#ParsedReport #CompletenessMedium
23-11-2023
Stealthy WailingCrab Malware misuses MQTT Messaging Protocol
https://securityintelligence.com/x-force/wailingcrab-malware-misues-mqtt-messaging-protocol
Report completeness: Medium
Actors/Campaigns:
Ta544
Red_delta
Threats:
Wikiloader
Gozi
Mqsttang
Dll_hijacking_technique
Industry:
Iot, Transport
Geo:
Sydney, Italy
ChatGPT TTPs:
T1201, T1090, T1090, T1117, T1053, T1218, T1573, T1036, T1084
IOCs:
Domain: 1
Hash: 3
File: 6
Path: 1
Url: 1
Soft:
discord, wordpress
Algorithms:
aes-256, base64, cbc, aes, xor
Win API:
DllRegisterServer
Languages:
php, jscript
23-11-2023
Stealthy WailingCrab Malware misuses MQTT Messaging Protocol
https://securityintelligence.com/x-force/wailingcrab-malware-misues-mqtt-messaging-protocol
Report completeness: Medium
Actors/Campaigns:
Ta544
Red_delta
Threats:
Wikiloader
Gozi
Mqsttang
Dll_hijacking_technique
Industry:
Iot, Transport
Geo:
Sydney, Italy
ChatGPT TTPs:
do not use without manual checkT1201, T1090, T1090, T1117, T1053, T1218, T1573, T1036, T1084
IOCs:
Domain: 1
Hash: 3
File: 6
Path: 1
Url: 1
Soft:
discord, wordpress
Algorithms:
aes-256, base64, cbc, aes, xor
Win API:
DllRegisterServer
Languages:
php, jscript
Security Intelligence
Stealthy WailingCrab Malware misuses MQTT Messaging Protocol
IBM X-Force researchers have been tracking developments in the WailingCrab malware family, also known as a WikiLoader. Learn about the teams' discoveries here.
#ParsedReport #CompletenessMedium
22-11-2023
Diamond Sleet supply chain compromise distributes a modified CyberLink installer
https://www.microsoft.com/en-us/security/blog/2023/11/22/diamond-sleet-supply-chain-compromise-distributes-a-modified-cyberlink-installer
Report completeness: Medium
Actors/Campaigns:
Lazarus (motivation: financially_motivated, cyber_espionage)
Threats:
Supply_chain_technique
Lambload
Geo:
Canada, Taiwan, North korea, Korean, Japan
ChatGPT TTPs:
T1497, T1496, T1090, T1071
IOCs:
File: 6
Hash: 5
Url: 8
Soft:
microsoft defender, microsoft defender for endpoint, internet explorer
Algorithms:
sha256, sha2
Languages:
python
Links:
22-11-2023
Diamond Sleet supply chain compromise distributes a modified CyberLink installer
https://www.microsoft.com/en-us/security/blog/2023/11/22/diamond-sleet-supply-chain-compromise-distributes-a-modified-cyberlink-installer
Report completeness: Medium
Actors/Campaigns:
Lazarus (motivation: financially_motivated, cyber_espionage)
Threats:
Supply_chain_technique
Lambload
Geo:
Canada, Taiwan, North korea, Korean, Japan
ChatGPT TTPs:
do not use without manual checkT1497, T1496, T1090, T1071
IOCs:
File: 6
Hash: 5
Url: 8
Soft:
microsoft defender, microsoft defender for endpoint, internet explorer
Algorithms:
sha256, sha2
Languages:
python
Links:
https://docs.github.com/en/site-policy/acceptable-use-policies/github-active-malware-or-exploitsMicrosoft News
Diamond Sleet supply chain compromise distributes a modified CyberLink installer
Microsoft has uncovered a supply chain attack by Diamond Sleet involving a malicious variant of an application developed by CyberLink Corp.
CTT Report Hub
#ParsedReport #CompletenessMedium 23-11-2023 Stealthy WailingCrab Malware misuses MQTT Messaging Protocol https://securityintelligence.com/x-force/wailingcrab-malware-misues-mqtt-messaging-protocol Report completeness: Medium Actors/Campaigns: Ta544 Red_delta…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: WailingCrab - это сложное семейство вредоносных программ, распространяемых через спам-кампании по электронной почте и использующих для связи со своим C2-сервером протокол MQTT. Он состоит из трех компонентов: инжектора, загрузчика/загрузчика и бэкдора. Компонент-инжектор внедряет вредоносный код в легитимный DLL-файл, а компонент-загрузчик/загрузчик загружает компонент-бэкдор. Компонент backdoor отвечает за установку persistence и beaconing на C2, а также использует сторонний брокер для скрытия адреса сервера C2.
-----
WailingCrab - семейство вредоносных программ, отслеживаемое исследователями IBM X-Force с декабря 2022 года.
Он распространяется через спам-кампании по электронной почте с помощью вложений в формате .PDF, содержащих вредоносные URL-адреса.
Инжекторный компонент WailingCrab отвечает за загрузку компонента backdoor.
Он создает хэш имени файла процесса до тех пор, пока не найдет тот, который совпадает с целевым хэшем.
WailingCrab расшифровывает свой компонент третьей ступени с помощью XOR и записывает расшифрованное содержимое полезной нагрузки в выделенную область памяти.
Третий компонент WailingCrab представляет собой загрузчик (Downloader/Loader), который отвечает за загрузку компонента Backdoor.
Затем выполняется код бэкдора.
WailingCrab создает подключ с произвольным именем в реестре Run и добавляет в него путь к файлу скопированного и произвольно переименованного файла printfilterpipelinesvc.exe.
Связь между компонентом бэкдора WailingCrab и C2 осуществляется по протоколу MQTT.
WailingCrab использует сторонний брокер broker.emqx.io, который позволяет скрывать истинный адрес C2-сервера.
WailingCrab регистрируется в C2, публикуя сообщение в теме, названной так же, как и строка ID кампании, найденная в загрузчике WailingCrab.
Случайно сгенерированная 16-значная строка используется в качестве имени темы, специфичной для клиента, для связи C2 и бэкдора.
Бэкдор загружает полезную нагрузку с URL-адреса, декодирует ее с помощью base64, а затем расшифровывает с помощью алгоритма XOR.
Бэкдор переподключается к MQTT-клиенту, используя новое случайно сгенерированное имя.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: WailingCrab - это сложное семейство вредоносных программ, распространяемых через спам-кампании по электронной почте и использующих для связи со своим C2-сервером протокол MQTT. Он состоит из трех компонентов: инжектора, загрузчика/загрузчика и бэкдора. Компонент-инжектор внедряет вредоносный код в легитимный DLL-файл, а компонент-загрузчик/загрузчик загружает компонент-бэкдор. Компонент backdoor отвечает за установку persistence и beaconing на C2, а также использует сторонний брокер для скрытия адреса сервера C2.
-----
WailingCrab - семейство вредоносных программ, отслеживаемое исследователями IBM X-Force с декабря 2022 года.
Он распространяется через спам-кампании по электронной почте с помощью вложений в формате .PDF, содержащих вредоносные URL-адреса.
Инжекторный компонент WailingCrab отвечает за загрузку компонента backdoor.
Он создает хэш имени файла процесса до тех пор, пока не найдет тот, который совпадает с целевым хэшем.
WailingCrab расшифровывает свой компонент третьей ступени с помощью XOR и записывает расшифрованное содержимое полезной нагрузки в выделенную область памяти.
Третий компонент WailingCrab представляет собой загрузчик (Downloader/Loader), который отвечает за загрузку компонента Backdoor.
Затем выполняется код бэкдора.
WailingCrab создает подключ с произвольным именем в реестре Run и добавляет в него путь к файлу скопированного и произвольно переименованного файла printfilterpipelinesvc.exe.
Связь между компонентом бэкдора WailingCrab и C2 осуществляется по протоколу MQTT.
WailingCrab использует сторонний брокер broker.emqx.io, который позволяет скрывать истинный адрес C2-сервера.
WailingCrab регистрируется в C2, публикуя сообщение в теме, названной так же, как и строка ID кампании, найденная в загрузчике WailingCrab.
Случайно сгенерированная 16-значная строка используется в качестве имени темы, специфичной для клиента, для связи C2 и бэкдора.
Бэкдор загружает полезную нагрузку с URL-адреса, декодирует ее с помощью base64, а затем расшифровывает с помощью алгоритма XOR.
Бэкдор переподключается к MQTT-клиенту, используя новое случайно сгенерированное имя.
CTT Report Hub
#ParsedReport #CompletenessMedium 22-11-2023 Diamond Sleet supply chain compromise distributes a modified CyberLink installer https://www.microsoft.com/en-us/security/blog/2023/11/22/diamond-sleet-supply-chain-compromise-distributes-a-modified-cyberlink…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Специалисты Microsoft Threat Intelligence выявили атаку на цепочки поставок, осуществленную северокорейским агентом Diamond Sleet. Microsoft предоставила аналитические данные, информацию о защите и рекомендованные действия для предотвращения, смягчения или реагирования на угрозы, обнаруженные в средах заказчиков.
-----
Специалисты Microsoft Threat Intelligence обнаружили атаку на цепочки поставок, осуществленную северокорейской компанией Diamond Sleet (ранее ZINC). Вредоносный файл представляет собой легитимный установщик приложения CyberLink, который был модифицирован и содержит вредоносный код. Вредоносная активность была замечена более чем на 100 устройствах в разных странах, включая Японию, Тайвань, Канаду и США. Microsoft добавила сертификат CyberLink Corp., используемый для подписи вредоносного файла, в список запрещенных сертификатов и обнаружила вредоносное приложение и полезную нагрузку как LambLoad.
Diamond Sleet - группа угроз, известная тем, что атакует СМИ, оборонную промышленность и ИТ-индустрию по всему миру с целью шпионажа, кражи персональных и корпоративных данных, получения финансовой выгоды и разрушения корпоративных сетей. Они были замечены в использовании разнообразных пользовательских вредоносных программ, характерных только для этой группы, в том числе с использованием уязвимостей N-day. Их деятельность пересекается с деятельностью других компаний, занимающихся вопросами безопасности, таких как Temp.Hermit и Labyrinth Chollima.
Впервые вредоносный файл был замечен 20 октября 2023 года. Он пытается обратиться по одному из трех URL-адресов для загрузки полезной нагрузки второго этапа, встроенной в файл, маскирующийся под PNG-файл. Оба домена являются легитимными, но были скомпрометированы программой Diamond Sleet. Вредоносный код проверяет наличие определенных имен процессов, связанных с FireEye, CrowdStrike и Tanium. Если эти критерии не соблюдены, вредоносный код отказывается от дальнейшего выполнения.
Антивирус Microsoft Defender обнаруживает вредоносные компоненты как Trojan:Win32/LambLoad. Для получения актуальной информации об участнике угрозы, вредоносной активности и методах работы клиенты Microsoft могут использовать отчеты, доступные в продуктах Microsoft. Microsoft Defender for Endpoint обнаруживает эту активность как группу активности Diamond Sleet.
Корпорация Microsoft продолжает расследование деятельности угрожающей группы Diamond Sleet, включая полный масштаб атаки на цепочки поставок. Корпорация Microsoft предоставила разведданные, информацию о защите и рекомендованные действия по предотвращению, смягчению последствий или реагированию на соответствующие угрозы, обнаруженные в средах заказчиков.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Специалисты Microsoft Threat Intelligence выявили атаку на цепочки поставок, осуществленную северокорейским агентом Diamond Sleet. Microsoft предоставила аналитические данные, информацию о защите и рекомендованные действия для предотвращения, смягчения или реагирования на угрозы, обнаруженные в средах заказчиков.
-----
Специалисты Microsoft Threat Intelligence обнаружили атаку на цепочки поставок, осуществленную северокорейской компанией Diamond Sleet (ранее ZINC). Вредоносный файл представляет собой легитимный установщик приложения CyberLink, который был модифицирован и содержит вредоносный код. Вредоносная активность была замечена более чем на 100 устройствах в разных странах, включая Японию, Тайвань, Канаду и США. Microsoft добавила сертификат CyberLink Corp., используемый для подписи вредоносного файла, в список запрещенных сертификатов и обнаружила вредоносное приложение и полезную нагрузку как LambLoad.
Diamond Sleet - группа угроз, известная тем, что атакует СМИ, оборонную промышленность и ИТ-индустрию по всему миру с целью шпионажа, кражи персональных и корпоративных данных, получения финансовой выгоды и разрушения корпоративных сетей. Они были замечены в использовании разнообразных пользовательских вредоносных программ, характерных только для этой группы, в том числе с использованием уязвимостей N-day. Их деятельность пересекается с деятельностью других компаний, занимающихся вопросами безопасности, таких как Temp.Hermit и Labyrinth Chollima.
Впервые вредоносный файл был замечен 20 октября 2023 года. Он пытается обратиться по одному из трех URL-адресов для загрузки полезной нагрузки второго этапа, встроенной в файл, маскирующийся под PNG-файл. Оба домена являются легитимными, но были скомпрометированы программой Diamond Sleet. Вредоносный код проверяет наличие определенных имен процессов, связанных с FireEye, CrowdStrike и Tanium. Если эти критерии не соблюдены, вредоносный код отказывается от дальнейшего выполнения.
Антивирус Microsoft Defender обнаруживает вредоносные компоненты как Trojan:Win32/LambLoad. Для получения актуальной информации об участнике угрозы, вредоносной активности и методах работы клиенты Microsoft могут использовать отчеты, доступные в продуктах Microsoft. Microsoft Defender for Endpoint обнаруживает эту активность как группу активности Diamond Sleet.
Корпорация Microsoft продолжает расследование деятельности угрожающей группы Diamond Sleet, включая полный масштаб атаки на цепочки поставок. Корпорация Microsoft предоставила разведданные, информацию о защите и рекомендованные действия по предотвращению, смягчению последствий или реагированию на соответствующие угрозы, обнаруженные в средах заказчиков.
#ParsedReport #CompletenessLow
22-11-2023
Beneath the Surface: How Hackers Turn NetSupport Against Users
https://www.mcafee.com/blogs/other-blogs/mcafee-labs/beneath-the-surface-how-hackers-turn-netsupport-against-users
Report completeness: Low
Threats:
Netsupportmanager_rat
Bitsadmin
Geo:
Canada
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1064, T1086, T1140, T1057, T1036, T1112, T1045, T1543
IOCs:
File: 5
Command: 1
Path: 22
IP: 1
Hash: 4
Soft:
windows registry
Algorithms:
zip, base64, xor
Languages:
java, javascript
Platforms:
x86
22-11-2023
Beneath the Surface: How Hackers Turn NetSupport Against Users
https://www.mcafee.com/blogs/other-blogs/mcafee-labs/beneath-the-surface-how-hackers-turn-netsupport-against-users
Report completeness: Low
Threats:
Netsupportmanager_rat
Bitsadmin
Geo:
Canada
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1064, T1086, T1140, T1057, T1036, T1112, T1045, T1543
IOCs:
File: 5
Command: 1
Path: 22
IP: 1
Hash: 4
Soft:
windows registry
Algorithms:
zip, base64, xor
Languages:
java, javascript
Platforms:
x86
McAfee Blog
Beneath the Surface: How Hackers Turn NetSupport Against Users | McAfee Blog
NetSupport malware variants have been a persistent threat, demonstrating adaptability and evolving infection techniques. In this technical analysis, we
CTT Report Hub
#ParsedReport #CompletenessLow 22-11-2023 Beneath the Surface: How Hackers Turn NetSupport Against Users https://www.mcafee.com/blogs/other-blogs/mcafee-labs/beneath-the-surface-how-hackers-turn-netsupport-against-users Report completeness: Low Threats:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Вредоносная программа NetSupport представляет собой постоянную угрозу, быстро распространяющуюся в США и Канаде, и вот обнаружен новый вариант этой программы, использующий обфусцированные файлы JavaScript для доставки вредоносной полезной нагрузки, известной как client32.exe. Для предотвращения подобных угроз McAfee Labs использует различные технологии обнаружения.
-----
Вредоносная программа NetSupport представляет собой постоянную угрозу, демонстрирующую способность к адаптации и эволюции за счет новых методов заражения. Согласно недавно составленной тепловой карте, вредоносная программа быстро распространяется в США и Канаде. Недавно специалисты McAfee Labs обнаружили новый вариант вредоносной программы NetSupport, распространяющийся с помощью JavaScript. Этот вариант использует обфусцированные файлы JavaScript для обхода механизмов защиты и доставки вредоносной полезной нагрузки. Вредоносная полезная нагрузка представляет собой инструмент удаленного администрирования, известный как client32.exe.
Процесс заражения начинается с выполнения JavaScript-файла, который вызывает процесс Windows Script Host (wscript.exe). Этот процесс, в свою очередь, инициирует PowerShell с определенными командами для загрузки полезной нагрузки NetSupport. После загрузки вредоносная программа запускает двоичный файл client32.exe, который устанавливает контроль над скомпрометированной системой. Кроме того, он пытается скрыться в каталогах профиля пользователя.
Файл Client32.ini предоставляет операторам ряд настроек, в том числе возможность установить канал связи с удаленным сервером, расположенным по IP-адресу 45.15.158.212 на порту 1412. Для обнаружения и предотвращения подобных угроз McAfee Labs использует сигнатурные методы, технологии машинного обучения, анализа угроз и обнаружения на основе поведения.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Вредоносная программа NetSupport представляет собой постоянную угрозу, быстро распространяющуюся в США и Канаде, и вот обнаружен новый вариант этой программы, использующий обфусцированные файлы JavaScript для доставки вредоносной полезной нагрузки, известной как client32.exe. Для предотвращения подобных угроз McAfee Labs использует различные технологии обнаружения.
-----
Вредоносная программа NetSupport представляет собой постоянную угрозу, демонстрирующую способность к адаптации и эволюции за счет новых методов заражения. Согласно недавно составленной тепловой карте, вредоносная программа быстро распространяется в США и Канаде. Недавно специалисты McAfee Labs обнаружили новый вариант вредоносной программы NetSupport, распространяющийся с помощью JavaScript. Этот вариант использует обфусцированные файлы JavaScript для обхода механизмов защиты и доставки вредоносной полезной нагрузки. Вредоносная полезная нагрузка представляет собой инструмент удаленного администрирования, известный как client32.exe.
Процесс заражения начинается с выполнения JavaScript-файла, который вызывает процесс Windows Script Host (wscript.exe). Этот процесс, в свою очередь, инициирует PowerShell с определенными командами для загрузки полезной нагрузки NetSupport. После загрузки вредоносная программа запускает двоичный файл client32.exe, который устанавливает контроль над скомпрометированной системой. Кроме того, он пытается скрыться в каталогах профиля пользователя.
Файл Client32.ini предоставляет операторам ряд настроек, в том числе возможность установить канал связи с удаленным сервером, расположенным по IP-адресу 45.15.158.212 на порту 1412. Для обнаружения и предотвращения подобных угроз McAfee Labs использует сигнатурные методы, технологии машинного обучения, анализа угроз и обнаружения на основе поведения.
#ParsedReport #CompletenessLow
23-11-2023
HrServ Previously unknown web shell used in APT attack
https://securelist.com/hrserv-apt-web-shell/111119
Report completeness: Low
Threats:
Hrserv
Victims:
Government entity in afghanistan
Industry:
Government
Geo:
Afghanistan, Chinese
TTPs:
Tactics: 1
Technics: 0
IOCs:
File: 2
Command: 3
Registry: 1
Hash: 4
Soft:
outlook
Algorithms:
base64, sha256, fnv1a64, sha1, exhibit
Win API:
VirtualAlloc
23-11-2023
HrServ Previously unknown web shell used in APT attack
https://securelist.com/hrserv-apt-web-shell/111119
Report completeness: Low
Threats:
Hrserv
Victims:
Government entity in afghanistan
Industry:
Government
Geo:
Afghanistan, Chinese
TTPs:
Tactics: 1
Technics: 0
IOCs:
File: 2
Command: 3
Registry: 1
Hash: 4
Soft:
outlook
Algorithms:
base64, sha256, fnv1a64, sha1, exhibit
Win API:
VirtualAlloc
Securelist
HrServ web shell analysis
In this report Kaspersky researchers provide an analysis of the previously unknown HrServ web shell, which exhibits both APT and crimeware features and has likely been active since 2021.
CTT Report Hub
#ParsedReport #CompletenessLow 23-11-2023 HrServ Previously unknown web shell used in APT attack https://securelist.com/hrserv-apt-web-shell/111119 Report completeness: Low Threats: Hrserv Victims: Government entity in afghanistan Industry: Government…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Мы обнаружили веб-оболочку с расширенными возможностями, такими как пользовательская кодировка для взаимодействия с клиентами и выполнение в памяти, датируемую 2021 годом. Это соответствует финансово мотивированной вредоносной деятельности, хотя и имеет сходство с поведением APT. Мы продолжаем отслеживать соответствующую активность, чтобы понять весь масштаб этой вредоносной деятельности.
-----
В результате исследования файла hrserv.dll была обнаружена ранее неизвестная веб-оболочка с расширенными возможностями, такими как пользовательская кодировка для взаимодействия с клиентом и выполнение в памяти. Анализ файла показал, что родственные варианты были скомпилированы в 2021 году, что указывает на потенциальную взаимосвязь между вредоносной активностью. Файл .BAT активирует службу через системный реестр и утилиту sc, которая затем инициирует HTTP-сервер, используя API HTTP-сервера. Вредоносная программа настроена на ответ на определенные запросы, идентифицируемые GET-параметром с именем cp и значением куки NID. Кроме того, вредоносная программа создает файл в каталоге %temp% и считывает информацию из реестра, которую использует для выполнения определенных действий.
Также были обнаружены более ранние, имеющие другие названия варианты HrServ, датируемые началом 2021 года. Эти DLL-файлы также используют собственный алгоритм кодирования и ведут себя аналогично при ошибке чтения файла. Однако есть и тонкие различия. Единственной известной жертвой, согласно нашей телеметрии, является правительственная организация в Афганистане.
Проанализированные в данном исследовании ТТП не связаны с какими-либо известными угрожающими субъектами, которых мы отслеживаем, но есть несколько моментов, которые мы заметили. GET-параметры, используемые для имитации сервисов Google, включают hl, который определяет язык пользовательского интерфейса. Кроме того, в строках справки встречаются многочисленные опечатки, что позволяет предположить, что автор этих образцов не является носителем английского языка.
Анализируемый образец представляет собой функциональную веб-оболочку, появившуюся в 2021 году. Она способна инициировать выполнение в памяти и использует реестр и временный файл для установления связи с имплантом памяти. Имплант памяти содержит тщательно проработанное справочное сообщение, а веб-оболочка и имплант памяти используют разные строки для определенных условий. Это позволяет предположить, что данная вредоносная программа в большей степени соответствует финансово мотивированной вредоносной деятельности, хотя методология ее работы имеет сходство с поведением APT. Несмотря на длительную активность в течение нескольких лет, многочисленные случаи использования этих образцов не были задокументированы. В настоящее время мы продолжаем отслеживать соответствующую активность, чтобы понять весь масштаб этой вредоносной деятельности.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Мы обнаружили веб-оболочку с расширенными возможностями, такими как пользовательская кодировка для взаимодействия с клиентами и выполнение в памяти, датируемую 2021 годом. Это соответствует финансово мотивированной вредоносной деятельности, хотя и имеет сходство с поведением APT. Мы продолжаем отслеживать соответствующую активность, чтобы понять весь масштаб этой вредоносной деятельности.
-----
В результате исследования файла hrserv.dll была обнаружена ранее неизвестная веб-оболочка с расширенными возможностями, такими как пользовательская кодировка для взаимодействия с клиентом и выполнение в памяти. Анализ файла показал, что родственные варианты были скомпилированы в 2021 году, что указывает на потенциальную взаимосвязь между вредоносной активностью. Файл .BAT активирует службу через системный реестр и утилиту sc, которая затем инициирует HTTP-сервер, используя API HTTP-сервера. Вредоносная программа настроена на ответ на определенные запросы, идентифицируемые GET-параметром с именем cp и значением куки NID. Кроме того, вредоносная программа создает файл в каталоге %temp% и считывает информацию из реестра, которую использует для выполнения определенных действий.
Также были обнаружены более ранние, имеющие другие названия варианты HrServ, датируемые началом 2021 года. Эти DLL-файлы также используют собственный алгоритм кодирования и ведут себя аналогично при ошибке чтения файла. Однако есть и тонкие различия. Единственной известной жертвой, согласно нашей телеметрии, является правительственная организация в Афганистане.
Проанализированные в данном исследовании ТТП не связаны с какими-либо известными угрожающими субъектами, которых мы отслеживаем, но есть несколько моментов, которые мы заметили. GET-параметры, используемые для имитации сервисов Google, включают hl, который определяет язык пользовательского интерфейса. Кроме того, в строках справки встречаются многочисленные опечатки, что позволяет предположить, что автор этих образцов не является носителем английского языка.
Анализируемый образец представляет собой функциональную веб-оболочку, появившуюся в 2021 году. Она способна инициировать выполнение в памяти и использует реестр и временный файл для установления связи с имплантом памяти. Имплант памяти содержит тщательно проработанное справочное сообщение, а веб-оболочка и имплант памяти используют разные строки для определенных условий. Это позволяет предположить, что данная вредоносная программа в большей степени соответствует финансово мотивированной вредоносной деятельности, хотя методология ее работы имеет сходство с поведением APT. Несмотря на длительную активность в течение нескольких лет, многочисленные случаи использования этих образцов не были задокументированы. В настоящее время мы продолжаем отслеживать соответствующую активность, чтобы понять весь масштаб этой вредоносной деятельности.
#ParsedReport #CompletenessMedium
23-11-2023
InfectedSlurs Botnet Spreads Mirai via Zero-Days
https://www.akamai.com/blog/security-research/2023/nov/new-rce-botnet-spreads-mirai-via-zero-days
Report completeness: Medium
Threats:
Mirai
Hailbot
Victims:
A single model router and a sub-variant model number
Industry:
E-commerce, Iot
Geo:
Japanese, China, Russian federation, Chinese
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1021, T1016, T1098, T1075, T1110, T1486, T1545, T1546, T1547
IOCs:
IP: 2
File: 2
Hash: 2
Domain: 4
Soft:
telegram
Algorithms:
sha256
Languages:
javascript
Links:
23-11-2023
InfectedSlurs Botnet Spreads Mirai via Zero-Days
https://www.akamai.com/blog/security-research/2023/nov/new-rce-botnet-spreads-mirai-via-zero-days
Report completeness: Medium
Threats:
Mirai
Hailbot
Victims:
A single model router and a sub-variant model number
Industry:
E-commerce, Iot
Geo:
Japanese, China, Russian federation, Chinese
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1021, T1016, T1098, T1075, T1110, T1486, T1545, T1546, T1547
IOCs:
IP: 2
File: 2
Hash: 2
Domain: 4
Soft:
telegram
Algorithms:
sha256
Languages:
javascript
Links:
https://github.com/guardicore/monkeyAkamai
InfectedSlurs Botnet Spreads Mirai via Zero-Days | Akamai
Akamai has uncovered two zero-day vulnerabilities that are being actively exploited to spread a Mirai variant in the wild. Read on for details and mitigation.
CTT Report Hub
#ParsedReport #CompletenessMedium 23-11-2023 InfectedSlurs Botnet Spreads Mirai via Zero-Days https://www.akamai.com/blog/security-research/2023/nov/new-rce-botnet-spreads-mirai-via-zero-days Report completeness: Medium Threats: Mirai Hailbot Victims:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Компания Akamai SIRT обнаружила две уязвимости нулевого дня с функцией RCE, которые используются в природе для создания ботнета. Для предотвращения потенциальных угроз необходимо защищать все IoT-устройства надежными паролями и регулярно применять обновления программного обеспечения и патчи безопасности.
-----
Компания Akamai SIRT обнаружила две уязвимости нулевого дня с функцией удаленного выполнения кода (RCE), которые активно эксплуатируются в природе для создания ботнета с распределенным отказом в обслуживании (DDoS). Ботнет, который отслеживается Akamai SIRT с конца 2022 года, нацелен на одну модель маршрутизатора и, возможно, на ее подвариант. Кроме того, злоумышленники используют в названиях своих вредоносных программ расовые и оскорбительные выражения. Код Mirai, связанный с вариантами JenX Mirai и hailBot Mirai, не подвергался значительным изменениям, если вообще подвергался.
В связи с этим важно проверить наличие стандартных учетных данных на IoT-устройствах и изменить их, если они существуют, поскольку такие угрозы, как ботнеты и программы-вымогатели, полагаются на стандартные пароли, которые часто широко известны и легко доступны для распространения. Akamai SIRT сообщила об этих двух уязвимостях производителям и ожидает от них обновлений о затронутых моделях и доступности патчей в декабре 2023 года. Тем временем было выпущено правило Snort для обнаружения сердцебиений протокола связи Mirai C2.
Как показывают эти эксплойты нулевого дня, необходимо защищать все устройства Интернета вещей (IoT) с помощью надежных паролей. Смена паролей по умолчанию на IoT-устройствах - один из лучших способов предотвратить их использование злоумышленниками. Также важно регулярно устанавливать обновления программного обеспечения и патчи безопасности на IoT-устройства. Это позволит опередить возможные угрозы и защитить себя от вредоносных атак.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Компания Akamai SIRT обнаружила две уязвимости нулевого дня с функцией RCE, которые используются в природе для создания ботнета. Для предотвращения потенциальных угроз необходимо защищать все IoT-устройства надежными паролями и регулярно применять обновления программного обеспечения и патчи безопасности.
-----
Компания Akamai SIRT обнаружила две уязвимости нулевого дня с функцией удаленного выполнения кода (RCE), которые активно эксплуатируются в природе для создания ботнета с распределенным отказом в обслуживании (DDoS). Ботнет, который отслеживается Akamai SIRT с конца 2022 года, нацелен на одну модель маршрутизатора и, возможно, на ее подвариант. Кроме того, злоумышленники используют в названиях своих вредоносных программ расовые и оскорбительные выражения. Код Mirai, связанный с вариантами JenX Mirai и hailBot Mirai, не подвергался значительным изменениям, если вообще подвергался.
В связи с этим важно проверить наличие стандартных учетных данных на IoT-устройствах и изменить их, если они существуют, поскольку такие угрозы, как ботнеты и программы-вымогатели, полагаются на стандартные пароли, которые часто широко известны и легко доступны для распространения. Akamai SIRT сообщила об этих двух уязвимостях производителям и ожидает от них обновлений о затронутых моделях и доступности патчей в декабре 2023 года. Тем временем было выпущено правило Snort для обнаружения сердцебиений протокола связи Mirai C2.
Как показывают эти эксплойты нулевого дня, необходимо защищать все устройства Интернета вещей (IoT) с помощью надежных паролей. Смена паролей по умолчанию на IoT-устройствах - один из лучших способов предотвратить их использование злоумышленниками. Также важно регулярно устанавливать обновления программного обеспечения и патчи безопасности на IoT-устройства. Это позволит опередить возможные угрозы и защитить себя от вредоносных атак.
#cyberthreattech #rstcloud
Наши коннекторы добавили в официальный репозитарий OpenCTI
https://github.com/OpenCTI-Platform/connectors/tree/master/external-import/rst-threat-feed
https://github.com/OpenCTI-Platform/connectors/tree/master/external-import/rst-report-hub
Наши коннекторы добавили в официальный репозитарий OpenCTI
https://github.com/OpenCTI-Platform/connectors/tree/master/external-import/rst-threat-feed
https://github.com/OpenCTI-Platform/connectors/tree/master/external-import/rst-report-hub
GitHub
connectors/external-import/rst-threat-feed at master · OpenCTI-Platform/connectors
OpenCTI Connectors. Contribute to OpenCTI-Platform/connectors development by creating an account on GitHub.
👍6
#ParsedReport #CompletenessLow
24-11-2023
Cyber spies from XDSpy attack Russian metallurgists and military-industrial complex enterprises
https://habr.com/ru/companies/f_a_c_c_t/news/775944
Report completeness: Low
Actors/Campaigns:
Xdspy (motivation: cyber_espionage)
Victims:
Russian metallurgical enterprises and a research institute engaged in the development and production of guided missile weapons
Industry:
Financial, Military, Energy, Government, Logistic
Geo:
Russian federation, Belarusian
IOCs:
Hash: 12
File: 2
Url: 8
Domain: 2
Algorithms:
sha1, zip, sha256
24-11-2023
Cyber spies from XDSpy attack Russian metallurgists and military-industrial complex enterprises
https://habr.com/ru/companies/f_a_c_c_t/news/775944
Report completeness: Low
Actors/Campaigns:
Xdspy (motivation: cyber_espionage)
Victims:
Russian metallurgical enterprises and a research institute engaged in the development and production of guided missile weapons
Industry:
Financial, Military, Energy, Government, Logistic
Geo:
Russian federation, Belarusian
IOCs:
Hash: 12
File: 2
Url: 8
Domain: 2
Algorithms:
sha1, zip, sha256
Хабр
Кибершпионы из XDSpy атакуют российских металлургов и предприятия ВПК
Эксперты департамента Threat Intelligence (Киберразведка) и Центра кибербезопасности компании F.A.C.C.T. предупреждают о новых атаках кибершпионской группы XDSpy . Вчера, 22 ноября, и позавчера, 21...
CTT Report Hub
#ParsedReport #CompletenessLow 24-11-2023 Cyber spies from XDSpy attack Russian metallurgists and military-industrial complex enterprises https://habr.com/ru/companies/f_a_c_c_t/news/775944 Report completeness: Low Actors/Campaigns: Xdspy (motivation:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Центр кибербезопасности F.A.C.C.T. и отдел анализа угроз выпустили предупреждение о новых атаках группы кибершпионажа XDSpy. Важно сохранять бдительность при возникновении подобных киберугроз и принимать надежные меры кибербезопасности. Компании должны иметь план реагирования на возможные атаки и регулярно выполнять резервное копирование своих систем. Мониторинг вредоносной активности, связанной с XDSpy, необходим для защиты от подобных атак.
-----
Центр кибербезопасности F.A.C.C.T. и департамент Threat Intelligence выпустили предупреждение о новых атаках группы кибершпионажа XDSpy. За последние несколько дней были обнаружены вредоносные рассылки, направленные на российские металлургические предприятия, а также научно-исследовательский институт, занимающийся разработкой и производством управляемого ракетного оружия. Письма рассылались с логотипа российского НИИ, специализирующегося на проектировании объектов ядерного оружейного комплекса, а также с электронного адреса, принадлежащего логистической компании из Калининграда. Еще одно письмо было отправлено российским металлургам с белорусского адреса.
Цепочка атак в этой ноябрьской кампании аналогична той, что использовалась в летних атаках XDSpy. Большинство их целей находятся в России и часто представляют собой государственные, военные, финансовые учреждения, энергетические, исследовательские и горнодобывающие компании. XDSpy действует с 2011 года, однако международные эксперты до сих пор не уверены, на какую страну они работают.
Важно сохранять бдительность при возникновении подобных киберугроз. Всем организациям, особенно тем, которые имеют дело с конфиденциальной информацией или технологиями, необходимо принимать надежные меры кибербезопасности. Эти меры должны включать в себя антивирусное программное обеспечение, регулярное обновление и обучение персонала передовым методам обеспечения кибербезопасности. Компаниям также необходимо иметь план реагирования на возможные атаки. Кроме того, необходимо обеспечить регулярное резервное копирование данных, чтобы минимизировать ущерб от успешной атаки.
Кибербезопасность - это постоянно развивающаяся область, и организации должны быть в курсе последних угроз, чтобы защитить себя. Мониторинг вредоносной деятельности, связанной с XDSpy и другими группами кибершпионажа, необходим для защиты данных и систем. Правильная подготовка позволит организациям лучше защитить себя от этих атак и минимизировать наносимый ими ущерб.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Центр кибербезопасности F.A.C.C.T. и отдел анализа угроз выпустили предупреждение о новых атаках группы кибершпионажа XDSpy. Важно сохранять бдительность при возникновении подобных киберугроз и принимать надежные меры кибербезопасности. Компании должны иметь план реагирования на возможные атаки и регулярно выполнять резервное копирование своих систем. Мониторинг вредоносной активности, связанной с XDSpy, необходим для защиты от подобных атак.
-----
Центр кибербезопасности F.A.C.C.T. и департамент Threat Intelligence выпустили предупреждение о новых атаках группы кибершпионажа XDSpy. За последние несколько дней были обнаружены вредоносные рассылки, направленные на российские металлургические предприятия, а также научно-исследовательский институт, занимающийся разработкой и производством управляемого ракетного оружия. Письма рассылались с логотипа российского НИИ, специализирующегося на проектировании объектов ядерного оружейного комплекса, а также с электронного адреса, принадлежащего логистической компании из Калининграда. Еще одно письмо было отправлено российским металлургам с белорусского адреса.
Цепочка атак в этой ноябрьской кампании аналогична той, что использовалась в летних атаках XDSpy. Большинство их целей находятся в России и часто представляют собой государственные, военные, финансовые учреждения, энергетические, исследовательские и горнодобывающие компании. XDSpy действует с 2011 года, однако международные эксперты до сих пор не уверены, на какую страну они работают.
Важно сохранять бдительность при возникновении подобных киберугроз. Всем организациям, особенно тем, которые имеют дело с конфиденциальной информацией или технологиями, необходимо принимать надежные меры кибербезопасности. Эти меры должны включать в себя антивирусное программное обеспечение, регулярное обновление и обучение персонала передовым методам обеспечения кибербезопасности. Компаниям также необходимо иметь план реагирования на возможные атаки. Кроме того, необходимо обеспечить регулярное резервное копирование данных, чтобы минимизировать ущерб от успешной атаки.
Кибербезопасность - это постоянно развивающаяся область, и организации должны быть в курсе последних угроз, чтобы защитить себя. Мониторинг вредоносной деятельности, связанной с XDSpy и другими группами кибершпионажа, необходим для защиты данных и систем. Правильная подготовка позволит организациям лучше защитить себя от этих атак и минимизировать наносимый ими ущерб.
#ParsedReport #CompletenessMedium
23-11-2023
Israel-Hamas War Spotlight: Shaking the Rust Off SysJoker
https://research.checkpoint.com/2023/israel-hamas-war-spotlight-shaking-the-rust-off-sysjoker
Report completeness: Medium
Actors/Campaigns:
Molerats
Threats:
Sysjoker
Electric_powder
Victims:
Israeli organizations
Industry:
Energy
Geo:
Palestinian, Israeli, Israel
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1203, T1036, T1105, T1071, T1543, T1124, T1086, T1545, T1057, T1082, have more...
IOCs:
Hash: 11
File: 10
Path: 9
Url: 4
Command: 3
Registry: 1
IP: 2
Domain: 3
Soft:
android
Wallets:
harmony_wallet
Algorithms:
zip, base64, xor
Functions:
SetStringValue
Win API:
UuidCreate
Languages:
python, rust
Platforms:
intel
23-11-2023
Israel-Hamas War Spotlight: Shaking the Rust Off SysJoker
https://research.checkpoint.com/2023/israel-hamas-war-spotlight-shaking-the-rust-off-sysjoker
Report completeness: Medium
Actors/Campaigns:
Molerats
Threats:
Sysjoker
Electric_powder
Victims:
Israeli organizations
Industry:
Energy
Geo:
Palestinian, Israeli, Israel
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1203, T1036, T1105, T1071, T1543, T1124, T1086, T1545, T1057, T1082, have more...
IOCs:
Hash: 11
File: 10
Path: 9
Url: 4
Command: 3
Registry: 1
IP: 2
Domain: 3
Soft:
android
Wallets:
harmony_wallet
Algorithms:
zip, base64, xor
Functions:
SetStringValue
Win API:
UuidCreate
Languages:
python, rust
Platforms:
intel