#ParsedReport #CompletenessMedium
18-09-2023

CapraTube \| Transparent Tribe s CapraRAT Mimics YouTube to Hijack Android Phones

https://www.sentinelone.com/labs/capratube-transparent-tribes-caprarat-mimics-youtube-to-hijack-android-phones

Report completeness: Medium

Actors/Campaigns:
Transparenttribe

Threats:
Caprarat
Androrat_rat
Crimson_rat
Pupy_rat
Dns_tunneling_technique

Victims:
Military and diplomatic personnel in both india and pakistan, Indian education sector, Spear-phishing targets privy to affairs involving the disputed region of kashmir, Human rights activists working on matters related to pakistan

Industry:
Military, Education

Geo:
Indian, Pakistan, Kashmir, Pakistani, India

ChatGPT TTPs:
do not use without manual check
T1193, T1197, T1192, T1119

IOCs:
Hash: 3
File: 3
Domain: 4
IP: 3

Soft:
android, windows remote desktop

Algorithms:
sha1

Functions:
check_permissions

Links:
https://github.com/karma9874/AndroRAT/tree/master
https://github.com/judemanutd/AutoStarter

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Компания SentinelLabs обнаружила три новых пакета приложений (APK) для Android, связанных с мобильным трояном удаленного доступа CapraRAT компании Transparent Tribe, которые имитируют внешний вид YouTube и распространяются вне Google Play Store. Transparent Tribe - постоянный игрок с предсказуемыми повадками, и их решение создать приложение, похожее на YouTube, является новым дополнением к известной тенденции по оснащению Android-приложений шпионским ПО. Лицам и организациям, связанным с дипломатической, военной или активистской деятельностью в регионах Индии и Пакистана, следует оценить возможности защиты от этого агента и угрозы.
-----

Компания SentinelLabs обнаружила три новых пакета приложений (APK) для Android, связанных с мобильным троянцем удаленного доступа (RAT) CapraRAT компании Transparent Tribe. Эти APK имитируют внешний вид YouTube, хотя их функциональность ниже, чем у легитимного "родного" приложения YouTube для Android. Transparent Tribe - предполагаемый пакистанский агент, известный своими атаками на военных и дипломатических работников в Индии и Пакистане, а в последнее время и на индийский образовательный сектор. С 2018 года они используют CapraRAT - фреймворк для Android, который скрывает функции RAT внутри другого приложения.

CapraRAT - это высокоинвазивный инструмент, позволяющий злоумышленнику контролировать большую часть данных на зараженных им Android-устройствах. Он распространяется в виде APK-файла для Android и, скорее всего, в значительной степени основан на исходном коде AndroRAT. Приложения распространяются вне магазина Google Play Store, используя для установки самостоятельные веб-сайты и социальную инженерию. В 2023 году группа распространяла Android-приложения CapraRAT, замаскированные под службу знакомств, которые вели шпионскую деятельность. Один из недавно выявленных APK обращается к каналу YouTube, принадлежащему Пие Шарма (Piya Sharma), на котором размещено несколько коротких роликов с изображением женщины в различных местах. Этот APK также заимствует имя и внешность человека, что позволяет предположить, что он продолжает использовать методы социальной инженерии, основанные на романтике, чтобы убедить цели установить приложения.

CapraRAT - это комплексная RAT, предоставляющая злоумышленникам возможность сбора данных по запросу и их эксфильтрации. Среди особенностей можно отметить возможность скрывать приложение от глаз пользователя, адрес командно-контрольного сервера, который задается в конфигурационном файле, и синтаксис версии, совпадающий с синтаксисом, используемым для отслеживания Windows-инструмента CrimsonRAT компании Transparent Tribe. Основная функциональность RAT размещается в активности под названием TPSClient.

В результате анализа APK были обнаружены доменные имена и IP-адреса, связанные с Transparent Tribe, в том числе ptzbubble.shop и claudfront.net, зарегистрированные примерно в то же время, что и отчет ESET о приложениях этой группы для Android. Кроме того, IP-адрес 84.46.251.145, на котором расположен ptzbubble.shop, имеет исторические разрешения, связанные с поисками DNS-туннелей Decoy Dog Pupy RAT.

Transparent Tribe - это стойкие агенты с предсказуемыми повадками. Относительно низкая планка оперативной безопасности позволяет быстро выявлять их инструменты. Решение группы создать приложение, похожее на YouTube, является новым дополнением к известной тенденции по оснащению Android-приложений шпионскими программами и их распространению через социальные сети. Лицам и организациям, связанным с дипломатической, военной или активистской деятельностью в регионах Индии и Пакистана, следует оценить возможности защиты от этого агента и угрозы.

#ParsedReport #CompletenessMedium
15-09-2023

Agent Tesla s Unique Approach: VBS and Steganography for Delivery and Intrusion

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/agent-teslas-unique-approach-vbs-and-steganography-for-delivery-and-intrusion

Report completeness: Medium

Actors/Campaigns:
Dev-0960

Threats:
Agent_tesla
Steganography_technique
Process_injection_technique
Dll_injection_technique

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1059, T1086, T1106, T1105, T1201, T1071, T1032, T1057, T1077, T1076, have more...

IOCs:
File: 2
Path: 1
Hash: 5

Soft:
net framework, telegram, opera, chromium

Algorithms:
base64

Functions:
Windows, This, Function

Win API:
VirtualAllocEx, CreateProcessA, ReadProcessMemory, GetThreadContext, SetThreadContext, ZwUnmapViewOfSection, WriteProcessMemory, ResumeThread

#ParsedReport #ExtractedSchema

Classified images:
code: 18, schema: 3, windows: 1, dump: 2

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Agent Tesla - троянец удаленного доступа (RAT) и похититель информации, распространяемый через обманчивые электронные письма и использующий методы обфускации, чтобы избежать обнаружения. Он похищает данные из различных веб-браузеров и почтовых клиентов и выводит их через SMTP-коммуникации.
-----

Agent Tesla - это троянец удаленного доступа (RAT) и похититель информации, построенный на базе фреймворка .NET. Он используется для сбора различных данных с зараженных компьютеров, таких как нажатия клавиш, содержимое буфера обмена и файлы, хранящиеся на диске. Обычно он распространяется через обманчивые электронные письма, маскирующиеся под деловые запросы или обновления о поставках. При открытии вредоносных вложений происходит установка вредоносного ПО, часто скрытая с помощью обфускации. Затем вредоносная программа связывается с командным сервером, извлекает скомпрометированные данные и отправляет их на свой командный сервер по различным каналам, включая HTTP(S), SMTP, FTP или даже через канал Telegram.

Компания McAfee Labs обнаружила разновидность Agent Tesla, распространяемую через файлы VBScript (VBS) и отличающуюся от обычных способов распространения. VBS-файл - это файл сценария, используемый в Windows для автоматизации задач, настройки систем и выполнения различных действий. При эксплуатации злоумышленниками они могут использоваться для доставки вредоносного кода и выполнения опасных действий на компьютере. В данном случае исследуемый VBS-файл выполнял множество команд PowerShell, а затем с помощью стеганографии осуществлял инъекцию процесса в RegAsm.exe.

Для того чтобы избежать обнаружения средствами статического анализа, вредоносная программа использует методы обфускации. После декодирования извлекается DLL-файл .NET и загружается в сборку. Этот вредоносный DLL-файл получает текстовый файл с сервера C2 и сохраняет его в переменной под названием 'text'. Затем с помощью инъекции процесса вредоносный код вставляется в легитимный инструмент Windows под названием RegAsm.exe для кражи данных с целевой системы.

Агент Tesla собирает данные из различных веб-браузеров и почтовых клиентов, такие как учетные данные, содержание сообщений, списки контактов, настройки почтового сервера и вложения. Эти данные передаются по протоколу SMTP с использованием одной скомпрометированной учетной записи электронной почты для упрощения процесса.

#ParsedReport #CompletenessLow
18-09-2023

Storm-0324 Threat Analysis: Microsoft Teams Phishing Risks

https://www.secureblink.com/threat-research/storm-0324-threat-analysis-microsoft-teams-phishing-risks

Report completeness: Low

Actors/Campaigns:
Sagrid (motivation: financially_motivated, cyber_criminal)
Carbanak (motivation: cyber_criminal)

Threats:
Nymaim
Gozi
Trickbot
Gootkit
Dridex
Gandcrab
Icedid
Jssloader
Carbon
Teamsphisher_tool
Ekipa_rat

Victims:
Microsoft teams users

Industry:
Financial

CVEs:
CVE-2023-21715 [Vulners]
CVSS V3.1: 7.3,
Vulners: Exploitation: True
X-Force: Risk: 7.3
X-Force: Patch: Official fix
Soft:
- microsoft 365 apps (-)


ChatGPT TTPs:
do not use without manual check
T1036, T1082, T1106, T1113, T1191, T1204, T1566, T1573, T1595, T1598, have more...

Soft:
microsoft teams, microsoft office, microsoft defender, office 365, microsoft 365 defender, microsoft defender for endpoint

Win Services:
Quickbooks

Languages:
javascript, python

Links:
https://github.com/Octoberfest7/TeamsPhisher

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Storm-0324 - финансово мотивированная угрожающая группа, получившая известность благодаря предоставлению первоначального доступа к взломанным сетям и сотрудничеству с другими киберпреступными группировками. Организациям следует принять меры по защите своих сетей от фишинговых атак, а также понять, что такое Storm-0324, и защититься от нее, чтобы минимизировать риск успешной атаки.
-----

Storm-0324 - финансово мотивированная угрожающая группа, получившая известность благодаря предоставлению первоначального доступа к взломанным сетям.

Эта группа существует как минимум с 2016 года и использует различные полезные нагрузки первого этапа, включая Nymaim, Gozi, Trickbot, Gootkit, Dridex, Sage ransomware, GandCrab ransomware, IcedID и другие.

Для распространения полезной нагрузки Storm-0324, как правило, использует векторы заражения по электронной почте, используя системы распространения трафика (TDS) типа BlackTDS и Keitaro для обхода обнаружения решениями безопасности.

Для того чтобы заманить жертву на загрузку вредоносной полезной нагрузки, Storm-0324 обычно использует темы, связанные со счетами и платежами, часто имитируя такие популярные сервисы, как DocuSign и Quickbooks.

Для проведения фишинговых кампаний в сети Teams злоумышленник Storm-0324, скорее всего, использует общедоступный инструмент TeamsPhisher.

Microsoft предоставляет несколько инструментов для обнаружения активности Storm-0324, включая Microsoft 365 Defender, Microsoft Defender Antivirus и Microsoft Defender for Endpoint.

Организациям следует сохранять бдительность и принимать меры по защите своих сетей от фишинговых атак путем внедрения многофакторной аутентификации, регулярного обновления программного обеспечения и мониторинга подозрительной активности.

Кроме того, организациям следует применять строгие политики в области электронной почты и информировать своих пользователей о рисках, связанных с переходом по вредоносным ссылкам.

#ParsedReport #CompletenessMedium
18-09-2023

Earth Lusca Employs New Linux Backdoor, Uses Cobalt Strike for Lateral Movement. Recent Earth Lusca activity

https://www.trendmicro.com/en_us/research/23/i/earth-lusca-employs-new-linux-backdoor.html

Report completeness: Medium

Actors/Campaigns:
Earth_lusca (motivation: cyber_espionage)
Winnti (motivation: cyber_espionage)

Threats:
Cobalt_strike
Trochilus_rat
Sprysocks
Derusbi
Redleaves
Proxyshell_vuln
Shadowpad
Sandbox_evasion_technique

Victims:
Countries in southeast asia, central asia, and the balkans

Industry:
Government, Telco

Geo:
French, Chinese, African, China, Asia, American

CVEs:
CVE-2019-18935 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- telerik ui for asp.net ajax (<2019.3.1023)

CVE-2021-34523 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9
X-Force: Patch: Official fix
Soft:
- microsoft exchange server (2013, 2019, 2016)

CVE-2019-9621 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: 6.5
X-Force: Patch: Unavailable
Soft:
- zimbra collaboration server (<8.6.0, <8.7.11, <8.8.10, 8.8.11)

CVE-2022-39952 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- fortinet fortinac (<9.4.1, <9.2.6, <9.1.8, le8.8.9)

CVE-2021-31207 [Vulners]
CVSS V3.1: 6.6,
Vulners: Exploitation: True
X-Force: Risk: 6.6
X-Force: Patch: Official fix
Soft:
- microsoft exchange server (2013, 2019, 2016)

CVE-2021-34473 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.1
X-Force: Patch: Official fix
Soft:
- microsoft exchange server (2013, 2019, 2016)

CVE-2022-40684 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- fortinet fortiswitchmanager (7.0.0, 7.2.0)
- fortinet fortiproxy (7.2.0, <7.0.7)
- fortinet fortios (<7.0.7, <7.2.2)

CVE-2019-9670 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 7.5
X-Force: Patch: Unavailable
Soft:
- synacor zimbra collaboration suite (8.7.11)

CVE-2021-22205 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 9.9
X-Force: Patch: Official fix
Soft:
- gitlab (<13.10.3, <13.9.6, <13.8.8)


ChatGPT TTPs:
do not use without manual check
T1090, T1086, T1047, T1083, T1204, T1486, T1490

IOCs:
Hash: 4
IP: 2
Domain: 5
File: 1

Soft:
fortinet fortios, asp.net, zimbra collaboration suite, microsoft exchange, systemd

Algorithms:
base64, aes, aes-ecb, sha256

Win API:
gethostname

Platforms:
x64

YARA: Found

Links:
https://github.com/RamadhanAmizudin/malware/blob/62d0035db6bc9aa279b7c60250d439825ae65e41/Trochilus/server/master/master/ClientInfoCallbacks.h
https://github.com/ldcsaa/HP-Socket
https://github.com/nccgroup/Cyber-Defence/blob/37e21a332e65bbe2068c930787f527d4dbbdcd98/Technical%20Notes/Red%20Leaves/Source/Red%20Leaves%20technical%20note%20v1.0.md?plain=1#L205
https://github.com/RamadhanAmizudin/malware/tree/62d0035db6bc9aa279b7c60250d439825ae65e41/Trochilus
https://github.com/RamadhanAmizudin/malware/blob/62d0035db6bc9aa279b7c60250d439825ae65e41/Trochilus/common/CommData.cpp#L4
https://github.com/ixty/mandibule
https://github.com/RamadhanAmizudin/malware/blob/62d0035db6bc9aa279b7c60250d439825ae65e41/Trochilus/server/master/master/ClientInfoManager.cpp

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Earth Lusca - связанный с Китаем угрожающий агент, активно атакующий государственные учреждения, использующий уязвимости серверов для развертывания вредоносных программ и применяющий инновационные технологии, чтобы оставаться на шаг впереди решений по обеспечению безопасности. Для защиты от таких противников организациям необходимо внедрять комплексные решения безопасности.
-----

Earth Lusca - это связанный с Китаем угрожающий агент, действующий с начала 2021 года. В первой половине 2023 года они распространили свою деятельность на страны по всему миру. Используемый ими бэкдор SprySOCKS, судя по всему, происходит от бэкдора Trochilus для Windows с открытым исходным кодом. Он все еще находится в стадии разработки и по своей структуре напоминает бэкдор RedLeaves. В основном Earth Lusca атакует правительственные ведомства, занимающиеся иностранными делами, технологиями и телекоммуникациями. Для проникновения в сети своих жертв группировка использует уязвимости серверов для развертывания веб-оболочки и установки Cobalt Strike для латерального перемещения. Кроме того, они используют такие современные бэкдоры, как ShadowPad и Linux-версия Winnti.

Для доставки своего вредоносного ПО Earth Lusca использует файл libmonitor.so.2, размещенный на сервере доставки. Этот файл представляет собой загрузчик, скомпилированный со второй ступенью вредоносной программы, статически скомпилированной с помощью HP-Socket, китайского сетевого фреймворка. Он содержит жестко закодированный AES-ECB-пароль, используемый для шифрования связи с C&C-сервером. Кроме того, в заголовке пакета содержатся случайные и жестко закодированные значения, а также длина полезной нагрузки, которая кодируется base64 и шифруется AES-ECB. Вредоносная программа реализует несколько команд бэкдора, таких как сбор системной информации, запуск интерактивной оболочки и просмотр списка сетевых подключений.

Эти угрозы постоянно совершенствуют свою вредоносную деятельность, используя инновационные методы, чтобы быть на шаг впереди решений по обеспечению безопасности. В последнее время они демонстрируют крайне агрессивное поведение, нацеливаясь на публичные серверы своих жертв, используя известные уязвимости. Для защиты от таких злоумышленников организациям необходимо внедрять комплексные решения безопасности, такие как Trend Micro XDR, которые собирают и объединяют данные об активности по различным каналам - от электронной почты и конечных точек до серверов, облачных рабочих нагрузок и сетей. Такой детальный подход позволяет организациям обнаруживать и расследовать подозрительную активность и быть на шаг впереди.

#ParsedReport #CompletenessLow
18-09-2023

Peach Sandstorm password spray campaigns enable intelligence collection at high-value targets

https://www.microsoft.com/en-us/security/blog/2023/09/14/peach-sandstorm-password-spray-campaigns-enable-intelligence-collection-at-high-value-targets

Report completeness: Low

Actors/Campaigns:
Apt33 (motivation: cyber_espionage)
Flax_typhoon
Duke
Volt_typhoon (motivation: cyber_espionage)
Charming_kitten

Threats:
Azurehound_tool
Roadtools_tool
Password_spray_technique
Anydesk_tool
Golden_saml_technique
Eaglerelay_tool

Victims:
Taiwanese organizations, us critical infrastructure, thousands of organizations

Industry:
Healthcare, Government, Telco, Education, Financial, Aerospace, Energy

Geo:
Iran, China, Taiwanese, Chinese, Iranian

CVEs:
CVE-2022-26134 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- atlassian confluence data center (7.18.0, <7.17.4, <7.16.4, <7.15.2, <7.14.3, <7.13.7, <7.4.17)
- atlassian confluence server (7.18.0, <7.17.4, <7.16.4, <7.15.2, <7.14.3, <7.13.7, <7.4.17)

CVE-2022-47966 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- zohocorp manageengine access manager plus (4.3)
- zohocorp manageengine ad360 (<4.3)
- zohocorp manageengine adaudit plus (7.0)
- zohocorp manageengine admanager plus (7.1)
- zohocorp manageengine adselfservice plus (6.2)
have more...

IOCs:
IP: 4

Soft:
microsoft defender for endpoint, microsoft defender, microsoft 365 defender, microsoft teams, azure active directory, confluence, active directory, active directory federation services, windows hello, windows firewall, have more...

Win API:
Arc

Links:
https://github.com/dirkjanm/ROADtools

#ParsedReport #ExtractedSchema

Classified images:
chart: 2, schema: 2

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея этого текста заключается в том, что Peach Sandstorm - это спонсируемая государством группа угрожающих агентов, нацеленная на множество отраслей и стран с 2019 года, и компания Microsoft выпустила рекомендации, которые помогут организациям защититься от эксплуатации уязвимостей этой группы.
-----

Peach Sandstorm - это спонсируемая государством группа угроз, базирующаяся в Иране, которая с 2019 года активно атакует организации в различных отраслях и странах. Специалисты Microsoft Threat Intelligence выявили целенаправленные социально-инженерные атаки с использованием фишинговых заманух для кражи учетных данных, рассылаемых в чатах Microsoft Teams, а также действия по набиванию учетных данных и подбору паролей для получения доступа к целевым организациям. Известно, что группа использует общедоступные и собственные инструменты для обнаружения, сохранения и латерального перемещения, а также эксплуатирует известные уязвимости, такие как уязвимость удаленного выполнения кода CVE-2022-47966 и уязвимость десериализации .NET CVE-2022-26134.

Компания Microsoft напрямую уведомила клиентов, подвергшихся атакам или взломам со стороны Peach Sandstorm, и выпустила рекомендации, которые помогут организациям защититься от эксплуатации этих уязвимостей. Группа проявляет интерес к организациям спутникового, оборонного и, в меньшей степени, фармацевтического секторов и использует два различных набора тактик, техник и процедур (ТТП) на ранних стадиях жизненного цикла вторжения.

В число этих ТТП входят AzureHound и Roadtools для получения доступа к Microsoft Entra ID, создание новой подписки Azure или использование ранее скомпрометированных ресурсов Azure, использование Azure Arc для сохранения в скомпрометированных средах, развертывание коммерческого средства удаленного мониторинга и управления (RMM) AnyDesk для сохранения доступа к цели, проведение атаки Golden SAML для доступа к облачным ресурсам цели, использование легитимного исполняемого файла VMWare для перехвата поискового ордера, использование EagleRelay для туннелирования трафика обратно в свою инфраструктуру.

Кроме того, группа также пыталась перемещаться в скомпрометированной среде с помощью протокола удаленного рабочего стола (RDP). По мере развития и использования новых возможностей Peach Sandstorm организации должны разрабатывать соответствующие средства защиты, чтобы усилить поверхность атаки и повысить стоимость этих атак. Microsoft рекомендует заказчикам и отрасли сообщать о злоупотреблениях и призывает организации внедрять надежные средства защиты от этой группы угроз.

#ParsedReport #CompletenessMedium
18-09-2023

Emerging Threat: Understanding the PySilon Discord RAT s Versatile Features

https://cyble.com/blog/emerging-threat-understanding-the-pysilon-discord-rats-versatile-features

Report completeness: Medium

Actors/Campaigns:
Dev-0960

Threats:
Pysilon_rat
Nitrogen
Uac_bypass_technique
Credential_dumping_technique

TTPs:
Tactics: 8
Technics: 15

IOCs:
File: 11
Hash: 12

Soft:
discord, pyinstaller, photoshop, virtualbox, windows defender, kometa, orbitum, 7star, vivaldi, opera, have more...

Algorithms:
sha1, sha256

Functions:
GetSelf

Languages:
python

Links:
https://github.com/mategol/PySilon-malware

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: CRIL выявил значительный всплеск использования с июня 2023 года РАТ с открытым исходным кодом PySilon, обладающего расширенными возможностями и бесплатно доступного на GitHub. Эта вредоносная программа активно продвигается на онлайновых форумах, что делает ее все более актуальной в сфере угроз.
-----

Компания Cyble Research and Intelligence Labs (CRIL) отмечает значительный всплеск использования РАТ PySilon с открытым исходным кодом различными угрожающими субъектами (УС), начиная с июня 2023 года. CRIL обнаружила на VirusTotal более 300 образцов этого вредоносного ПО, что свидетельствует о его широком распространении. Текущая версия PySilon (v3.6) обладает расширенными возможностями, включая запись нажатий клавиш, кражу конфиденциальной информации, перехват экранной активности, выполнение удаленных команд и другие функции.

Конструктор PySilon находится в свободном доступе на GitHub, и ТП используют его для создания специализированного бинарного файла с нужными функциями для своего вредоносного ПО. Пакет конструктора включает в себя несколько Python-скриптов, каждый из которых посвящен определенной функциональности RAT. К ним относятся скрипты uac_bypass.py, protections.py, keylogger.py, grabber.py, crypto_clipper.py, get_cookies.py, discord_token_grabber.py, webcam.py и microphone_recording.py.

Uac_bypass.py пытается обойти функцию защиты Windows User Account Control (UAC), а protections.py включает проверку безопасности для обнаружения признаков виртуализации, отладочных сред или наличия в системе Windows определенных процессов из черного списка. Keylogger.py объединяет в себе кейлоггер и бот-клиент Discord, позволяя участникам угрозы отслеживать нажатия клавиш и делать скриншоты. Grabber.py отвечает за сбор конфиденциальных данных, а Crypto Clipper работает как Discord-бот с функциями манипулирования буфером обмена. Get_cookies.py используется для извлечения и расшифровки cookies браузера, а discord_token_grabber.py извлекает и загружает токены пользователей Discord и связанную с ними информацию. Webcam.py интегрируется с Discord, позволяя участникам угроз делать фотографии с помощью веб-камеры компьютера жертвы, а microphone_recording.py использует библиотеку SciPy для непрерывного захвата звука с микрофона.

Кроме того, PySilon RAT может выполнять различные другие действия, основанные на командах, отдаваемых TA. К таким действиям относятся вызов "синего экрана смерти" (BSOD), загрузка и выгрузка файлов, инициирование форк-бомбы, создание обратного командного интерпретатора, достижение персистентности на скомпрометированной системе, завершение процессов и удаление файлов.

Использование открытого кода в кампаниях по распространению вредоносного ПО эффективно, а его широкая доступность и отработанность затрудняют обнаружение. Активное продвижение вредоносной программы PySilon пользователями на интернет-форумах является явным признаком того, что она становится все более серьезной проблемой в сфере угроз.

#ParsedReport #CompletenessMedium
18-09-2023

Operation Rusty Flag A Malicious Campaign Against Azerbaijanian Targets

https://www.deepinstinct.com/blog/operation-rusty-flag-a-malicious-campaign-against-azerbaijanian-targets

Report completeness: Medium

Actors/Campaigns:
Dev-0978

Victims:
Azerbaijanian targets

Industry:
Military

Geo:
Azerbaijanian

CVEs:
CVE-2017-11882 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- microsoft office (2007, 2013, 2010, 2016)

CVE-2023-36884 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: 8.3
X-Force: Patch: Unavailable
Soft:
- microsoft word (2013, 2016)
- microsoft windows server 2008 (r2, -)
- microsoft windows server 2012 (r2, -)
- microsoft windows server 2016 (-)
- microsoft windows server 2019 (-)
have more...

TTPs:
Tactics: 3
Technics: 5

IOCs:
File: 9
Url: 1
IP: 1
Hash: 9

Soft:
bindiff

Languages:
rust

Links:
https://github.com/deepinstinct/Rusty-Flag-DecryptData

#ParsedReport #ExtractedSchema

Classified images:
windows: 3, code: 2, schema: 1, dump: 3, table: 2, chart: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Лаборатория Deep Instinct Threat Lab обнаружила новую операцию против целей в Азербайджане, в которой используется приманка, ранее применявшаяся группой Storm-0978. Операция использует два различных вектора начального доступа и включает в себя вредоносные файлы, написанные на языке программирования Rust. Динамический анализ показал, что вредоносная программа отправляет информацию на сервер злоумышленника, а оба Rust-имплантата при первой загрузке на VirusTotal имели нулевое количество обнаружений, что свидетельствует о том, что написание вредоносных программ на эзотерических языках позволяет обойти многие решения по защите.
-----

Лаборатория Deep Instinct Threat Lab обнаружила новую операцию против азербайджанских целей, которая не связана ни с одним из известных угрожающих агентов. Однако в операции используется приманка, которая ранее применялась группой Storm-0978, что может быть преднамеренным ложным флагом. В данной операции используются два различных вектора начального доступа, а вредоносные файлы написаны на языке программирования Rust. Низкое количество обнаружений было найдено для вредоносного файла LNK, имеющего двойное расширение и связанного с военным инцидентом в Нагорном Карабахе. Было установлено, что вредоносный MSI-файл был размещен на Dropbox и доступ к нему осуществлялся с помощью укорачивателя URL, который содержал эксплойт Microsoft Equation Editor CVE-2017-11882. URL-адрес DropBox был замаскирован, и было замечено, что эксплойт используется для загрузки и установки MSI-файла.

MSI-файл отвечает за загрузку имплантата, написанного на языке Rust, xml-файла для запланированного задания на выполнение имплантата и файла изображения-обманки, содержащего водяные знаки символа МО Азербайджана. Предполагается, что имплант на Rust будет собирать информацию и отправлять ее на сервер злоумышленника, который на момент исследования все еще активен. Следует отметить, что стандартная библиотека Rust не знакома таким инструментам, как IDA и Ghidra, что усложняет реверс-инжиниринг. Для решения этой проблемы был использован плагин GhidRust, но он не обнаружил функций стандартной библиотеки. Также использовался BinDiff, но в нем было очень мало общего кода. Кроме того, во вредоносной программе были обнаружены некоторые открытые проекты для Rust, такие как Tokio, hyper и Serde JSON.

Динамический анализ показал, что вредоносная программа считывает выходные данные вышеуказанных операций, перенаправляя их StdOut в именованный канал. Для расшифровки этой информации был построен скрипт, который показал, что вредоносная программа отправляет ее на сервер злоумышленника. На момент проведения исследования другой имплант Rust все еще имел ноль обнаружений. Возможно, эти файлы являются частью учений "красной команды", но тот факт, что оба Rust-имплантата не имели нулевых обнаружений при первой загрузке на VirusTotal, показывает, что написание вредоносных программ на эзотерических языках позволяет обойти многие решения по безопасности.

#ParsedReport #CompletenessMedium
18-09-2023

Weaponising VMs to bypass EDR Akira ransomware

https://cybercx.com.au/blog/akira-ransomware

Report completeness: Medium

Threats:
Akira_ransomware
Adfind_tool
Systembc
Terminator_tool
Byovd_technique

Industry:
E-commerce

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1087, T1071, T1021, T1486, T1490, T1497, T1546, T1552, T1564, T1566, have more...

IOCs:
File: 4

Soft:
windows hyper-v, softperfect network scanner, active directory, windows defender, esxi, hyper-v, windows authentication

Algorithms:
chacha20

Links:
https://github.com/ZeroMemoryEx/Terminator
https://github.com/ydkhatri/jarp

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Специалисты CyberCX заметили, что группа разработчиков вымогательского ПО Akira использует новые методы, такие как развертывание вымогательского ПО на гипервизорных системах Windows Hyper-V и использование собственного уязвимого драйвера (BYOVD) для отключения инструментария EDR, а также вариант для Linux и уязвимость в его реализации, позволяющую расшифровывать данные без уплаты выкупа. Они также заметили, что поражены среды vSphere/ESXi, и рекомендуют просматривать журналы аутентификации на предмет попыток или успехов со стороны неуправляемых устройств в пуле адресов VPN.
-----

Команда CyberCX DFIR с апреля 2023 года привлекается для оказания помощи в расследованиях, связанных с группой вымогателей Akira.

Было замечено, что Akira разворачивает программы-вымогатели на гипервизорных системах Windows Hyper-V и обходит средства EDR.

Доступ к ним обычно получают через похитителей информации и биржи учетных данных.

CyberCX наблюдал, как Akira после получения доступа вела типичную вымогательскую деятельность.

В реализации вымогательского ПО Akira существует уязвимость, позволяющая расшифровать его без уплаты выкупа.

Недавно был опубликован Linux-вариант программы Akira ransomware.

Большинство вирусов-вымогателей используют стандартные имена хостов, которые можно найти в журналах событий.

#ParsedReport #CompletenessLow
18-09-2023

AWS s Hidden Threat: AMBERSQUID Cloud-Native Cryptojacking Operation

https://sysdig.com/blog/ambersquid

Report completeness: Low

Actors/Campaigns:
Ambersquid (motivation: financially_motivated)

Threats:
Upx_tool
Srbminer
Solarmarker

Geo:
Indonesian

IOCs:
File: 8
Coin: 4

Soft:
docker, fargate

Crypto:
monero

Algorithms:
base64

Languages:
javascript, perl

Links:
https://github.com/meuryalos
https://github.com/upx/upx

#ParsedReport #ExtractedSchema

Classified images:
table: 1, schema: 3