#ParsedReport #CompletenessHigh
20-09-2023

Behind the Scenes of BBTok: Analyzing a Banker s Server Side Components

https://research.checkpoint.com/2023/behind-the-scenes-of-bbtok-analyzing-a-bankers-server-side-components

Report completeness: High

Threats:
Bbtok
Lolbin_technique
Follina_vuln
Uac_bypass_technique
Trojan.win.xlladdings.a
Trojan.win.generic.aq
Trojan.win.generic.ar

Victims:
Hundreds of users in brazil and mexico

Industry:
Government, Financial

Geo:
Portuguese, Brasil, Brazil, Mexico, American, Brazilian, Spanish, Mexican, Ita, America

TTPs:
Tactics: 1
Technics: 0

IOCs:
File: 15
IP: 4
Domain: 4
Path: 3
Registry: 4
Url: 2
Hash: 18

Soft:
microsoft edge, google chrome

Wallets:
electrum, harmony_wallet

Crypto:
bitcoin, binance

Algorithms:
zip

Functions:
Add-PoshObfuscation, ByFD, CreateDoc, CreateJS, CreateBat

Languages:
php, javascript, delphi

Links:
https://github.com/moohax/xllpoc

#ParsedReport #ExtractedSchema

Classified images:
schema: 3, code: 1, windows: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Компания Check Point Research недавно обнаружила новый вариант вредоносного банковского ПО BBTok banker, который активно распространялся в Латинской Америке. Исследователи безопасности должны постоянно развиваться и совершенствовать свои методы, чтобы защититься от будущих атак.
-----

Недавно компания Check Point Research обнаружила новый вариант вредоносного банковского ПО BBTok banker, который активно распространялся в Латинской Америке. Угрожающие лица, вероятно, из Бразилии, использовали комбинацию бинарных файлов Living off the Land Binaries (LOLBins) и многоуровневого геоограждения, чтобы убедиться, что зараженные машины находятся только в Мексике и Бразилии. С момента последнего публичного сообщения о бандере BBTok в 2020 году операторы приняли новую тактику и процедуры, добавив дополнительные слои обфускации и загрузчики, что привело к низкой частоте обнаружения.

BBTok способен копировать интерфейсы более чем 40 мексиканских и бразильских банков и обманным путем заставлять жертв вводить код 2FA или номер платежной карты. Кроме того, он позволяет выполнять удаленные команды и классические банковские троянские функции, а также устанавливать вредоносные расширения для браузеров или внедрять DLL с именем rpp.dll. Кроме того, он ищет на зараженной машине информацию о биткойнах.

Для управления своей кампанией операторы BBTok создали уникальный поток, который запускается при нажатии жертвой на вредоносную ссылку, присланную в фишинговом письме. После перехода по вредоносной ссылке на компьютеры жертв загружается ISO- или ZIP-файл. В них содержится LNK-файл, который запускает цепочку заражения, приводящую к развертыванию баннера при открытии ложного документа.

Анализ серверного кода полезной нагрузки показал, что злоумышленники активно поддерживают диверсифицированные цепочки заражения для различных версий Windows. В этих цепочках используется широкий спектр типов файлов, включая ISO, ZIP, LNK, DOCX, JS и XLL. В некоторых из этих файлов обнаружена эксплуатация CVE Follina (2022-30190).

В кодовой базе PHP содержится множество комментариев на испанском и португальском языках, которые дают подсказку о происхождении злоумышленника. Он проверяет геолокацию жертвы, перешедшей по ссылке, по ip-api.com и сохраняет ее в файле. Если жертва не из целевой страны (например, Мексики или Бразилии), то HTTP-соединение немедленно завершается сообщением 404.

Скрипт-генератор вызывается файлом descarga.php , используя функцию DownloadFile с аргументами file_name, ver и cc. Они соответствуют имени сгенерированного архива, версии ОС жертвы и коду страны жертвы. Архив содержит LNK. Конечная полезная нагрузка представляет собой новую версию банкира BBTok.

Наш анализ серверного компонента также проливает свет на одну из последних кампаний со стороны угрожающих субъектов, основываясь на найденной базе данных, документирующей доступ к вредоносному приложению. База данных имеет имя links.sqlite и является довольно простой. Она содержит более 150 записей, причем все они уникальны, а заголовки таблиц соответствуют заголовкам, созданным в db.php. Это указывает на то, что участники угрозы, скорее всего, являются бразильцами.

Несмотря на то, что благодаря своим неуловимым методам BBTok удалось остаться незамеченным, он по-прежнему активно применяется и представляет опасность для организаций и частных лиц в регионе. Исследователи безопасности должны постоянно развиваться и совершенствовать свои методы, а также следить за новыми тенденциями в области безопасности и пробовать новые идеи и возможности, чтобы не отставать и защититься от будущих атак.

#ParsedReport #CompletenessMedium
20-09-2023

Chinese Malware Appears in Earnest Across Cybercrime Threat Landscape

https://www.proofpoint.com/us/blog/threat-insight/chinese-malware-appears-earnest-across-cybercrime-threat-landscape

Report completeness: Medium

Threats:
Valleyrat
Sainbox_rat
Gh0st_rat
Fatalrat
Purplefox
Beacon

Victims:
Global organisations with operations in china, japanese organisations

Industry:
Financial

Geo:
Japanese, Chinese, China, Japan

IOCs:
File: 5
Domain: 3
Url: 7
Hash: 4
Email: 7
Path: 1

Soft:
outlook, easyconnect

Algorithms:
zip, sha256

Languages:
rust, python

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: В последнее время растет число киберпреступлений, направленных против носителей китайского языка, причем способы доставки включают URL-адреса, ссылающиеся на сжатые исполняемые файлы и маскирующиеся под инсталляторы легитимных приложений. Угрожающие организации зарегистрировали домены с именем "fakaka9.top", связанные с Sainbox RAT, а ValleyRAT распространяется через URL-адреса, ведущие на исполняемый файл в формате zip. Организациям необходимо сохранять бдительность в отношении этих угроз для защиты от старых вредоносных программ.
-----

В последние годы растет число киберпреступлений, направленных на лиц, говорящих на китайском языке. В 2023 году компания Proofpoint отметила рост активности отдельных семейств вредоносных программ, ориентированных на эту группу населения. К ним относятся китайскоязычные заманухи и такие вредоносные программы, как Sainbox RAT (вариант Gh0stRAT), ValleyRAT и Purple Fox. Как правило, эти кампании рассылаются глобальным организациям, работающим в Китае, Японии и других странах. Способы доставки включают URL-адреса, ссылающиеся на сжатые исполняемые файлы, вложения Excel и PDF, а также маскировку под инсталляторы легитимных приложений.

Большинство кампаний малочисленны и используют китайскую или японскую тематику рассылок. Угрожающие лица часто регистрируют домены с именем "fakaka9.top", которое ассоциируется с Sainbox RAT. ValleyRAT, о котором впервые сообщила китайская компания Qi An Xin в начале этого года, также доставляется по URL-адресам, ведущим на исполняемый файл в формате zip или загрузчик на языке Rust.

ValleyRAT выполняет различные проверки, чтобы определить, выполняется ли полезная нагрузка в виртуальной среде. Он генерирует MD5-дайджест из следующих значений: OS Info, Kernel Version, CPU Name, Architecture, IsAdmin, Hardware Profile GUID для использования в качестве системного идентификатора (SystemID). Затем он использует сырые сокеты с пользовательским протоколом для связи с C2 и отправки системной информации, оформленной в виде следующей структуры. В настоящее время в нем реализованы следующие команды:.

По мнению Proofpoint, эта активность не связана с одним субъектом, а скорее представляет собой кластер действий, основанных на временных закономерностях. Несмотря на то что Sainbox RAT не является ни новым, ни передовым, он по-прежнему представляет угрозу в 2023 году, и организации не могут позволить себе недооценивать риски, связанные со старым вредоносным ПО. Появление и рост числа вредоносных программ китайской тематики - это новая тенденция в общем ландшафте угроз 2023 года, и организациям важно сохранять бдительность в отношении этих угроз.

#ParsedReport #CompletenessMedium
20-09-2023

Indian Taxpayers face a Multifaceted Threat with Drinik Malware s Return

https://cyble.com/blog/indian-taxpayers-face-a-multifaceted-threat-with-drinik-malwares-return

Report completeness: Medium

Threats:
Drinik
Sms_stealer

Victims:
Indian taxpayers

Industry:
Financial

Geo:
India, Indian

TTPs:
Tactics: 6
Technics: 6

IOCs:
Url: 5
File: 5
Hash: 2

Soft:
android, truecaller

Algorithms:
sha256, sha1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: С 2020 г. вредоносная программа Drinik атакует индийских налогоплательщиков, добавив такие функции, как нацеливание на приложения UPI, рассылка массовых SMS-сообщений, предотвращение попыток сброса настроек, удаление True Caller, кража снимков с камеры, модификация содержимого буфера обмена, а также нацеливание на определенные компоненты банковских и UPI-приложений.
-----

С 2020 года вредоносная программа Drinik атакует индийских налогоплательщиков, особенно в сезон подачи налоговых деклараций. Последняя версия этой вредоносной программы может похвастаться целым рядом новых функций, таких как атака приложений UPI (Unified Payments Interface), массовая рассылка SMS-сообщений, предотвращение попыток сброса настроек, удаление True Caller, кража снимков с камеры, модификация содержимого буфера обмена, а также атака определенных компонентов банковских и UPI-приложений.

Основной метод сбора банковских реквизитов включает в себя комбинацию методов кейлоггинга и записи экрана. После того как пользователь посещает веб-страницу, записанный контент и украденные учетные данные отправляются на командно-контрольный сервер (C&C). Кроме того, вредоносная программа выводит на экран диалоговое окно с инструкцией по включению функции Restricted Setting, тем самым увеличивая вероятность получения доступа к ограниченным настройкам устройства.

Также следует отметить функцию Blast SMS, которая отправляет SMS-сообщения с зараженного устройства на номера, предоставленные сервером. Аналогично, функция Blast Contact Sequence передает на сервер список контактов устройства. Угроза также проверяет наличие приложения True Caller и в случае его присутствия предпринимает действия по его удалению. Это делается для того, чтобы скрыть свою вредоносную деятельность, включающую массовую рассылку SMS-сообщений и манипулирование входящими звонками.

Кроме того, вредоносная программа способна изменять содержимое буфера обмена и перехватывать изображения с камеры скомпрометированного устройства. Получив список имен компонентов целевых приложений, вредоносная программа активирует запись экрана и кейлоггинг для извлечения учетных данных при работе жертвы с любым из этих компонентов.

#ParsedReport #CompletenessMedium
20-09-2023

Dark Web Profile: NoEscape Ransomware

https://socradar.io/dark-web-profile-noescape-ransomware

Report completeness: Medium

Threats:
Noescape
Avaddon
Process_injection_technique
Credential_dumping_technique

Industry:
Telco, Healthcare, Financial, Retail, Government, Education

Geo:
Russia, Canada, America, Asia, Italy

TTPs:
Tactics: 10
Technics: 19

IOCs:
File: 4
Hash: 2

Soft:
event tracing for windows, esxi

Algorithms:
salsa20, chacha20, sha256, aes

Win API:
EtwEventWrite

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: NoEscape ransomware - это очень сложное вредоносное ПО для систем Windows и Linux, использующее множество тактик и стратегий для избежания обнаружения, стимулирующее аффилированных лиц с помощью модели совместного получения прибыли и применяющее тактику вымогательства с публичным размещением списка жертв и демонстрацией их данных. Эта угроза представляет собой серьезный вызов для механизмов защиты кибербезопасности, однако ее можно устранить с помощью проактивных мер, резервного копирования и информированности.
-----

NoEscape Ransomware - это платформа Ransomware-as-a-Service (RaaS), которая, как предполагается, является ребрендинговой версией программы Avaddon ransomware. Это очень сложная вредоносная программа, предназначенная для работы с операционными системами Windows и Linux. Она имеет несколько режимов шифрования, включая полный, быстрый и сильный, и использует для шифрования файлов различные алгоритмы шифрования, такие как RSA и ChaCHA20. Функция общего шифрования позволяет использовать единый ключ шифрования для всех зараженных файлов в сети, что облегчает операторам расшифровку данных в случае уплаты выкупа.

Разработчики NoEscape используют несколько тактик и стратегий, позволяющих избежать обнаружения, включая методы обфускации, генерацию событий ETW (Event Tracing for Windows) для утечки данных и маскировку вредоносных действий. Кроме того, компания предоставляет аффилированным лицам комплексную платформу для создания и управления полезной нагрузкой, адаптированной для различных ОС. Для стимулирования аффилированных лиц используется модель совместной прибыли, при которой они получают большую долю выкупа, если он превышает определенную сумму.

NoEscape отличается тактикой многократного вымогательства, при которой она ведет блог на базе TOR для публичного размещения списка своих жертв и демонстрации эксфильтрованных данных тех, кто не заплатил выкуп. Жертвы вируса принадлежат к самым разным отраслям, включая профессиональные услуги, производство, телекоммуникации, здравоохранение, государственное управление, финансовые услуги, юриспруденцию, гостиничный бизнес, образование и розничную торговлю. Страны, в которых расположены организации, пострадавшие от NoEscape, - это в основном Северная Америка, Европа и Юго-Восточная Азия, причем наибольшее число жертв приходится на США, Италию, Великобританию и Канаду.

Программа-вымогатель NoEscape представляет собой серьезный вызов для механизмов защиты кибербезопасности. Однако благодаря проактивным мерам, регулярному резервному копированию и осведомленности отдельные пользователи и организации могут снизить риски, связанные с такими программами.

#rstcloud

Т.к. мы собираем TI-отчеты со всего мира, то видим сколько раз мелькает та, или иная группировка.
Решили сделать некий индекс изученности группировок на основе кол-ва материалов по ним.
Вот допиливаем небольшой публичный лендосик.

#technique

404 Starlink Project | Includes high-quality open source security projects +4

https://paper-seebug-org.translate.goog/3039/?_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=ru&_x_tr_pto=wapp

#technique

An Introduction into Stack Spoofing

https://dtsec.us/2023-09-15-StackSpoofin/

FIN12. A CYBERCRIMINAL GROUP WITH MULTIPLE RANSOMWARE

https://www.cert.ssi.gouv.fr/uploads/CERTFR-2023-CTI-007.pdf

#rstcloud
З.ы. парсер PDF-отчетов у нас в работе.
Есть пара коварных приколюх в разборе PDF, которые надо разрешить.

#ParsedReport #CompletenessLow
21-09-2023

Malicious LNK File Being Distributed, Impersonating the National Tax Service

https://asec.ahnlab.com/en/57176

Report completeness: Low

Threats:
Quasar_rat
Amadey
Infostealer/bat.generic.s2319
Trojan/bat.runner.sc192407

Geo:
Korean

IOCs:
File: 17
Url: 5
Hash: 7

Algorithms:
zip

#ParsedReport #CompletenessLow
21-09-2023

Cyber Group 'Gold Melody' Selling Compromised Access to Ransomware Attackers

https://thehackernews.com/2023/09/cyber-group-gold-melody-selling.html

Report completeness: Low

Actors/Campaigns:
Prophet_spider (motivation: cyber_espionage, financially_motivated)

Threats:
Maze
Egregor
Gotroj
Barnwork
Holedoor
Darkdoor
Auditunnel
Holepunch_tool
Lightbunny
Holerun
Credential_harvesting_technique

Victims:
Retail, healthcare, energy, financial transactions, and high-tech organizations in north america, northern europe, and western asia

Industry:
Healthcare, Retail, Financial, Energy

Geo:
America, Asia

CVEs:
CVE-2021-42237 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- sitecore experience platform (8.2, 8.1, 8.0, 7.5)

CVE-2017-5638 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 10
X-Force: Patch: Official fix
Soft:
- apache struts (2.3.5, 2.3.28, 2.3.20.2, 2.3.15, 2.3.25, 2.3.14, 2.3.13, 2.3.16, 2.3.24.2, 2.3.17, 2.3.24.1, 2.3.22, 2.3.9, 2.3.16.3, 2.3.23, 2.3.6, 2.3.24.3, 2.3.15.2, 2.3.29, 2.3.14.3, 2.3.19, 2.3.20.1, 2.3.8, 2.3.30, 2.3.7, 2.3.24, 2.3.28.1, 2.3.14.2, 2.3.20.3, 2.3.10, 2.3.15.1, 2.3.16.2, 2.3.26, 2.3.12, 2.3.27, 2.3.31, 2.3.21, 2.3.20, 2.3.11, 2.3.15.3, 2.3.16.1, 2.3.14.1, 2.5.9, 2.5.2, 2.5.10, 2.5.6, 2.5.1, 2.5.4, 2.5.7, 2.5, 2.5.5, 2.5.3, 2.5.8)

CVE-2021-4104 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: 8.1
X-Force: Patch: Official fix
Soft:
- apache log4j (1.2)
- fedoraproject fedora (35)
- redhat jboss operations network (3.0)
- redhat jboss a-mq (6.0.0, 7)
- redhat enterprise linux (7.0, 6.0, 8.0)
have more...
CVE-2016-0545 [Vulners]
CVSS V3.1: 6.4,
Vulners: Exploitation: Unknown
X-Force: Risk: 6.4
X-Force: Patch: Official fix
Soft:
- oracle customer intelligence (12.2.3, 12.2.4, 12.1.1, 12.2.5, 11.5.10.2, 12.1.2, 12.1.3)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1078, T1036, T1021, T1518, T1098, T1545, T1567, T1572, T1090, T1056, have more...

Soft:
apache struts

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что Gold Melody - это группа электронных преступников, которая использует различные технологии для получения доступа к сетям, а затем продает доступ другим угрожающим субъектам, которые затем могут монетизировать этот доступ, вероятно, путем вымогательства через развертывание выкупного ПО.
-----

Подразделение по борьбе с угрозами SecureWorks (CTU) выявило группу электронных преступников, получившую название Gold Melody. Эта группа, известная также под именами Prophet Spider и UNC961, с середины 2020 года совершает атаки на предприятия розничной торговли, здравоохранения, энергетики, финансовые операции и высокотехнологичные организации в Северной Америке, Северной Европе и Западной Азии. В марте 2023 года компания Mandiant выпустила анализ, в котором утверждалось, что эта группа активно участвовала во вторжениях, после которых были развернуты программы-вымогатели Maze и Egregor, созданные различными последующими субъектами.

Для получения доступа к сетям своих жертв Gold Melody использует различные технологии. Известно, что они используют веб-оболочки, встроенное программное обеспечение операционной системы, общедоступные утилиты, а также собственные трояны удаленного доступа (RAT) и средства туннелирования, такие как GOTROJ (aka MUTEPUT), BARNWORK, HOLEDOOR, DARKDOOR, AUDITUNNEL, HOLEPUNCH, LIGHTBUNNY и HOLERUN. Также были замечены случаи использования для получения начального доступа дефектов, затрагивающих Oracle E-Business Suite (CVE-2016-0545), Apache Struts (CVE-2017-5638), Sitecore XP (CVE-2021-42237) и Flexera FlexNet (CVE-2021-4104).

Получив доступ к сети, Gold Melody начинает сканирование среды с целью сбора информации и облегчения латерального перемещения и утечки данных. По данным SecureWorks, эта группа причастна к пяти попыткам вторжения, предпринятым в период с июля 2020 года по июль 2022 года, однако все они оказались безуспешными.

SecureWorks пришла к выводу, что Gold Melody действует как финансово мотивированный брокер начального доступа (IAB), который продает доступ другим угрожающим субъектам, которые затем могут монетизировать этот доступ, вероятно, путем вымогательства через развертывание выкупного ПО.

Мы продолжим работать над этим коннектором для OpenCTI и в первую очередь постараемся повысить качество извлекаемых связей между объектами. У нас даже уже готова версия связей "1.5", но надо придумать как ее имплементировать так, чтобы ни у кого ничего не сломалось ))))