CTT Report Hub
3.41K subscribers
9.66K photos
6 videos
67 files
13.3K links
Threat Intelligence Report Hub
Download Telegram
#ParsedReport #CompletenessLow
23-11-2023

HrServ Previously unknown web shell used in APT attack

https://securelist.com/hrserv-apt-web-shell/111119

Report completeness: Low

Threats:
Hrserv

Victims:
Government entity in afghanistan

Industry:
Government

Geo:
Afghanistan, Chinese

TTPs:
Tactics: 1
Technics: 0

IOCs:
File: 2
Command: 3
Registry: 1
Hash: 4

Soft:
outlook

Algorithms:
base64, sha256, fnv1a64, sha1, exhibit

Win API:
VirtualAlloc
CTT Report Hub
#ParsedReport #CompletenessLow 23-11-2023 HrServ Previously unknown web shell used in APT attack https://securelist.com/hrserv-apt-web-shell/111119 Report completeness: Low Threats: Hrserv Victims: Government entity in afghanistan Industry: Government…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Мы обнаружили веб-оболочку с расширенными возможностями, такими как пользовательская кодировка для взаимодействия с клиентами и выполнение в памяти, датируемую 2021 годом. Это соответствует финансово мотивированной вредоносной деятельности, хотя и имеет сходство с поведением APT. Мы продолжаем отслеживать соответствующую активность, чтобы понять весь масштаб этой вредоносной деятельности.
-----

В результате исследования файла hrserv.dll была обнаружена ранее неизвестная веб-оболочка с расширенными возможностями, такими как пользовательская кодировка для взаимодействия с клиентом и выполнение в памяти. Анализ файла показал, что родственные варианты были скомпилированы в 2021 году, что указывает на потенциальную взаимосвязь между вредоносной активностью. Файл .BAT активирует службу через системный реестр и утилиту sc, которая затем инициирует HTTP-сервер, используя API HTTP-сервера. Вредоносная программа настроена на ответ на определенные запросы, идентифицируемые GET-параметром с именем cp и значением куки NID. Кроме того, вредоносная программа создает файл в каталоге %temp% и считывает информацию из реестра, которую использует для выполнения определенных действий.

Также были обнаружены более ранние, имеющие другие названия варианты HrServ, датируемые началом 2021 года. Эти DLL-файлы также используют собственный алгоритм кодирования и ведут себя аналогично при ошибке чтения файла. Однако есть и тонкие различия. Единственной известной жертвой, согласно нашей телеметрии, является правительственная организация в Афганистане.

Проанализированные в данном исследовании ТТП не связаны с какими-либо известными угрожающими субъектами, которых мы отслеживаем, но есть несколько моментов, которые мы заметили. GET-параметры, используемые для имитации сервисов Google, включают hl, который определяет язык пользовательского интерфейса. Кроме того, в строках справки встречаются многочисленные опечатки, что позволяет предположить, что автор этих образцов не является носителем английского языка.

Анализируемый образец представляет собой функциональную веб-оболочку, появившуюся в 2021 году. Она способна инициировать выполнение в памяти и использует реестр и временный файл для установления связи с имплантом памяти. Имплант памяти содержит тщательно проработанное справочное сообщение, а веб-оболочка и имплант памяти используют разные строки для определенных условий. Это позволяет предположить, что данная вредоносная программа в большей степени соответствует финансово мотивированной вредоносной деятельности, хотя методология ее работы имеет сходство с поведением APT. Несмотря на длительную активность в течение нескольких лет, многочисленные случаи использования этих образцов не были задокументированы. В настоящее время мы продолжаем отслеживать соответствующую активность, чтобы понять весь масштаб этой вредоносной деятельности.
#ParsedReport #CompletenessMedium
23-11-2023

InfectedSlurs Botnet Spreads Mirai via Zero-Days

https://www.akamai.com/blog/security-research/2023/nov/new-rce-botnet-spreads-mirai-via-zero-days

Report completeness: Medium

Threats:
Mirai
Hailbot

Victims:
A single model router and a sub-variant model number

Industry:
E-commerce, Iot

Geo:
Japanese, China, Russian federation, Chinese

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1021, T1016, T1098, T1075, T1110, T1486, T1545, T1546, T1547

IOCs:
IP: 2
File: 2
Hash: 2
Domain: 4

Soft:
telegram

Algorithms:
sha256

Languages:
javascript

Links:
https://github.com/guardicore/monkey
CTT Report Hub
#ParsedReport #CompletenessMedium 23-11-2023 InfectedSlurs Botnet Spreads Mirai via Zero-Days https://www.akamai.com/blog/security-research/2023/nov/new-rce-botnet-spreads-mirai-via-zero-days Report completeness: Medium Threats: Mirai Hailbot Victims:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Компания Akamai SIRT обнаружила две уязвимости нулевого дня с функцией RCE, которые используются в природе для создания ботнета. Для предотвращения потенциальных угроз необходимо защищать все IoT-устройства надежными паролями и регулярно применять обновления программного обеспечения и патчи безопасности.
-----

Компания Akamai SIRT обнаружила две уязвимости нулевого дня с функцией удаленного выполнения кода (RCE), которые активно эксплуатируются в природе для создания ботнета с распределенным отказом в обслуживании (DDoS). Ботнет, который отслеживается Akamai SIRT с конца 2022 года, нацелен на одну модель маршрутизатора и, возможно, на ее подвариант. Кроме того, злоумышленники используют в названиях своих вредоносных программ расовые и оскорбительные выражения. Код Mirai, связанный с вариантами JenX Mirai и hailBot Mirai, не подвергался значительным изменениям, если вообще подвергался.

В связи с этим важно проверить наличие стандартных учетных данных на IoT-устройствах и изменить их, если они существуют, поскольку такие угрозы, как ботнеты и программы-вымогатели, полагаются на стандартные пароли, которые часто широко известны и легко доступны для распространения. Akamai SIRT сообщила об этих двух уязвимостях производителям и ожидает от них обновлений о затронутых моделях и доступности патчей в декабре 2023 года. Тем временем было выпущено правило Snort для обнаружения сердцебиений протокола связи Mirai C2.

Как показывают эти эксплойты нулевого дня, необходимо защищать все устройства Интернета вещей (IoT) с помощью надежных паролей. Смена паролей по умолчанию на IoT-устройствах - один из лучших способов предотвратить их использование злоумышленниками. Также важно регулярно устанавливать обновления программного обеспечения и патчи безопасности на IoT-устройства. Это позволит опередить возможные угрозы и защитить себя от вредоносных атак.
#ParsedReport #CompletenessLow
24-11-2023

Cyber spies from XDSpy attack Russian metallurgists and military-industrial complex enterprises

https://habr.com/ru/companies/f_a_c_c_t/news/775944

Report completeness: Low

Actors/Campaigns:
Xdspy (motivation: cyber_espionage)

Victims:
Russian metallurgical enterprises and a research institute engaged in the development and production of guided missile weapons

Industry:
Financial, Military, Energy, Government, Logistic

Geo:
Russian federation, Belarusian

IOCs:
Hash: 12
File: 2
Url: 8
Domain: 2

Algorithms:
sha1, zip, sha256
CTT Report Hub
#ParsedReport #CompletenessLow 24-11-2023 Cyber spies from XDSpy attack Russian metallurgists and military-industrial complex enterprises https://habr.com/ru/companies/f_a_c_c_t/news/775944 Report completeness: Low Actors/Campaigns: Xdspy (motivation:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Центр кибербезопасности F.A.C.C.T. и отдел анализа угроз выпустили предупреждение о новых атаках группы кибершпионажа XDSpy. Важно сохранять бдительность при возникновении подобных киберугроз и принимать надежные меры кибербезопасности. Компании должны иметь план реагирования на возможные атаки и регулярно выполнять резервное копирование своих систем. Мониторинг вредоносной активности, связанной с XDSpy, необходим для защиты от подобных атак.
-----

Центр кибербезопасности F.A.C.C.T. и департамент Threat Intelligence выпустили предупреждение о новых атаках группы кибершпионажа XDSpy. За последние несколько дней были обнаружены вредоносные рассылки, направленные на российские металлургические предприятия, а также научно-исследовательский институт, занимающийся разработкой и производством управляемого ракетного оружия. Письма рассылались с логотипа российского НИИ, специализирующегося на проектировании объектов ядерного оружейного комплекса, а также с электронного адреса, принадлежащего логистической компании из Калининграда. Еще одно письмо было отправлено российским металлургам с белорусского адреса.

Цепочка атак в этой ноябрьской кампании аналогична той, что использовалась в летних атаках XDSpy. Большинство их целей находятся в России и часто представляют собой государственные, военные, финансовые учреждения, энергетические, исследовательские и горнодобывающие компании. XDSpy действует с 2011 года, однако международные эксперты до сих пор не уверены, на какую страну они работают.

Важно сохранять бдительность при возникновении подобных киберугроз. Всем организациям, особенно тем, которые имеют дело с конфиденциальной информацией или технологиями, необходимо принимать надежные меры кибербезопасности. Эти меры должны включать в себя антивирусное программное обеспечение, регулярное обновление и обучение персонала передовым методам обеспечения кибербезопасности. Компаниям также необходимо иметь план реагирования на возможные атаки. Кроме того, необходимо обеспечить регулярное резервное копирование данных, чтобы минимизировать ущерб от успешной атаки.

Кибербезопасность - это постоянно развивающаяся область, и организации должны быть в курсе последних угроз, чтобы защитить себя. Мониторинг вредоносной деятельности, связанной с XDSpy и другими группами кибершпионажа, необходим для защиты данных и систем. Правильная подготовка позволит организациям лучше защитить себя от этих атак и минимизировать наносимый ими ущерб.
#ParsedReport #CompletenessMedium
23-11-2023

Israel-Hamas War Spotlight: Shaking the Rust Off SysJoker

https://research.checkpoint.com/2023/israel-hamas-war-spotlight-shaking-the-rust-off-sysjoker

Report completeness: Medium

Actors/Campaigns:
Molerats

Threats:
Sysjoker
Electric_powder

Victims:
Israeli organizations

Industry:
Energy

Geo:
Palestinian, Israeli, Israel

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1203, T1036, T1105, T1071, T1543, T1124, T1086, T1545, T1057, T1082, have more...

IOCs:
Hash: 11
File: 10
Path: 9
Url: 4
Command: 3
Registry: 1
IP: 2
Domain: 3

Soft:
android

Wallets:
harmony_wallet

Algorithms:
zip, base64, xor

Functions:
SetStringValue

Win API:
UuidCreate

Languages:
python, rust

Platforms:
intel
CTT Report Hub
#ParsedReport #CompletenessMedium 23-11-2023 Israel-Hamas War Spotlight: Shaking the Rust Off SysJoker https://research.checkpoint.com/2023/israel-hamas-war-spotlight-shaking-the-rust-off-sysjoker Report completeness: Medium Actors/Campaigns: Molerats…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея заключается в том, что Check Point Research обнаружила эволюцию SysJoker, многоплатформенного бэкдора, используемого APT, связанной с ХАМАС, и его связь с ранее не раскрытой операцией Electric Powder. Check Point Research активно отслеживает и устраняет соответствующие региональные угрозы в войне между Израилем и ХАМАС.
-----

Check Point Research активно следит за развитием SysJoker, многоплатформенного бэкдора, который использовался APT, связанной с ХАМАС, для атак на Израиль. Анализ новых обнаруженных вариантов SysJoker показал их связь с ранее не раскрывавшейся операцией Electric Powder. Напряженная ситуация, сложившаяся в ходе войны между Израилем и ХАМАС, побудила Check Point к активному поиску угроз с целью обнаружения, атрибуции и смягчения последствий соответствующих региональных угроз.

В октябре 2023 года на VirusTotal был представлен вариант SysJoker, написанный на языке Rust. Это говорит о том, что код вредоносной программы был полностью переписан, но при этом сохранил схожие функциональные возможности. В дополнение к версии на языке Rust были обнаружены еще два образца SysJoker, которые были несколько сложнее версии на языке Rust и всех ранее проанализированных образцов.

Один из примеров, скомпилированный в мае 2022 года, использует простой метод XOR-дешифрования, а другой, скомпилированный в июне 2022 года, использует отдельный загрузчик, инсталлятор и DLL-библиотеку полезной нагрузки. Оба образца обращаются к URL-адресу OneDrive для получения адреса сервера C2.

Инфраструктура, используемая в данной кампании, настраивается динамически. После расшифровки JSON, содержащего адрес C2, вредоносная программа переходит к процессу выполнения. Вредоносная программа собирает информацию о зараженной системе, загружает zip-архив с указанного URL, связывается с C2-сервером и запускает функцию st с параметрами, присланными с сервера.

Одна и та же команда PowerShell, основанная на WMI-классе StdRegProv, используется в нескольких вариантах SysJoker и, похоже, только в одной другой кампании, связанной с операцией "Электрический порошок". Это позволяет сделать вывод о том, что за обе атаки отвечает один и тот же агент, несмотря на большой временной разрыв между операциями.

Клиенты Check Point остаются защищенными от атак, описанных в данном отчете, используя Check Point Anti-Bot, Harmony Endpoint и Threat Emulation. Благодаря активной работе по поиску угроз Check Point Research удалось обнаружить эволюцию SysJoker и его связь с APT, связанной с ХАМАС.
#ParsedReport #CompletenessMedium
23-11-2023

Unveiling Parallax RAT: A Journey from Infection to Lateral Movement

https://www.esentire.com/blog/unveiling-parallax-rat-a-journey-from-infection-to-lateral-movement

Report completeness: Medium

Threats:
Parallax_rat
Netsupportmanager_rat

Geo:
South africa, American samoa, Uganda, Emea

ChatGPT TTPs:
do not use without manual check
T1036.003, T1041, T1059.003, T1086, T1140, T1071, T1078, T1098, T1204, T1543, have more...

IOCs:
File: 5
Path: 2
Hash: 2
Url: 1
Domain: 5
IP: 1

Soft:
psexec, microsoft macro assembler, chrome, outlook

Algorithms:
rc4

Platforms:
x64, x86
CTT Report Hub
#ParsedReport #CompletenessMedium 23-11-2023 Unveiling Parallax RAT: A Journey from Infection to Lateral Movement https://www.esentire.com/blog/unveiling-parallax-rat-a-journey-from-infection-to-lateral-movement Report completeness: Medium Threats: Parallax_rat…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Parallax RAT был использован для получения доступа к контроллеру домена и достижения постоянства на хосте в течение 2 часов. Он использует методы уклонения для обфускации своего кода и сейчас находится в свободном доступе.
-----

Подразделение eSentire Threat Response Unit (TRU) специализируется на оказании помощи организациям в обеспечении устойчивости к известным и неизвестным угрозам. В октябре 2023 года на контроллере домена был обнаружен подозрительный VBS-сценарий, запускающий NetSupport RAT. Сценарий запускал файл client32.exe, являющийся разновидностью NetSupportRAT, из папки c:\programdata\VMware\VMware Tools\. Затем Parallax RAT использовался для развертывания PsExec, легкого telnet-заменителя, на первой зараженной машине. Затем PsExec использовался для перемещения на контроллер домена.

Parallax RAT появился на хакерских форумах в 2019 году и получил широкую известность благодаря широкому спектру возможностей, таких как кейлоггинг, кража паролей, захват скриншотов, возможность загрузки и выполнения файлов, утечка файлов из файлового менеджера и удаленное управление. Последняя версия Parallax RAT - 1.0.7. Однако в 2020 году разработчики проекта Parallax RAT приняли решение о его закрытии по личным причинам. Несмотря на закрытие проекта, вредоносная программа находится в свободном доступе. Parallax RAT использует такие методы обхода, как шифрование RC4 для сокрытия имен загружаемых DLL-библиотек и своей конфигурации, а также меры защиты от дизассемблирования, например инструкции безусловного перехода, для обфусцирования своего кода.

Угрожающий агент, использовавший Parallax RAT, смог доставить вредоносную программу на первую зараженную машину путем загрузки с диска, когда пользователь искал VPN-клиент Fortinet через поиск Bing. Затем вредоносная программа была использована для латерального перемещения с начальной машины на контроллер домена в течение 2 часов. Для обеспечения устойчивости на хосте Parallax RAT был помещен в папку Startup и переименован в исполняемый файл, а также сброшен и запущен NetSupportRAT на контроллере домена.
#ParsedReport #CompletenessMedium
24-11-2023

APT Profile: Volt Typhoon

https://socradar.io/apt-profile-volt-typhoon

Report completeness: Medium

Actors/Campaigns:
Volt_typhoon (motivation: cyber_espionage)

Threats:
Spear-phishing_technique
Credential_harvesting_technique
Lolbin_technique
Credential_dumping_technique

Victims:
Military installations, defense contractors, research institutions, energy sectors, power grids, oil & gas installations, telecommunication sectors, transportation, water supply, healthcare

Industry:
Healthcare, Transport, Petroleum, Energy, Government, Military, Telco

Geo:
Asia, Asian, China, Chinese

CVEs:
CVE-2021-27860 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- fatpipeinc ipvpn firmware (5.2.0, 6.1.2, 7.1.2, 9.1.2, 10.1.2, 10.2.2)
- fatpipeinc warp firmware (5.2.0, 6.1.2, 7.1.2, 9.1.2, 10.1.2, 10.2.2)
- fatpipeinc mpvpn firmware (5.2.0, 6.1.2, 7.1.2, 9.1.2, 10.1.2, 10.2.2)

CVE-2023-27350 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- papercut papercut ng (<20.1.7, <21.2.11, <22.0.9)
- papercut papercut mf (<22.0.9, <21.2.11, <20.1.7)

CVE-2021-40539 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- zohocorp manageengine adselfservice plus (5.7, 5.0, 5.1, 5.2, 5.3, 5.4, 5.5, 5.6, 4.5, 5.8, 6.0, 6.1, 5.0.6)


TTPs:
Tactics: 8
Technics: 31

IOCs:
IP: 3
Hash: 5

Soft:
papercut

Algorithms:
exhibit
CTT Report Hub
#ParsedReport #CompletenessMedium 24-11-2023 APT Profile: Volt Typhoon https://socradar.io/apt-profile-volt-typhoon Report completeness: Medium Actors/Campaigns: Volt_typhoon (motivation: cyber_espionage) Threats: Spear-phishing_technique Credential_…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что "Вольт Тайфун" - сложная государственная группировка перспективных постоянных угроз (APT), основной целью которой является сбор разведданных, и которая провела множество киберкампаний, направленных против государственных и частных структур. Они представляют собой значительную угрозу глобальной кибербезопасности, поэтому государствам, организациям и частным лицам необходимо осознать эту угрозу и принять проактивные меры для защиты своих цифровых активов и интересов.
-----

Volt Typhoon - это сложная государственная группа перспективных постоянных угроз (APT), истоки которой, как предполагается, находятся в Китае. В течение последних нескольких лет ее кибернетическая деятельность тщательно отслеживалась и документировалась различными компаниями, занимающимися вопросами кибербезопасности, разведывательными службами и государственными органами по всему миру. Их основной целью является сбор разведданных, причем интерес проявляется как к государственному, так и к частному сектору.

Для проникновения в системы злоумышленников используются, в первую очередь, фишинговые письма, предназначенные для привлечения конкретных людей или отделов организации. Они также использовали такие уязвимости, как Zoho Management (CVE-2021-27860 и CVE-2021-40539) и Papercut (CVE-2023-27350). Кроме того, Volt Typhoon разработала целый ряд собственных вредоносных программ, предназначенных для решения конкретных задач - от поддержания персистентности на скомпрометированной системе до эксфильтрации данных. Попадая в сеть, злоумышленники часто пытаются собрать учетные данные, которые могут быть использованы для перемещения по сети, получения доступа к другим системам и повышения привилегий.

Целевая структура Volt Typhoon демонстрирует стратегический подход, ориентированный на объекты, которые могут предоставить им ценные разведданные или обеспечить геополитические преимущества. Объектами атак являются различные отрасли и регионы, включая оборонную промышленность, энергетику, телекоммуникации и критически важную инфраструктуру. США остаются главной целью "Вольта Тайфуна", однако его деятельность не ограничивается одним регионом. Судя по имеющимся данным, они действуют в различных частях Европы, Азии и других регионах.

Деятельность Volt Typhoon оставила значительный след в глобальной кибербезопасности. Среди известных операций - проникновение в критически важную инфраструктуру США, шпионские кампании, направленные на оборонные организации, государственные структуры и частный сектор, а также атака на национальную сеть в одной из азиатских стран.

Проводимые государством киберкампании Volt Typhoon высветили сложный и развивающийся характер киберугроз. В условиях, когда государства используют передовые кибервозможности для шпионажа, влияния и потенциального саботажа, задачи защитников становятся как никогда актуальными. Поэтому государствам, организациям и частным лицам необходимо осознать угрозу, которую они представляют, и принять проактивные меры для защиты своих цифровых активов и интересов.
Forwarded from Ralf Hacker Channel (Ralf Hacker)
Давно думал, публиковать свой софт или нет... Вот и решил для начала переписать Rubeus (не весь конечно) на C и перевести в COF файлы. В общем, из коробки работает с Cobalt Strike и Havoc😁😁

https://github.com/RalfHacker/Kerbeus-BOF

#bof #git #soft #redteam #pentest