#ParsedReport #CompletenessLow
23-11-2023
HrServ Previously unknown web shell used in APT attack
https://securelist.com/hrserv-apt-web-shell/111119
Report completeness: Low
Threats:
Hrserv
Victims:
Government entity in afghanistan
Industry:
Government
Geo:
Afghanistan, Chinese
TTPs:
Tactics: 1
Technics: 0
IOCs:
File: 2
Command: 3
Registry: 1
Hash: 4
Soft:
outlook
Algorithms:
base64, sha256, fnv1a64, sha1, exhibit
Win API:
VirtualAlloc
23-11-2023
HrServ Previously unknown web shell used in APT attack
https://securelist.com/hrserv-apt-web-shell/111119
Report completeness: Low
Threats:
Hrserv
Victims:
Government entity in afghanistan
Industry:
Government
Geo:
Afghanistan, Chinese
TTPs:
Tactics: 1
Technics: 0
IOCs:
File: 2
Command: 3
Registry: 1
Hash: 4
Soft:
outlook
Algorithms:
base64, sha256, fnv1a64, sha1, exhibit
Win API:
VirtualAlloc
Securelist
HrServ web shell analysis
In this report Kaspersky researchers provide an analysis of the previously unknown HrServ web shell, which exhibits both APT and crimeware features and has likely been active since 2021.
CTT Report Hub
#ParsedReport #CompletenessLow 23-11-2023 HrServ Previously unknown web shell used in APT attack https://securelist.com/hrserv-apt-web-shell/111119 Report completeness: Low Threats: Hrserv Victims: Government entity in afghanistan Industry: Government…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Мы обнаружили веб-оболочку с расширенными возможностями, такими как пользовательская кодировка для взаимодействия с клиентами и выполнение в памяти, датируемую 2021 годом. Это соответствует финансово мотивированной вредоносной деятельности, хотя и имеет сходство с поведением APT. Мы продолжаем отслеживать соответствующую активность, чтобы понять весь масштаб этой вредоносной деятельности.
-----
В результате исследования файла hrserv.dll была обнаружена ранее неизвестная веб-оболочка с расширенными возможностями, такими как пользовательская кодировка для взаимодействия с клиентом и выполнение в памяти. Анализ файла показал, что родственные варианты были скомпилированы в 2021 году, что указывает на потенциальную взаимосвязь между вредоносной активностью. Файл .BAT активирует службу через системный реестр и утилиту sc, которая затем инициирует HTTP-сервер, используя API HTTP-сервера. Вредоносная программа настроена на ответ на определенные запросы, идентифицируемые GET-параметром с именем cp и значением куки NID. Кроме того, вредоносная программа создает файл в каталоге %temp% и считывает информацию из реестра, которую использует для выполнения определенных действий.
Также были обнаружены более ранние, имеющие другие названия варианты HrServ, датируемые началом 2021 года. Эти DLL-файлы также используют собственный алгоритм кодирования и ведут себя аналогично при ошибке чтения файла. Однако есть и тонкие различия. Единственной известной жертвой, согласно нашей телеметрии, является правительственная организация в Афганистане.
Проанализированные в данном исследовании ТТП не связаны с какими-либо известными угрожающими субъектами, которых мы отслеживаем, но есть несколько моментов, которые мы заметили. GET-параметры, используемые для имитации сервисов Google, включают hl, который определяет язык пользовательского интерфейса. Кроме того, в строках справки встречаются многочисленные опечатки, что позволяет предположить, что автор этих образцов не является носителем английского языка.
Анализируемый образец представляет собой функциональную веб-оболочку, появившуюся в 2021 году. Она способна инициировать выполнение в памяти и использует реестр и временный файл для установления связи с имплантом памяти. Имплант памяти содержит тщательно проработанное справочное сообщение, а веб-оболочка и имплант памяти используют разные строки для определенных условий. Это позволяет предположить, что данная вредоносная программа в большей степени соответствует финансово мотивированной вредоносной деятельности, хотя методология ее работы имеет сходство с поведением APT. Несмотря на длительную активность в течение нескольких лет, многочисленные случаи использования этих образцов не были задокументированы. В настоящее время мы продолжаем отслеживать соответствующую активность, чтобы понять весь масштаб этой вредоносной деятельности.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Мы обнаружили веб-оболочку с расширенными возможностями, такими как пользовательская кодировка для взаимодействия с клиентами и выполнение в памяти, датируемую 2021 годом. Это соответствует финансово мотивированной вредоносной деятельности, хотя и имеет сходство с поведением APT. Мы продолжаем отслеживать соответствующую активность, чтобы понять весь масштаб этой вредоносной деятельности.
-----
В результате исследования файла hrserv.dll была обнаружена ранее неизвестная веб-оболочка с расширенными возможностями, такими как пользовательская кодировка для взаимодействия с клиентом и выполнение в памяти. Анализ файла показал, что родственные варианты были скомпилированы в 2021 году, что указывает на потенциальную взаимосвязь между вредоносной активностью. Файл .BAT активирует службу через системный реестр и утилиту sc, которая затем инициирует HTTP-сервер, используя API HTTP-сервера. Вредоносная программа настроена на ответ на определенные запросы, идентифицируемые GET-параметром с именем cp и значением куки NID. Кроме того, вредоносная программа создает файл в каталоге %temp% и считывает информацию из реестра, которую использует для выполнения определенных действий.
Также были обнаружены более ранние, имеющие другие названия варианты HrServ, датируемые началом 2021 года. Эти DLL-файлы также используют собственный алгоритм кодирования и ведут себя аналогично при ошибке чтения файла. Однако есть и тонкие различия. Единственной известной жертвой, согласно нашей телеметрии, является правительственная организация в Афганистане.
Проанализированные в данном исследовании ТТП не связаны с какими-либо известными угрожающими субъектами, которых мы отслеживаем, но есть несколько моментов, которые мы заметили. GET-параметры, используемые для имитации сервисов Google, включают hl, который определяет язык пользовательского интерфейса. Кроме того, в строках справки встречаются многочисленные опечатки, что позволяет предположить, что автор этих образцов не является носителем английского языка.
Анализируемый образец представляет собой функциональную веб-оболочку, появившуюся в 2021 году. Она способна инициировать выполнение в памяти и использует реестр и временный файл для установления связи с имплантом памяти. Имплант памяти содержит тщательно проработанное справочное сообщение, а веб-оболочка и имплант памяти используют разные строки для определенных условий. Это позволяет предположить, что данная вредоносная программа в большей степени соответствует финансово мотивированной вредоносной деятельности, хотя методология ее работы имеет сходство с поведением APT. Несмотря на длительную активность в течение нескольких лет, многочисленные случаи использования этих образцов не были задокументированы. В настоящее время мы продолжаем отслеживать соответствующую активность, чтобы понять весь масштаб этой вредоносной деятельности.
#ParsedReport #CompletenessMedium
23-11-2023
InfectedSlurs Botnet Spreads Mirai via Zero-Days
https://www.akamai.com/blog/security-research/2023/nov/new-rce-botnet-spreads-mirai-via-zero-days
Report completeness: Medium
Threats:
Mirai
Hailbot
Victims:
A single model router and a sub-variant model number
Industry:
E-commerce, Iot
Geo:
Japanese, China, Russian federation, Chinese
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1021, T1016, T1098, T1075, T1110, T1486, T1545, T1546, T1547
IOCs:
IP: 2
File: 2
Hash: 2
Domain: 4
Soft:
telegram
Algorithms:
sha256
Languages:
javascript
Links:
23-11-2023
InfectedSlurs Botnet Spreads Mirai via Zero-Days
https://www.akamai.com/blog/security-research/2023/nov/new-rce-botnet-spreads-mirai-via-zero-days
Report completeness: Medium
Threats:
Mirai
Hailbot
Victims:
A single model router and a sub-variant model number
Industry:
E-commerce, Iot
Geo:
Japanese, China, Russian federation, Chinese
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1021, T1016, T1098, T1075, T1110, T1486, T1545, T1546, T1547
IOCs:
IP: 2
File: 2
Hash: 2
Domain: 4
Soft:
telegram
Algorithms:
sha256
Languages:
javascript
Links:
https://github.com/guardicore/monkeyAkamai
InfectedSlurs Botnet Spreads Mirai via Zero-Days | Akamai
Akamai has uncovered two zero-day vulnerabilities that are being actively exploited to spread a Mirai variant in the wild. Read on for details and mitigation.
CTT Report Hub
#ParsedReport #CompletenessMedium 23-11-2023 InfectedSlurs Botnet Spreads Mirai via Zero-Days https://www.akamai.com/blog/security-research/2023/nov/new-rce-botnet-spreads-mirai-via-zero-days Report completeness: Medium Threats: Mirai Hailbot Victims:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Компания Akamai SIRT обнаружила две уязвимости нулевого дня с функцией RCE, которые используются в природе для создания ботнета. Для предотвращения потенциальных угроз необходимо защищать все IoT-устройства надежными паролями и регулярно применять обновления программного обеспечения и патчи безопасности.
-----
Компания Akamai SIRT обнаружила две уязвимости нулевого дня с функцией удаленного выполнения кода (RCE), которые активно эксплуатируются в природе для создания ботнета с распределенным отказом в обслуживании (DDoS). Ботнет, который отслеживается Akamai SIRT с конца 2022 года, нацелен на одну модель маршрутизатора и, возможно, на ее подвариант. Кроме того, злоумышленники используют в названиях своих вредоносных программ расовые и оскорбительные выражения. Код Mirai, связанный с вариантами JenX Mirai и hailBot Mirai, не подвергался значительным изменениям, если вообще подвергался.
В связи с этим важно проверить наличие стандартных учетных данных на IoT-устройствах и изменить их, если они существуют, поскольку такие угрозы, как ботнеты и программы-вымогатели, полагаются на стандартные пароли, которые часто широко известны и легко доступны для распространения. Akamai SIRT сообщила об этих двух уязвимостях производителям и ожидает от них обновлений о затронутых моделях и доступности патчей в декабре 2023 года. Тем временем было выпущено правило Snort для обнаружения сердцебиений протокола связи Mirai C2.
Как показывают эти эксплойты нулевого дня, необходимо защищать все устройства Интернета вещей (IoT) с помощью надежных паролей. Смена паролей по умолчанию на IoT-устройствах - один из лучших способов предотвратить их использование злоумышленниками. Также важно регулярно устанавливать обновления программного обеспечения и патчи безопасности на IoT-устройства. Это позволит опередить возможные угрозы и защитить себя от вредоносных атак.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Компания Akamai SIRT обнаружила две уязвимости нулевого дня с функцией RCE, которые используются в природе для создания ботнета. Для предотвращения потенциальных угроз необходимо защищать все IoT-устройства надежными паролями и регулярно применять обновления программного обеспечения и патчи безопасности.
-----
Компания Akamai SIRT обнаружила две уязвимости нулевого дня с функцией удаленного выполнения кода (RCE), которые активно эксплуатируются в природе для создания ботнета с распределенным отказом в обслуживании (DDoS). Ботнет, который отслеживается Akamai SIRT с конца 2022 года, нацелен на одну модель маршрутизатора и, возможно, на ее подвариант. Кроме того, злоумышленники используют в названиях своих вредоносных программ расовые и оскорбительные выражения. Код Mirai, связанный с вариантами JenX Mirai и hailBot Mirai, не подвергался значительным изменениям, если вообще подвергался.
В связи с этим важно проверить наличие стандартных учетных данных на IoT-устройствах и изменить их, если они существуют, поскольку такие угрозы, как ботнеты и программы-вымогатели, полагаются на стандартные пароли, которые часто широко известны и легко доступны для распространения. Akamai SIRT сообщила об этих двух уязвимостях производителям и ожидает от них обновлений о затронутых моделях и доступности патчей в декабре 2023 года. Тем временем было выпущено правило Snort для обнаружения сердцебиений протокола связи Mirai C2.
Как показывают эти эксплойты нулевого дня, необходимо защищать все устройства Интернета вещей (IoT) с помощью надежных паролей. Смена паролей по умолчанию на IoT-устройствах - один из лучших способов предотвратить их использование злоумышленниками. Также важно регулярно устанавливать обновления программного обеспечения и патчи безопасности на IoT-устройства. Это позволит опередить возможные угрозы и защитить себя от вредоносных атак.
#cyberthreattech #rstcloud
Наши коннекторы добавили в официальный репозитарий OpenCTI
https://github.com/OpenCTI-Platform/connectors/tree/master/external-import/rst-threat-feed
https://github.com/OpenCTI-Platform/connectors/tree/master/external-import/rst-report-hub
Наши коннекторы добавили в официальный репозитарий OpenCTI
https://github.com/OpenCTI-Platform/connectors/tree/master/external-import/rst-threat-feed
https://github.com/OpenCTI-Platform/connectors/tree/master/external-import/rst-report-hub
GitHub
connectors/external-import/rst-threat-feed at master · OpenCTI-Platform/connectors
OpenCTI Connectors. Contribute to OpenCTI-Platform/connectors development by creating an account on GitHub.
👍6
#ParsedReport #CompletenessLow
24-11-2023
Cyber spies from XDSpy attack Russian metallurgists and military-industrial complex enterprises
https://habr.com/ru/companies/f_a_c_c_t/news/775944
Report completeness: Low
Actors/Campaigns:
Xdspy (motivation: cyber_espionage)
Victims:
Russian metallurgical enterprises and a research institute engaged in the development and production of guided missile weapons
Industry:
Financial, Military, Energy, Government, Logistic
Geo:
Russian federation, Belarusian
IOCs:
Hash: 12
File: 2
Url: 8
Domain: 2
Algorithms:
sha1, zip, sha256
24-11-2023
Cyber spies from XDSpy attack Russian metallurgists and military-industrial complex enterprises
https://habr.com/ru/companies/f_a_c_c_t/news/775944
Report completeness: Low
Actors/Campaigns:
Xdspy (motivation: cyber_espionage)
Victims:
Russian metallurgical enterprises and a research institute engaged in the development and production of guided missile weapons
Industry:
Financial, Military, Energy, Government, Logistic
Geo:
Russian federation, Belarusian
IOCs:
Hash: 12
File: 2
Url: 8
Domain: 2
Algorithms:
sha1, zip, sha256
Хабр
Кибершпионы из XDSpy атакуют российских металлургов и предприятия ВПК
Эксперты департамента Threat Intelligence (Киберразведка) и Центра кибербезопасности компании F.A.C.C.T. предупреждают о новых атаках кибершпионской группы XDSpy . Вчера, 22 ноября, и позавчера, 21...
CTT Report Hub
#ParsedReport #CompletenessLow 24-11-2023 Cyber spies from XDSpy attack Russian metallurgists and military-industrial complex enterprises https://habr.com/ru/companies/f_a_c_c_t/news/775944 Report completeness: Low Actors/Campaigns: Xdspy (motivation:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Центр кибербезопасности F.A.C.C.T. и отдел анализа угроз выпустили предупреждение о новых атаках группы кибершпионажа XDSpy. Важно сохранять бдительность при возникновении подобных киберугроз и принимать надежные меры кибербезопасности. Компании должны иметь план реагирования на возможные атаки и регулярно выполнять резервное копирование своих систем. Мониторинг вредоносной активности, связанной с XDSpy, необходим для защиты от подобных атак.
-----
Центр кибербезопасности F.A.C.C.T. и департамент Threat Intelligence выпустили предупреждение о новых атаках группы кибершпионажа XDSpy. За последние несколько дней были обнаружены вредоносные рассылки, направленные на российские металлургические предприятия, а также научно-исследовательский институт, занимающийся разработкой и производством управляемого ракетного оружия. Письма рассылались с логотипа российского НИИ, специализирующегося на проектировании объектов ядерного оружейного комплекса, а также с электронного адреса, принадлежащего логистической компании из Калининграда. Еще одно письмо было отправлено российским металлургам с белорусского адреса.
Цепочка атак в этой ноябрьской кампании аналогична той, что использовалась в летних атаках XDSpy. Большинство их целей находятся в России и часто представляют собой государственные, военные, финансовые учреждения, энергетические, исследовательские и горнодобывающие компании. XDSpy действует с 2011 года, однако международные эксперты до сих пор не уверены, на какую страну они работают.
Важно сохранять бдительность при возникновении подобных киберугроз. Всем организациям, особенно тем, которые имеют дело с конфиденциальной информацией или технологиями, необходимо принимать надежные меры кибербезопасности. Эти меры должны включать в себя антивирусное программное обеспечение, регулярное обновление и обучение персонала передовым методам обеспечения кибербезопасности. Компаниям также необходимо иметь план реагирования на возможные атаки. Кроме того, необходимо обеспечить регулярное резервное копирование данных, чтобы минимизировать ущерб от успешной атаки.
Кибербезопасность - это постоянно развивающаяся область, и организации должны быть в курсе последних угроз, чтобы защитить себя. Мониторинг вредоносной деятельности, связанной с XDSpy и другими группами кибершпионажа, необходим для защиты данных и систем. Правильная подготовка позволит организациям лучше защитить себя от этих атак и минимизировать наносимый ими ущерб.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Центр кибербезопасности F.A.C.C.T. и отдел анализа угроз выпустили предупреждение о новых атаках группы кибершпионажа XDSpy. Важно сохранять бдительность при возникновении подобных киберугроз и принимать надежные меры кибербезопасности. Компании должны иметь план реагирования на возможные атаки и регулярно выполнять резервное копирование своих систем. Мониторинг вредоносной активности, связанной с XDSpy, необходим для защиты от подобных атак.
-----
Центр кибербезопасности F.A.C.C.T. и департамент Threat Intelligence выпустили предупреждение о новых атаках группы кибершпионажа XDSpy. За последние несколько дней были обнаружены вредоносные рассылки, направленные на российские металлургические предприятия, а также научно-исследовательский институт, занимающийся разработкой и производством управляемого ракетного оружия. Письма рассылались с логотипа российского НИИ, специализирующегося на проектировании объектов ядерного оружейного комплекса, а также с электронного адреса, принадлежащего логистической компании из Калининграда. Еще одно письмо было отправлено российским металлургам с белорусского адреса.
Цепочка атак в этой ноябрьской кампании аналогична той, что использовалась в летних атаках XDSpy. Большинство их целей находятся в России и часто представляют собой государственные, военные, финансовые учреждения, энергетические, исследовательские и горнодобывающие компании. XDSpy действует с 2011 года, однако международные эксперты до сих пор не уверены, на какую страну они работают.
Важно сохранять бдительность при возникновении подобных киберугроз. Всем организациям, особенно тем, которые имеют дело с конфиденциальной информацией или технологиями, необходимо принимать надежные меры кибербезопасности. Эти меры должны включать в себя антивирусное программное обеспечение, регулярное обновление и обучение персонала передовым методам обеспечения кибербезопасности. Компаниям также необходимо иметь план реагирования на возможные атаки. Кроме того, необходимо обеспечить регулярное резервное копирование данных, чтобы минимизировать ущерб от успешной атаки.
Кибербезопасность - это постоянно развивающаяся область, и организации должны быть в курсе последних угроз, чтобы защитить себя. Мониторинг вредоносной деятельности, связанной с XDSpy и другими группами кибершпионажа, необходим для защиты данных и систем. Правильная подготовка позволит организациям лучше защитить себя от этих атак и минимизировать наносимый ими ущерб.
#ParsedReport #CompletenessMedium
23-11-2023
Israel-Hamas War Spotlight: Shaking the Rust Off SysJoker
https://research.checkpoint.com/2023/israel-hamas-war-spotlight-shaking-the-rust-off-sysjoker
Report completeness: Medium
Actors/Campaigns:
Molerats
Threats:
Sysjoker
Electric_powder
Victims:
Israeli organizations
Industry:
Energy
Geo:
Palestinian, Israeli, Israel
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1203, T1036, T1105, T1071, T1543, T1124, T1086, T1545, T1057, T1082, have more...
IOCs:
Hash: 11
File: 10
Path: 9
Url: 4
Command: 3
Registry: 1
IP: 2
Domain: 3
Soft:
android
Wallets:
harmony_wallet
Algorithms:
zip, base64, xor
Functions:
SetStringValue
Win API:
UuidCreate
Languages:
python, rust
Platforms:
intel
23-11-2023
Israel-Hamas War Spotlight: Shaking the Rust Off SysJoker
https://research.checkpoint.com/2023/israel-hamas-war-spotlight-shaking-the-rust-off-sysjoker
Report completeness: Medium
Actors/Campaigns:
Molerats
Threats:
Sysjoker
Electric_powder
Victims:
Israeli organizations
Industry:
Energy
Geo:
Palestinian, Israeli, Israel
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1203, T1036, T1105, T1071, T1543, T1124, T1086, T1545, T1057, T1082, have more...
IOCs:
Hash: 11
File: 10
Path: 9
Url: 4
Command: 3
Registry: 1
IP: 2
Domain: 3
Soft:
android
Wallets:
harmony_wallet
Algorithms:
zip, base64, xor
Functions:
SetStringValue
Win API:
UuidCreate
Languages:
python, rust
Platforms:
intel
CTT Report Hub
#ParsedReport #CompletenessMedium 23-11-2023 Israel-Hamas War Spotlight: Shaking the Rust Off SysJoker https://research.checkpoint.com/2023/israel-hamas-war-spotlight-shaking-the-rust-off-sysjoker Report completeness: Medium Actors/Campaigns: Molerats…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея заключается в том, что Check Point Research обнаружила эволюцию SysJoker, многоплатформенного бэкдора, используемого APT, связанной с ХАМАС, и его связь с ранее не раскрытой операцией Electric Powder. Check Point Research активно отслеживает и устраняет соответствующие региональные угрозы в войне между Израилем и ХАМАС.
-----
Check Point Research активно следит за развитием SysJoker, многоплатформенного бэкдора, который использовался APT, связанной с ХАМАС, для атак на Израиль. Анализ новых обнаруженных вариантов SysJoker показал их связь с ранее не раскрывавшейся операцией Electric Powder. Напряженная ситуация, сложившаяся в ходе войны между Израилем и ХАМАС, побудила Check Point к активному поиску угроз с целью обнаружения, атрибуции и смягчения последствий соответствующих региональных угроз.
В октябре 2023 года на VirusTotal был представлен вариант SysJoker, написанный на языке Rust. Это говорит о том, что код вредоносной программы был полностью переписан, но при этом сохранил схожие функциональные возможности. В дополнение к версии на языке Rust были обнаружены еще два образца SysJoker, которые были несколько сложнее версии на языке Rust и всех ранее проанализированных образцов.
Один из примеров, скомпилированный в мае 2022 года, использует простой метод XOR-дешифрования, а другой, скомпилированный в июне 2022 года, использует отдельный загрузчик, инсталлятор и DLL-библиотеку полезной нагрузки. Оба образца обращаются к URL-адресу OneDrive для получения адреса сервера C2.
Инфраструктура, используемая в данной кампании, настраивается динамически. После расшифровки JSON, содержащего адрес C2, вредоносная программа переходит к процессу выполнения. Вредоносная программа собирает информацию о зараженной системе, загружает zip-архив с указанного URL, связывается с C2-сервером и запускает функцию st с параметрами, присланными с сервера.
Одна и та же команда PowerShell, основанная на WMI-классе StdRegProv, используется в нескольких вариантах SysJoker и, похоже, только в одной другой кампании, связанной с операцией "Электрический порошок". Это позволяет сделать вывод о том, что за обе атаки отвечает один и тот же агент, несмотря на большой временной разрыв между операциями.
Клиенты Check Point остаются защищенными от атак, описанных в данном отчете, используя Check Point Anti-Bot, Harmony Endpoint и Threat Emulation. Благодаря активной работе по поиску угроз Check Point Research удалось обнаружить эволюцию SysJoker и его связь с APT, связанной с ХАМАС.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея заключается в том, что Check Point Research обнаружила эволюцию SysJoker, многоплатформенного бэкдора, используемого APT, связанной с ХАМАС, и его связь с ранее не раскрытой операцией Electric Powder. Check Point Research активно отслеживает и устраняет соответствующие региональные угрозы в войне между Израилем и ХАМАС.
-----
Check Point Research активно следит за развитием SysJoker, многоплатформенного бэкдора, который использовался APT, связанной с ХАМАС, для атак на Израиль. Анализ новых обнаруженных вариантов SysJoker показал их связь с ранее не раскрывавшейся операцией Electric Powder. Напряженная ситуация, сложившаяся в ходе войны между Израилем и ХАМАС, побудила Check Point к активному поиску угроз с целью обнаружения, атрибуции и смягчения последствий соответствующих региональных угроз.
В октябре 2023 года на VirusTotal был представлен вариант SysJoker, написанный на языке Rust. Это говорит о том, что код вредоносной программы был полностью переписан, но при этом сохранил схожие функциональные возможности. В дополнение к версии на языке Rust были обнаружены еще два образца SysJoker, которые были несколько сложнее версии на языке Rust и всех ранее проанализированных образцов.
Один из примеров, скомпилированный в мае 2022 года, использует простой метод XOR-дешифрования, а другой, скомпилированный в июне 2022 года, использует отдельный загрузчик, инсталлятор и DLL-библиотеку полезной нагрузки. Оба образца обращаются к URL-адресу OneDrive для получения адреса сервера C2.
Инфраструктура, используемая в данной кампании, настраивается динамически. После расшифровки JSON, содержащего адрес C2, вредоносная программа переходит к процессу выполнения. Вредоносная программа собирает информацию о зараженной системе, загружает zip-архив с указанного URL, связывается с C2-сервером и запускает функцию st с параметрами, присланными с сервера.
Одна и та же команда PowerShell, основанная на WMI-классе StdRegProv, используется в нескольких вариантах SysJoker и, похоже, только в одной другой кампании, связанной с операцией "Электрический порошок". Это позволяет сделать вывод о том, что за обе атаки отвечает один и тот же агент, несмотря на большой временной разрыв между операциями.
Клиенты Check Point остаются защищенными от атак, описанных в данном отчете, используя Check Point Anti-Bot, Harmony Endpoint и Threat Emulation. Благодаря активной работе по поиску угроз Check Point Research удалось обнаружить эволюцию SysJoker и его связь с APT, связанной с ХАМАС.
#ParsedReport #CompletenessMedium
23-11-2023
Unveiling Parallax RAT: A Journey from Infection to Lateral Movement
https://www.esentire.com/blog/unveiling-parallax-rat-a-journey-from-infection-to-lateral-movement
Report completeness: Medium
Threats:
Parallax_rat
Netsupportmanager_rat
Geo:
South africa, American samoa, Uganda, Emea
ChatGPT TTPs:
T1036.003, T1041, T1059.003, T1086, T1140, T1071, T1078, T1098, T1204, T1543, have more...
IOCs:
File: 5
Path: 2
Hash: 2
Url: 1
Domain: 5
IP: 1
Soft:
psexec, microsoft macro assembler, chrome, outlook
Algorithms:
rc4
Platforms:
x64, x86
23-11-2023
Unveiling Parallax RAT: A Journey from Infection to Lateral Movement
https://www.esentire.com/blog/unveiling-parallax-rat-a-journey-from-infection-to-lateral-movement
Report completeness: Medium
Threats:
Parallax_rat
Netsupportmanager_rat
Geo:
South africa, American samoa, Uganda, Emea
ChatGPT TTPs:
do not use without manual checkT1036.003, T1041, T1059.003, T1086, T1140, T1071, T1078, T1098, T1204, T1543, have more...
IOCs:
File: 5
Path: 2
Hash: 2
Url: 1
Domain: 5
IP: 1
Soft:
psexec, microsoft macro assembler, chrome, outlook
Algorithms:
rc4
Platforms:
x64, x86
eSentire
Unveiling Parallax RAT: A Journey from Infection to Lateral Movement
Learn more about the Parallax RAT (Remote Access Trojan) and get security recommendations from our Threat Response Unit (TRU) to protect your business from this cyber threat.
CTT Report Hub
#ParsedReport #CompletenessMedium 23-11-2023 Unveiling Parallax RAT: A Journey from Infection to Lateral Movement https://www.esentire.com/blog/unveiling-parallax-rat-a-journey-from-infection-to-lateral-movement Report completeness: Medium Threats: Parallax_rat…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Parallax RAT был использован для получения доступа к контроллеру домена и достижения постоянства на хосте в течение 2 часов. Он использует методы уклонения для обфускации своего кода и сейчас находится в свободном доступе.
-----
Подразделение eSentire Threat Response Unit (TRU) специализируется на оказании помощи организациям в обеспечении устойчивости к известным и неизвестным угрозам. В октябре 2023 года на контроллере домена был обнаружен подозрительный VBS-сценарий, запускающий NetSupport RAT. Сценарий запускал файл client32.exe, являющийся разновидностью NetSupportRAT, из папки c:\programdata\VMware\VMware Tools\. Затем Parallax RAT использовался для развертывания PsExec, легкого telnet-заменителя, на первой зараженной машине. Затем PsExec использовался для перемещения на контроллер домена.
Parallax RAT появился на хакерских форумах в 2019 году и получил широкую известность благодаря широкому спектру возможностей, таких как кейлоггинг, кража паролей, захват скриншотов, возможность загрузки и выполнения файлов, утечка файлов из файлового менеджера и удаленное управление. Последняя версия Parallax RAT - 1.0.7. Однако в 2020 году разработчики проекта Parallax RAT приняли решение о его закрытии по личным причинам. Несмотря на закрытие проекта, вредоносная программа находится в свободном доступе. Parallax RAT использует такие методы обхода, как шифрование RC4 для сокрытия имен загружаемых DLL-библиотек и своей конфигурации, а также меры защиты от дизассемблирования, например инструкции безусловного перехода, для обфусцирования своего кода.
Угрожающий агент, использовавший Parallax RAT, смог доставить вредоносную программу на первую зараженную машину путем загрузки с диска, когда пользователь искал VPN-клиент Fortinet через поиск Bing. Затем вредоносная программа была использована для латерального перемещения с начальной машины на контроллер домена в течение 2 часов. Для обеспечения устойчивости на хосте Parallax RAT был помещен в папку Startup и переименован в исполняемый файл, а также сброшен и запущен NetSupportRAT на контроллере домена.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Parallax RAT был использован для получения доступа к контроллеру домена и достижения постоянства на хосте в течение 2 часов. Он использует методы уклонения для обфускации своего кода и сейчас находится в свободном доступе.
-----
Подразделение eSentire Threat Response Unit (TRU) специализируется на оказании помощи организациям в обеспечении устойчивости к известным и неизвестным угрозам. В октябре 2023 года на контроллере домена был обнаружен подозрительный VBS-сценарий, запускающий NetSupport RAT. Сценарий запускал файл client32.exe, являющийся разновидностью NetSupportRAT, из папки c:\programdata\VMware\VMware Tools\. Затем Parallax RAT использовался для развертывания PsExec, легкого telnet-заменителя, на первой зараженной машине. Затем PsExec использовался для перемещения на контроллер домена.
Parallax RAT появился на хакерских форумах в 2019 году и получил широкую известность благодаря широкому спектру возможностей, таких как кейлоггинг, кража паролей, захват скриншотов, возможность загрузки и выполнения файлов, утечка файлов из файлового менеджера и удаленное управление. Последняя версия Parallax RAT - 1.0.7. Однако в 2020 году разработчики проекта Parallax RAT приняли решение о его закрытии по личным причинам. Несмотря на закрытие проекта, вредоносная программа находится в свободном доступе. Parallax RAT использует такие методы обхода, как шифрование RC4 для сокрытия имен загружаемых DLL-библиотек и своей конфигурации, а также меры защиты от дизассемблирования, например инструкции безусловного перехода, для обфусцирования своего кода.
Угрожающий агент, использовавший Parallax RAT, смог доставить вредоносную программу на первую зараженную машину путем загрузки с диска, когда пользователь искал VPN-клиент Fortinet через поиск Bing. Затем вредоносная программа была использована для латерального перемещения с начальной машины на контроллер домена в течение 2 часов. Для обеспечения устойчивости на хосте Parallax RAT был помещен в папку Startup и переименован в исполняемый файл, а также сброшен и запущен NetSupportRAT на контроллере домена.
#ParsedReport #CompletenessMedium
24-11-2023
APT Profile: Volt Typhoon
https://socradar.io/apt-profile-volt-typhoon
Report completeness: Medium
Actors/Campaigns:
Volt_typhoon (motivation: cyber_espionage)
Threats:
Spear-phishing_technique
Credential_harvesting_technique
Lolbin_technique
Credential_dumping_technique
Victims:
Military installations, defense contractors, research institutions, energy sectors, power grids, oil & gas installations, telecommunication sectors, transportation, water supply, healthcare
Industry:
Healthcare, Transport, Petroleum, Energy, Government, Military, Telco
Geo:
Asia, Asian, China, Chinese
CVEs:
CVE-2021-27860 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- fatpipeinc ipvpn firmware (5.2.0, 6.1.2, 7.1.2, 9.1.2, 10.1.2, 10.2.2)
- fatpipeinc warp firmware (5.2.0, 6.1.2, 7.1.2, 9.1.2, 10.1.2, 10.2.2)
- fatpipeinc mpvpn firmware (5.2.0, 6.1.2, 7.1.2, 9.1.2, 10.1.2, 10.2.2)
CVE-2023-27350 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- papercut papercut ng (<20.1.7, <21.2.11, <22.0.9)
- papercut papercut mf (<22.0.9, <21.2.11, <20.1.7)
CVE-2021-40539 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- zohocorp manageengine adselfservice plus (5.7, 5.0, 5.1, 5.2, 5.3, 5.4, 5.5, 5.6, 4.5, 5.8, 6.0, 6.1, 5.0.6)
TTPs:
Tactics: 8
Technics: 31
IOCs:
IP: 3
Hash: 5
Soft:
papercut
Algorithms:
exhibit
24-11-2023
APT Profile: Volt Typhoon
https://socradar.io/apt-profile-volt-typhoon
Report completeness: Medium
Actors/Campaigns:
Volt_typhoon (motivation: cyber_espionage)
Threats:
Spear-phishing_technique
Credential_harvesting_technique
Lolbin_technique
Credential_dumping_technique
Victims:
Military installations, defense contractors, research institutions, energy sectors, power grids, oil & gas installations, telecommunication sectors, transportation, water supply, healthcare
Industry:
Healthcare, Transport, Petroleum, Energy, Government, Military, Telco
Geo:
Asia, Asian, China, Chinese
CVEs:
CVE-2021-27860 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- fatpipeinc ipvpn firmware (5.2.0, 6.1.2, 7.1.2, 9.1.2, 10.1.2, 10.2.2)
- fatpipeinc warp firmware (5.2.0, 6.1.2, 7.1.2, 9.1.2, 10.1.2, 10.2.2)
- fatpipeinc mpvpn firmware (5.2.0, 6.1.2, 7.1.2, 9.1.2, 10.1.2, 10.2.2)
CVE-2023-27350 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- papercut papercut ng (<20.1.7, <21.2.11, <22.0.9)
- papercut papercut mf (<22.0.9, <21.2.11, <20.1.7)
CVE-2021-40539 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- zohocorp manageengine adselfservice plus (5.7, 5.0, 5.1, 5.2, 5.3, 5.4, 5.5, 5.6, 4.5, 5.8, 6.0, 6.1, 5.0.6)
TTPs:
Tactics: 8
Technics: 31
IOCs:
IP: 3
Hash: 5
Soft:
papercut
Algorithms:
exhibit
SOCRadar® Cyber Intelligence Inc.
APT Profile: Volt Typhoon - SOCRadar® Cyber Intelligence Inc.
As cyber currents ebb and flow, a storm named Volt Typhoon surges from the digital depths. This isn't your typical tempest from the sea...
CTT Report Hub
#ParsedReport #CompletenessMedium 24-11-2023 APT Profile: Volt Typhoon https://socradar.io/apt-profile-volt-typhoon Report completeness: Medium Actors/Campaigns: Volt_typhoon (motivation: cyber_espionage) Threats: Spear-phishing_technique Credential_…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея текста заключается в том, что "Вольт Тайфун" - сложная государственная группировка перспективных постоянных угроз (APT), основной целью которой является сбор разведданных, и которая провела множество киберкампаний, направленных против государственных и частных структур. Они представляют собой значительную угрозу глобальной кибербезопасности, поэтому государствам, организациям и частным лицам необходимо осознать эту угрозу и принять проактивные меры для защиты своих цифровых активов и интересов.
-----
Volt Typhoon - это сложная государственная группа перспективных постоянных угроз (APT), истоки которой, как предполагается, находятся в Китае. В течение последних нескольких лет ее кибернетическая деятельность тщательно отслеживалась и документировалась различными компаниями, занимающимися вопросами кибербезопасности, разведывательными службами и государственными органами по всему миру. Их основной целью является сбор разведданных, причем интерес проявляется как к государственному, так и к частному сектору.
Для проникновения в системы злоумышленников используются, в первую очередь, фишинговые письма, предназначенные для привлечения конкретных людей или отделов организации. Они также использовали такие уязвимости, как Zoho Management (CVE-2021-27860 и CVE-2021-40539) и Papercut (CVE-2023-27350). Кроме того, Volt Typhoon разработала целый ряд собственных вредоносных программ, предназначенных для решения конкретных задач - от поддержания персистентности на скомпрометированной системе до эксфильтрации данных. Попадая в сеть, злоумышленники часто пытаются собрать учетные данные, которые могут быть использованы для перемещения по сети, получения доступа к другим системам и повышения привилегий.
Целевая структура Volt Typhoon демонстрирует стратегический подход, ориентированный на объекты, которые могут предоставить им ценные разведданные или обеспечить геополитические преимущества. Объектами атак являются различные отрасли и регионы, включая оборонную промышленность, энергетику, телекоммуникации и критически важную инфраструктуру. США остаются главной целью "Вольта Тайфуна", однако его деятельность не ограничивается одним регионом. Судя по имеющимся данным, они действуют в различных частях Европы, Азии и других регионах.
Деятельность Volt Typhoon оставила значительный след в глобальной кибербезопасности. Среди известных операций - проникновение в критически важную инфраструктуру США, шпионские кампании, направленные на оборонные организации, государственные структуры и частный сектор, а также атака на национальную сеть в одной из азиатских стран.
Проводимые государством киберкампании Volt Typhoon высветили сложный и развивающийся характер киберугроз. В условиях, когда государства используют передовые кибервозможности для шпионажа, влияния и потенциального саботажа, задачи защитников становятся как никогда актуальными. Поэтому государствам, организациям и частным лицам необходимо осознать угрозу, которую они представляют, и принять проактивные меры для защиты своих цифровых активов и интересов.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея текста заключается в том, что "Вольт Тайфун" - сложная государственная группировка перспективных постоянных угроз (APT), основной целью которой является сбор разведданных, и которая провела множество киберкампаний, направленных против государственных и частных структур. Они представляют собой значительную угрозу глобальной кибербезопасности, поэтому государствам, организациям и частным лицам необходимо осознать эту угрозу и принять проактивные меры для защиты своих цифровых активов и интересов.
-----
Volt Typhoon - это сложная государственная группа перспективных постоянных угроз (APT), истоки которой, как предполагается, находятся в Китае. В течение последних нескольких лет ее кибернетическая деятельность тщательно отслеживалась и документировалась различными компаниями, занимающимися вопросами кибербезопасности, разведывательными службами и государственными органами по всему миру. Их основной целью является сбор разведданных, причем интерес проявляется как к государственному, так и к частному сектору.
Для проникновения в системы злоумышленников используются, в первую очередь, фишинговые письма, предназначенные для привлечения конкретных людей или отделов организации. Они также использовали такие уязвимости, как Zoho Management (CVE-2021-27860 и CVE-2021-40539) и Papercut (CVE-2023-27350). Кроме того, Volt Typhoon разработала целый ряд собственных вредоносных программ, предназначенных для решения конкретных задач - от поддержания персистентности на скомпрометированной системе до эксфильтрации данных. Попадая в сеть, злоумышленники часто пытаются собрать учетные данные, которые могут быть использованы для перемещения по сети, получения доступа к другим системам и повышения привилегий.
Целевая структура Volt Typhoon демонстрирует стратегический подход, ориентированный на объекты, которые могут предоставить им ценные разведданные или обеспечить геополитические преимущества. Объектами атак являются различные отрасли и регионы, включая оборонную промышленность, энергетику, телекоммуникации и критически важную инфраструктуру. США остаются главной целью "Вольта Тайфуна", однако его деятельность не ограничивается одним регионом. Судя по имеющимся данным, они действуют в различных частях Европы, Азии и других регионах.
Деятельность Volt Typhoon оставила значительный след в глобальной кибербезопасности. Среди известных операций - проникновение в критически важную инфраструктуру США, шпионские кампании, направленные на оборонные организации, государственные структуры и частный сектор, а также атака на национальную сеть в одной из азиатских стран.
Проводимые государством киберкампании Volt Typhoon высветили сложный и развивающийся характер киберугроз. В условиях, когда государства используют передовые кибервозможности для шпионажа, влияния и потенциального саботажа, задачи защитников становятся как никогда актуальными. Поэтому государствам, организациям и частным лицам необходимо осознать угрозу, которую они представляют, и принять проактивные меры для защиты своих цифровых активов и интересов.
Forwarded from Ralf Hacker Channel (Ralf Hacker)