#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Лаборатория Deep Instinct Threat Lab обнаружила новую операцию против целей в Азербайджане, в которой используется приманка, ранее применявшаяся группой Storm-0978. Операция использует два различных вектора начального доступа и включает в себя вредоносные файлы, написанные на языке программирования Rust. Динамический анализ показал, что вредоносная программа отправляет информацию на сервер злоумышленника, а оба Rust-имплантата при первой загрузке на VirusTotal имели нулевое количество обнаружений, что свидетельствует о том, что написание вредоносных программ на эзотерических языках позволяет обойти многие решения по защите.
-----

Лаборатория Deep Instinct Threat Lab обнаружила новую операцию против азербайджанских целей, которая не связана ни с одним из известных угрожающих агентов. Однако в операции используется приманка, которая ранее применялась группой Storm-0978, что может быть преднамеренным ложным флагом. В данной операции используются два различных вектора начального доступа, а вредоносные файлы написаны на языке программирования Rust. Низкое количество обнаружений было найдено для вредоносного файла LNK, имеющего двойное расширение и связанного с военным инцидентом в Нагорном Карабахе. Было установлено, что вредоносный MSI-файл был размещен на Dropbox и доступ к нему осуществлялся с помощью укорачивателя URL, который содержал эксплойт Microsoft Equation Editor CVE-2017-11882. URL-адрес DropBox был замаскирован, и было замечено, что эксплойт используется для загрузки и установки MSI-файла.

MSI-файл отвечает за загрузку имплантата, написанного на языке Rust, xml-файла для запланированного задания на выполнение имплантата и файла изображения-обманки, содержащего водяные знаки символа МО Азербайджана. Предполагается, что имплант на Rust будет собирать информацию и отправлять ее на сервер злоумышленника, который на момент исследования все еще активен. Следует отметить, что стандартная библиотека Rust не знакома таким инструментам, как IDA и Ghidra, что усложняет реверс-инжиниринг. Для решения этой проблемы был использован плагин GhidRust, но он не обнаружил функций стандартной библиотеки. Также использовался BinDiff, но в нем было очень мало общего кода. Кроме того, во вредоносной программе были обнаружены некоторые открытые проекты для Rust, такие как Tokio, hyper и Serde JSON.

Динамический анализ показал, что вредоносная программа считывает выходные данные вышеуказанных операций, перенаправляя их StdOut в именованный канал. Для расшифровки этой информации был построен скрипт, который показал, что вредоносная программа отправляет ее на сервер злоумышленника. На момент проведения исследования другой имплант Rust все еще имел ноль обнаружений. Возможно, эти файлы являются частью учений "красной команды", но тот факт, что оба Rust-имплантата не имели нулевых обнаружений при первой загрузке на VirusTotal, показывает, что написание вредоносных программ на эзотерических языках позволяет обойти многие решения по безопасности.

#ParsedReport #CompletenessMedium
18-09-2023

Weaponising VMs to bypass EDR Akira ransomware

https://cybercx.com.au/blog/akira-ransomware

Report completeness: Medium

Threats:
Akira_ransomware
Adfind_tool
Systembc
Terminator_tool
Byovd_technique

Industry:
E-commerce

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1087, T1071, T1021, T1486, T1490, T1497, T1546, T1552, T1564, T1566, have more...

IOCs:
File: 4

Soft:
windows hyper-v, softperfect network scanner, active directory, windows defender, esxi, hyper-v, windows authentication

Algorithms:
chacha20

Links:
https://github.com/ZeroMemoryEx/Terminator
https://github.com/ydkhatri/jarp

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Специалисты CyberCX заметили, что группа разработчиков вымогательского ПО Akira использует новые методы, такие как развертывание вымогательского ПО на гипервизорных системах Windows Hyper-V и использование собственного уязвимого драйвера (BYOVD) для отключения инструментария EDR, а также вариант для Linux и уязвимость в его реализации, позволяющую расшифровывать данные без уплаты выкупа. Они также заметили, что поражены среды vSphere/ESXi, и рекомендуют просматривать журналы аутентификации на предмет попыток или успехов со стороны неуправляемых устройств в пуле адресов VPN.
-----

Команда CyberCX DFIR с апреля 2023 года привлекается для оказания помощи в расследованиях, связанных с группой вымогателей Akira.

Было замечено, что Akira разворачивает программы-вымогатели на гипервизорных системах Windows Hyper-V и обходит средства EDR.

Доступ к ним обычно получают через похитителей информации и биржи учетных данных.

CyberCX наблюдал, как Akira после получения доступа вела типичную вымогательскую деятельность.

В реализации вымогательского ПО Akira существует уязвимость, позволяющая расшифровать его без уплаты выкупа.

Недавно был опубликован Linux-вариант программы Akira ransomware.

Большинство вирусов-вымогателей используют стандартные имена хостов, которые можно найти в журналах событий.

#ParsedReport #CompletenessLow
18-09-2023

AWS s Hidden Threat: AMBERSQUID Cloud-Native Cryptojacking Operation

https://sysdig.com/blog/ambersquid

Report completeness: Low

Actors/Campaigns:
Ambersquid (motivation: financially_motivated)

Threats:
Upx_tool
Srbminer
Solarmarker

Geo:
Indonesian

IOCs:
File: 8
Coin: 4

Soft:
docker, fargate

Crypto:
monero

Algorithms:
base64

Languages:
javascript, perl

Links:
https://github.com/meuryalos
https://github.com/upx/upx

#ParsedReport #ExtractedSchema

Classified images:
table: 1, schema: 3

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Компания TRT обнаружила новую облачную операцию по взлому криптовалют под названием AMBERSQUID, которая осуществляется индонезийскими злоумышленниками и может стоить жертвам более 10 000 долларов США в день. Для выполнения своей полезной нагрузки злоумышленники используют такие сервисы AWS, как Amplify, Fargate и SageMaker.
-----

Все сервисы, предоставляемые провайдером облачных услуг (CSP), должны контролироваться на предмет вредоносного использования. Если обнаружение угроз во время выполнения невозможно, то для выявления угроз типа AMBERSQUID необходимо отслеживать журналы более высокого уровня об использовании сервисов. Если вредоносная активность обнаружена, необходимо быстро принять ответные меры, чтобы отключить задействованные сервисы и ограничить ущерб. Хотя данная операция была проведена на AWS, следующей целью могут стать и другие CSP.

#ParsedReport #CompletenessLow
18-09-2023

Bumblebee Loader Resurfaces in New Campaign

https://intel471.com/blog/bumblebee-loader-resurfaces-in-new-campaign

Report completeness: Low

Threats:
Bumblebee
Conti
Akira_ransomware
Hiatusrat
Bazarbackdoor
Cobalt_strike
Metasploit_tool
Sliver_c2_tool
Trickbot
4shared
Icedid

TTPs:
Tactics: 9
Technics: 20

IOCs:
File: 4

Soft:
windows task scheduler

Platforms:
intel

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Киберпреступные группировки внедряют программы-вымогатели, шифрующие файлы, которые представляют серьезную угрозу для организаций. Субъекты угроз разрабатывают новые тактические приемы, позволяющие избежать обнаружения, и организациям необходимо адаптировать свои стратегии кибербезопасности для защиты от атак ransomware.
-----

Организованные киберпреступные группировки внедряют программы-вымогатели, шифрующие файлы и представляющие серьезную угрозу для организаций. В конце марта 2022 года стал популярен Bumblebee, тип загрузчика, когда угрожающие субъекты, ранее распространявшие BazarLoader, переключили свое внимание на использование Bumblebee. Системы Intel 471 Malware Intelligence обнаружили недавнюю активность угрожающих субъектов, использующих Bumblebee. До конца августа 2023 года наблюдалась пауза в активности в течение двух месяцев, когда была замечена новая кампания, использующая серверы Web Distributed Authoring and Versioning (WebDAV) для распространения полезной нагрузки Bumblebee.

1 сентября 2023 г. система мониторинга обнаружила новую версию загрузчика Bumblebee, содержащую ряд изменений. Среди этих изменений - переход с протокола WebSocket на собственный протокол управления передачей (TCP) и внедрение алгоритма генерации доменов (DGA), который генерирует 100 новых доменов с доменом верхнего уровня ".life". Использование DGA создает дополнительный уровень сложности, что затрудняет прерывание работы вредоносной программы.

Угрожающие субъекты также изобретают новые тактики для обхода обнаружения. Одним из таких примеров является использование WebDAV-сервисов 4shared для распространения. Кроме того, они применяют различные последовательности команд и способы их выполнения, чтобы избежать обнаружения.

Очевидно, что традиционные меры безопасности становятся все более неэффективными в связи с усложнением глобального ландшафта вредоносных программ. Для защиты от атак вымогателей организациям необходимо постоянно следить за появляющимися угрозами и соответствующим образом адаптировать свои стратегии кибербезопасности.

#ParsedReport #CompletenessMedium
17-09-2023

RedLine Stealer : A new variant surfaces, Deploying using Batch Script

https://www.cyfirma.com/outofband/redline-stealer-a-new-variant-surfaces-deploying-using-batch-script

Report completeness: Medium

Threats:
Redline_stealer
Credential_stealing_technique

Industry:
Financial

Geo:
Russian

TTPs:
Tactics: 8
Technics: 16

IOCs:
IP: 2
Domain: 1
Path: 2
File: 2
Hash: 5

Algorithms:
sha256, zip

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: RedLine Stealer - это вредоносная программа, предназначенная для кражи конфиденциальных данных из взломанных систем и распространяемая в виде zip-архива. Она продается как вредоносное ПО как услуга и способна похищать данные из самых разных источников. Он имеет очень низкий процент обнаружения и может нанести значительный ущерб организациям и конечным пользователям. Для защиты от RedLine Stealer организациям и конечным пользователям следует соблюдать осторожность и использовать современное антивирусное ПО.
-----

Компания Cyfirma стремится предоставлять актуальную информацию о новейших угрозах и тактиках, используемых злоумышленниками. В центре внимания данного анализа находится трендовая вредоносная программа RedLine Stealer. Впервые обнаруженная в марте 2020 года, эта программа является одним из самых популярных похитителей. На подпольных форумах киберпреступники продают его как MaaS (malware-as-a-service). RedLine Stealer - это вредоносная программа, предназначенная для кражи конфиденциальных данных из скомпрометированных систем. Она ищет такие данные, как имена пользователей, конфигурация оборудования, установленное общее и защитное ПО, установленный VPN-клиент, конфигурация сети, данные, связанные с криптовалютами, и отправляет похищенную информацию злоумышленнику.

RedLine Stealer распространяется в виде zip-архива под названием "installment-papers.zip", замаскированного под документ, связанный с финансовой операцией, и обычно доставляется жертвам по фишинговым письмам. Внутри архива находится обфусцированный пакетный скрипт, который при выполнении подключается к IP-адресу (80.85.152.191 на TCP-порту 27465), связанному с известным вариантом RedLine Stealer. Этот IP-адрес относится к российскому региону и имеет низкий уровень обнаружения.

RedLine Stealer способен похищать данные из широкого спектра источников, таких как веб-браузеры, почтовые клиенты, приложения для обмена сообщениями, финансовые данные (данные сохраненных карт, база данных криптовалютных кошельков), установленное программное обеспечение, системные сертификаты, данные подключенных телефонов, VPN-клиенты, текстовые и офисные документы, информация о кошельках и семенах, а также данные о пользователе FileZilla FTP. Он также может собирать информацию о скомпрометированной системе, такую как IP-адрес, местоположение, имя пользователя, версия операционной системы и конфигурация системы.

В самом начале сетевого взаимодействия с C2 RedLine Stealer отправляет запрос на авторизацию, который варьируется в зависимости от исполнения вредоносной программы. C2 посылает ответ на запрос, который также различается в зависимости от исполнения вредоносной программы. При дальнейшем общении C2 запрашивает данные, которые RedLine Stealer должен получить из скомпрометированной системы и отправить противнику. К ним относятся данные веб-браузера, список установленного программного обеспечения, защитные программы, данные о графической карте, криптовалютные кошельки, запущенные процессы и т.д.

Оригинальный образец вредоносной программы на момент анализа имеет очень низкий уровень обнаружения на VirusTotal. Таким образом, RedLine Stealer представляет собой опасную разновидность вредоносного ПО, способную нанести значительный ущерб организациям и конечным пользователям. Для защиты от RedLine Stealer организациям и конечным пользователям следует проявлять осторожность при работе с подозрительными ссылками и файлами, полученными по электронной почте. Усиление защиты системы, сети и приложений, а также использование актуального антивирусного программного обеспечения - все это необходимо для эффективной защиты.

#ParsedReport #CompletenessMedium
18-09-2023

Tracking Adversaries: Akira, another descendent of Conti. Adversaries and Victims

https://blog.bushidotoken.net/2023/09/tracking-adversaries-akira-another.html?m=1

Report completeness: Medium

Actors/Campaigns:
Wizard_spider
Exotic_lily
Fin12

Threats:
Akira_ransomware
Conti
Blackbasta
Quantum_locker
Trickbot
Snatch
Blackbyte
Bumblebee
Masscan_tool
Reconftw_tool
Pchunter64_tool
Lansweeper_tool
Bloodhound_tool
Adfind_tool
Netscan_tool
Nltest_tool
Minidump_tool
Mimikatz_tool
Lazagne_tool
Donpapi_tool
Anydesk_tool
Rustdesk_tool
Radmin_tool
Screenconnect_tool
Putty_tool
Systembc
Toolpow_tool
Impacket_tool
Mobaxterm_tool
Clop
Pchunter_tool
Ryuk
Cobalt_strike

Victims:
Small-to-medium businesses (smbs) in the education, financial services, manufacturing, professional services, and healthcare industries

Industry:
Education, E-commerce, Healthcare, Financial, Government

Geo:
Russian, Russia, Canadian, America, American

CVEs:
CVE-2019-6693 [Vulners]
CVSS V3.1: 6.5,
Vulners: Exploitation: Unknown
X-Force: Risk: 5.3
X-Force: Patch: Official fix
Soft:
- fortinet fortios (le5.6.10, le6.0.6, 6.2.0)

CVE-2022-40684 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- fortinet fortiswitchmanager (7.0.0, 7.2.0)
- fortinet fortiproxy (7.2.0, <7.0.7)
- fortinet fortios (<7.0.7, <7.2.2)


TTPs:
Tactics: 8
Technics: 0

IOCs:
File: 3
Domain: 2

Soft:
hyper-v, esxi, windows defender, microsoft sharepoint, winscp, psexec, moveit

Crypto:
bitcoin

Algorithms:
chacha20, 7zip

Languages:
rust

Links:
https://gist.github.com/BushidoUK/410d6a99d6c0e943f5604476b5a8f856

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 2

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Группа Conti - это киберпреступная группировка, связанная с кампанией Akira ransomware, которая направлена на малые и средние предприятия и попала под санкции правительств США и Великобритании. Выплата выкупа может рассматриваться как финансирование терроризма, поэтому жертвам следует рассмотреть другие варианты борьбы с атакой.
-----

Группа Conti - это киберпреступная группировка, действующая с 2022 года и не прекращающая своих кампаний. В феврале и сентябре 2023 года правительства США и Великобритании ввели санкции против нескольких членов группы Conti, официально приписав их к российским угрозам. В марте 2023 года появилась новая кампания по распространению вымогательского ПО под названием Akira, которая с тех пор стремительно развивается, скомпрометировав по меньшей мере 63 жертвы с требованиями выкупа от 200 тыс. до миллионов долларов США.

Вымогательское ПО Akira в основном нацелено на малые и средние предприятия в таких отраслях, как образование, финансовые услуги, производство, профессиональные услуги и здравоохранение. Первая версия Akira была написана на языке C++ и добавляла файлы с расширением .akira, а более поздняя версия была переписана на языке Rust и добавляла файлы с расширением .powerranges. Начальным вектором доступа для Akira обычно является брутфорсинг VPN-устройств Cisco с однофакторной аутентификацией. Получив доступ к цели, операторы используют сайт Tor Negotiation в стиле Green MS-DOS для переговоров со своими жертвами, и в случае отказа жертва попадает в список DLS Akira.

Conti и Akira - это двойные группы вымогательских программ-рансомов, нацеленные на один и тот же тип жертв и использующие схожую тактику. Были выявлены сходства в коде, а также одинаковый арсенал инструментов, используемых раз за разом. Кроме того, блокчейн-анализ биткойн-транзакций Akira показал, что средства выкупа как минимум в трех случаях отправлялись на адреса, связанные с известными кошельками Conti. Эти данные позволяют с высокой степенью уверенности утверждать, что операторы, стоящие за вымогательским ПО Akira, связаны с компанией Conti.

Выплата выкупа в таких случаях не только наносит финансовый ущерб, но и может рассматриваться как финансирование терроризма. Руководители компаний-жертв должны понимать последствия оплаты услуг российской киберпреступной группировки, находящейся под санкциями, и рассмотреть другие варианты борьбы с атакой.

#rstcloud
- Мы упаковали вытаскиваемые из TI-отчетов данные в STIX-формат.
- В первой версии в STIX присутствуют почти все объекты, которые мы умеем вытаскивать из отчетов + саммари отчета на русском.
- Запилили первую версию коннектора для OpenCTI.

Больше деталей будет на этой неделе.

#ParsedReport #CompletenessLow
19-09-2023

Cisco Talos Intelligence Blog. New ShroudedSnooper actor targets telecommunications firms in the Middle East with Novel Implants

https://blog.talosintelligence.com/introducing-shrouded-snooper

Report completeness: Low

Actors/Campaigns:
Shroudedsnooper
Lightbasin
Red_delta
Volatile_cedar
Muddywater

Threats:
Httpsnoop
Pipesnoop
Plugx_rat
Dll_hijacking_technique

Victims:
Telecommunications providers in the middle east

Industry:
Logistic, Telco, Government

Geo:
Chinese, Afghanistan, Asia, Middle-east, Israeli

ChatGPT TTPs:
do not use without manual check
T1543.001, T1486, T1071.001, T1543.002, T1546.004, T1046, T1543.003

IOCs:
File: 1

Soft:
officetrack

Algorithms:
xor, base64

Links:
https://github.com/Cisco-Talos/IOCs/tree/main/2023/09

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея этого текста заключается в том, что компания Cisco Talos обнаружила новое семейство вредоносных программ под названием HTTPSnoop, предназначенное для телекоммуникационных провайдеров на Ближнем Востоке и маскирующееся под легитимные компоненты защитного ПО. Он используется для получения первоначального доступа к серверам, выходящим в Интернет, а родственный ему имплант PipeSnoop может принимать произвольный шелл-код из именованного канала и исполнять его на зараженной конечной точке.
-----

Недавно специалисты Cisco Talos обнаружили новое семейство вредоносных программ под названием HTTPSnoop, предназначенное для атак на операторов связи на Ближнем Востоке. Вредоносная программа, состоящая из DLL- и EXE-версий, маскируется под легитимные компоненты защитного ПО, что затрудняет ее обнаружение. В его основе лежит новая технология, позволяющая взаимодействовать с драйверами и устройствами ядра Windows HTTP, прослушивать входящие запросы на определенные URL-адреса HTTP(S) и выполнять их на зараженной конечной точке. Также был обнаружен родственный HTTPSnoop имплант PipeSnoop, который может принимать произвольный шелл-код из именованного канала и исполнять его на зараженной конечной точке. Этот набор вторжений получил название ShroudedSnooper.

Судя по шаблонам HTTP-адресов, используемых имплантами, например, имитирующим платформу Exchange Web Services (EWS) компании Microsoft, вероятно, злоумышленники используют серверы, выходящие в Интернет, и применяют HTTPSnoop для получения первоначального доступа. Телекоммуникационные компании уже давно являются объектом атак со стороны государственных структур и изощренных противников. Компании CrowdStrike, McAfee, Recorded Future, Clearsky и Symantec сообщали об атаках, направленных на телекоммуникационные компании по всему миру.

Вредоносная DLL при активации XOR-декодирует конфигурацию и шелл-код Stage 2 и запускает его. Эта стадия 2 представляет собой однобайтовый XOR-декодированный шелл-код бэкдора, который открывает хэндл к \Device\Http\Communication и вызывает HTTP-драйвер API http.sys!UlCreateServerSession. Вредоносная программа прослушивает входящие HTTP-запросы, содержащие сконфигурированное ключевое слово. В качестве полезной нагрузки, получаемой от оператора, выступает произвольный шелл-код. Конечный результат выполнения произвольного шелл-кода возвращается запросчику в виде блоба с XOR-кодировкой в формате base64.

PipeSnoop - еще один имплант, созданный в мае 2023 года и предназначенный для запуска на зараженной конечной точке произвольного полезного кода shellcode путем чтения из IPC-трубы. В основном он используется в связке с другим компонентом, способным передать ему необходимый шелл-код. Вероятно, он предназначен для работы на скомпрометированном предприятии, а не на публичных серверах, таких как HTTPSnoop.

HTTPSnoop обычно настраивается на привязку к определенным HTTP-адресам на конечной точке для прослушивания входящих полезных нагрузок шелл-кода. Эти URL-адреса напоминают URL-адреса API - продукта, позволяющего приложениям получать доступ к элементам почтового ящика. Также было замечено, что импланты прослушивают шаблоны URL, которые создают впечатление, что зараженная система является сервером, на котором установлено приложение OfficeTrack, разработанное компанией OfficeCore, и предоставляющее услуги израильской телекоммуникационной компании.

#ParsedReport #CompletenessLow
19-09-2023

Multi-year Chinese APT Campaign Targets South Korean Academic, Government, and Political Entities

https://www.recordedfuture.com/multi-year-chinese-apt-campaign-targets-south-korean-academic-government-political-entities

Report completeness: Low

Actors/Campaigns:
Tick
Kimsuky
Scarcruft

Threats:
Revbshell
Korlia

Victims:
South korean academic, political, and government organizations, japanese, and russian organizations

Industry:
Education, Aerospace, Military, Government

Geo:
Chinese, Japanese, Taiwan, Korea, Korean, Japan, Indo-pacific, Russian, Russia, China

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: TAG-74 - спонсируемая китайским государством группа, связанная с китайской военной разведкой. Группа атакует южнокорейские организации с целью получения интеллектуальной собственности и расширения влияния Китая в мире. Для проникновения в организации они используют различные ТТП, в том числе файлы .chm и пользовательские бэкдоры. Недавняя напряженность в отношениях между Китаем и Южной Кореей повысила вероятность того, что TAG-74 активизирует свою деятельность по сбору разведданных.
-----

TAG-74 - это долгосрочная кампания кибершпионажа, ответственность за которую возлагается на китайские государственные структуры. Основной целью TAG-74 является проникновение в южнокорейские научные, политические и правительственные организации с целью кражи интеллектуальной собственности и расширения влияния Китая в мире. Эта деятельность соответствует стремлению Китая получить преимущество в конкурентной борьбе с США и их союзниками в Индо-Тихоокеанском регионе. TTP, используемые TAG-74, включают в себя файлы .chm для запуска цепочек выполнения перехвата порядка поиска DLL и использование пользовательских бэкдоров, известных как ReVBShell и Bisonal. Упорство TAG-74 в атаках на южнокорейские организации и ее вероятное оперативное взаимодействие с командованием Северного театра военных действий позволяет предположить, что группа продолжит работу по сбору разведданных в Южной Корее, Японии и России. Поскольку использование файлов .chm получило широкое распространение среди угроз в последние годы, организациям следует быть внимательными и отслеживать их наличие.

Китайская государственная группа TAG-74, связанная с китайской военной разведкой, вызывает серьезную озабоченность у многих научных, аэрокосмических и оборонных, правительственных, военных и политических структур Южной Кореи, Японии и России. Мотивы шпионской деятельности TAG-74 обусловлены прежде всего региональной близостью и стратегической ролью Южной Кореи в конкурентной борьбе Китая с США и их региональными союзниками в Индо-Тихоокеанском регионе. Недавняя напряженность в отношениях между Китаем и Южной Кореей возникла из-за более тесных связей Южной Кореи с США и ее предполагаемого вмешательства в дела Тайваня, а также в связи со стремлением США и Японии сдерживать Китай. Таким образом, ожидается, что TAG-74 активизирует свою деятельность по сбору разведданных, которая уже направлена на поддельные домены и ложные документы, связанные с межкорейским сотрудничеством, с целью получения информации для формирования своих дипломатических и деловых отношений с южнокорейскими структурами.

Для проникновения в южнокорейские организации TAG-74 использует несколько тактик, методик и процедур (ТТП). Во-первых, они используют файлы .chm, которые запускают цепочку выполнения перехвата порядка поиска DLL для загрузки адаптированной версии VBScript-бэкдора ReVBShell. Кроме того, для расширения возможностей после получения первоначального доступа через ReVBShell используется пользовательский бэкдор, известный как Bisonal. Более того, сотрудничество между TAG-74 и другой близкородственной группой, Tick Group, указывает на то, что данный вариант ReVBShell, скорее всего, является общим для этих двух групп.

#ParsedReport #CompletenessMedium
19-09-2023

Fake CVE-2023-40477 Proof of Concept Leads to VenomRAT. Executive Summary

https://unit42.paloaltonetworks.com/fake-cve-2023-40477-poc-hides-venomrat

Report completeness: Medium

Threats:
Venomrat
Wildfire
Whalersplonk_actor
Putty_tool
Hvnc_tool

Geo:
Emea, Japan, Apac, America

CVEs:
CVE-2023-25157 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- osgeo geoserver (<2.22.2, <2.21.4, <2.20.7, <2.19.7, <2.18.7)

CVE-2023-40477 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: 7.8
X-Force: Patch: Official fix


ChatGPT TTPs:
do not use without manual check
T1170, T1564, T1036, T1486, T1133

IOCs:
Domain: 16
Hash: 314
File: 2
Url: 17
Path: 3
Coin: 1
IP: 278

Soft:
burp suite, telegram

Algorithms:
zip

Languages:
python

Links:
https://github.com/pan-unit42/iocs/blob/master/venomrat\_iocs.csv
https://github.com/whalersplonk/CVE-2023-40477