты, методы и тактики монетизации, поскольку участники будут находить новых партнеров и переключаться между различными сообществами. UNC3944 часто размещает свои фишинговые наборы на доменах со следующими шаблонами и использует встроенные инструменты/команды, а также загружает общедоступные инструменты и программное обеспечение с сайтов производителей или из репозиториев GitHub.

В этом фишинге прекрасно всё

#technique

Hypervisor Detection with SystemHypervisorDetailInformation

https://medium.com/@matterpreter/hypervisor-detection-with-systemhypervisordetailinformation-26e44a57f80e

#technique

Fully Integrated Adversarial Operations Toolkit (C2, stagers, agents, ephemeral infrastructure, phishing engine, and automation)

https://github.com/malcomvetter/Periscope

#technique

Cobalt Strike Shellcode Generator

https://github.com/RCStep/CSSG