CTT Report Hub
#ParsedReport #CompletenessMedium 23-11-2023 Israel-Hamas War Spotlight: Shaking the Rust Off SysJoker https://research.checkpoint.com/2023/israel-hamas-war-spotlight-shaking-the-rust-off-sysjoker Report completeness: Medium Actors/Campaigns: Molerats…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея заключается в том, что Check Point Research обнаружила эволюцию SysJoker, многоплатформенного бэкдора, используемого APT, связанной с ХАМАС, и его связь с ранее не раскрытой операцией Electric Powder. Check Point Research активно отслеживает и устраняет соответствующие региональные угрозы в войне между Израилем и ХАМАС.
-----
Check Point Research активно следит за развитием SysJoker, многоплатформенного бэкдора, который использовался APT, связанной с ХАМАС, для атак на Израиль. Анализ новых обнаруженных вариантов SysJoker показал их связь с ранее не раскрывавшейся операцией Electric Powder. Напряженная ситуация, сложившаяся в ходе войны между Израилем и ХАМАС, побудила Check Point к активному поиску угроз с целью обнаружения, атрибуции и смягчения последствий соответствующих региональных угроз.
В октябре 2023 года на VirusTotal был представлен вариант SysJoker, написанный на языке Rust. Это говорит о том, что код вредоносной программы был полностью переписан, но при этом сохранил схожие функциональные возможности. В дополнение к версии на языке Rust были обнаружены еще два образца SysJoker, которые были несколько сложнее версии на языке Rust и всех ранее проанализированных образцов.
Один из примеров, скомпилированный в мае 2022 года, использует простой метод XOR-дешифрования, а другой, скомпилированный в июне 2022 года, использует отдельный загрузчик, инсталлятор и DLL-библиотеку полезной нагрузки. Оба образца обращаются к URL-адресу OneDrive для получения адреса сервера C2.
Инфраструктура, используемая в данной кампании, настраивается динамически. После расшифровки JSON, содержащего адрес C2, вредоносная программа переходит к процессу выполнения. Вредоносная программа собирает информацию о зараженной системе, загружает zip-архив с указанного URL, связывается с C2-сервером и запускает функцию st с параметрами, присланными с сервера.
Одна и та же команда PowerShell, основанная на WMI-классе StdRegProv, используется в нескольких вариантах SysJoker и, похоже, только в одной другой кампании, связанной с операцией "Электрический порошок". Это позволяет сделать вывод о том, что за обе атаки отвечает один и тот же агент, несмотря на большой временной разрыв между операциями.
Клиенты Check Point остаются защищенными от атак, описанных в данном отчете, используя Check Point Anti-Bot, Harmony Endpoint и Threat Emulation. Благодаря активной работе по поиску угроз Check Point Research удалось обнаружить эволюцию SysJoker и его связь с APT, связанной с ХАМАС.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея заключается в том, что Check Point Research обнаружила эволюцию SysJoker, многоплатформенного бэкдора, используемого APT, связанной с ХАМАС, и его связь с ранее не раскрытой операцией Electric Powder. Check Point Research активно отслеживает и устраняет соответствующие региональные угрозы в войне между Израилем и ХАМАС.
-----
Check Point Research активно следит за развитием SysJoker, многоплатформенного бэкдора, который использовался APT, связанной с ХАМАС, для атак на Израиль. Анализ новых обнаруженных вариантов SysJoker показал их связь с ранее не раскрывавшейся операцией Electric Powder. Напряженная ситуация, сложившаяся в ходе войны между Израилем и ХАМАС, побудила Check Point к активному поиску угроз с целью обнаружения, атрибуции и смягчения последствий соответствующих региональных угроз.
В октябре 2023 года на VirusTotal был представлен вариант SysJoker, написанный на языке Rust. Это говорит о том, что код вредоносной программы был полностью переписан, но при этом сохранил схожие функциональные возможности. В дополнение к версии на языке Rust были обнаружены еще два образца SysJoker, которые были несколько сложнее версии на языке Rust и всех ранее проанализированных образцов.
Один из примеров, скомпилированный в мае 2022 года, использует простой метод XOR-дешифрования, а другой, скомпилированный в июне 2022 года, использует отдельный загрузчик, инсталлятор и DLL-библиотеку полезной нагрузки. Оба образца обращаются к URL-адресу OneDrive для получения адреса сервера C2.
Инфраструктура, используемая в данной кампании, настраивается динамически. После расшифровки JSON, содержащего адрес C2, вредоносная программа переходит к процессу выполнения. Вредоносная программа собирает информацию о зараженной системе, загружает zip-архив с указанного URL, связывается с C2-сервером и запускает функцию st с параметрами, присланными с сервера.
Одна и та же команда PowerShell, основанная на WMI-классе StdRegProv, используется в нескольких вариантах SysJoker и, похоже, только в одной другой кампании, связанной с операцией "Электрический порошок". Это позволяет сделать вывод о том, что за обе атаки отвечает один и тот же агент, несмотря на большой временной разрыв между операциями.
Клиенты Check Point остаются защищенными от атак, описанных в данном отчете, используя Check Point Anti-Bot, Harmony Endpoint и Threat Emulation. Благодаря активной работе по поиску угроз Check Point Research удалось обнаружить эволюцию SysJoker и его связь с APT, связанной с ХАМАС.
#ParsedReport #CompletenessMedium
23-11-2023
Unveiling Parallax RAT: A Journey from Infection to Lateral Movement
https://www.esentire.com/blog/unveiling-parallax-rat-a-journey-from-infection-to-lateral-movement
Report completeness: Medium
Threats:
Parallax_rat
Netsupportmanager_rat
Geo:
South africa, American samoa, Uganda, Emea
ChatGPT TTPs:
T1036.003, T1041, T1059.003, T1086, T1140, T1071, T1078, T1098, T1204, T1543, have more...
IOCs:
File: 5
Path: 2
Hash: 2
Url: 1
Domain: 5
IP: 1
Soft:
psexec, microsoft macro assembler, chrome, outlook
Algorithms:
rc4
Platforms:
x64, x86
23-11-2023
Unveiling Parallax RAT: A Journey from Infection to Lateral Movement
https://www.esentire.com/blog/unveiling-parallax-rat-a-journey-from-infection-to-lateral-movement
Report completeness: Medium
Threats:
Parallax_rat
Netsupportmanager_rat
Geo:
South africa, American samoa, Uganda, Emea
ChatGPT TTPs:
do not use without manual checkT1036.003, T1041, T1059.003, T1086, T1140, T1071, T1078, T1098, T1204, T1543, have more...
IOCs:
File: 5
Path: 2
Hash: 2
Url: 1
Domain: 5
IP: 1
Soft:
psexec, microsoft macro assembler, chrome, outlook
Algorithms:
rc4
Platforms:
x64, x86
eSentire
Unveiling Parallax RAT: A Journey from Infection to Lateral Movement
Learn more about the Parallax RAT (Remote Access Trojan) and get security recommendations from our Threat Response Unit (TRU) to protect your business from this cyber threat.
CTT Report Hub
#ParsedReport #CompletenessMedium 23-11-2023 Unveiling Parallax RAT: A Journey from Infection to Lateral Movement https://www.esentire.com/blog/unveiling-parallax-rat-a-journey-from-infection-to-lateral-movement Report completeness: Medium Threats: Parallax_rat…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Parallax RAT был использован для получения доступа к контроллеру домена и достижения постоянства на хосте в течение 2 часов. Он использует методы уклонения для обфускации своего кода и сейчас находится в свободном доступе.
-----
Подразделение eSentire Threat Response Unit (TRU) специализируется на оказании помощи организациям в обеспечении устойчивости к известным и неизвестным угрозам. В октябре 2023 года на контроллере домена был обнаружен подозрительный VBS-сценарий, запускающий NetSupport RAT. Сценарий запускал файл client32.exe, являющийся разновидностью NetSupportRAT, из папки c:\programdata\VMware\VMware Tools\. Затем Parallax RAT использовался для развертывания PsExec, легкого telnet-заменителя, на первой зараженной машине. Затем PsExec использовался для перемещения на контроллер домена.
Parallax RAT появился на хакерских форумах в 2019 году и получил широкую известность благодаря широкому спектру возможностей, таких как кейлоггинг, кража паролей, захват скриншотов, возможность загрузки и выполнения файлов, утечка файлов из файлового менеджера и удаленное управление. Последняя версия Parallax RAT - 1.0.7. Однако в 2020 году разработчики проекта Parallax RAT приняли решение о его закрытии по личным причинам. Несмотря на закрытие проекта, вредоносная программа находится в свободном доступе. Parallax RAT использует такие методы обхода, как шифрование RC4 для сокрытия имен загружаемых DLL-библиотек и своей конфигурации, а также меры защиты от дизассемблирования, например инструкции безусловного перехода, для обфусцирования своего кода.
Угрожающий агент, использовавший Parallax RAT, смог доставить вредоносную программу на первую зараженную машину путем загрузки с диска, когда пользователь искал VPN-клиент Fortinet через поиск Bing. Затем вредоносная программа была использована для латерального перемещения с начальной машины на контроллер домена в течение 2 часов. Для обеспечения устойчивости на хосте Parallax RAT был помещен в папку Startup и переименован в исполняемый файл, а также сброшен и запущен NetSupportRAT на контроллере домена.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Parallax RAT был использован для получения доступа к контроллеру домена и достижения постоянства на хосте в течение 2 часов. Он использует методы уклонения для обфускации своего кода и сейчас находится в свободном доступе.
-----
Подразделение eSentire Threat Response Unit (TRU) специализируется на оказании помощи организациям в обеспечении устойчивости к известным и неизвестным угрозам. В октябре 2023 года на контроллере домена был обнаружен подозрительный VBS-сценарий, запускающий NetSupport RAT. Сценарий запускал файл client32.exe, являющийся разновидностью NetSupportRAT, из папки c:\programdata\VMware\VMware Tools\. Затем Parallax RAT использовался для развертывания PsExec, легкого telnet-заменителя, на первой зараженной машине. Затем PsExec использовался для перемещения на контроллер домена.
Parallax RAT появился на хакерских форумах в 2019 году и получил широкую известность благодаря широкому спектру возможностей, таких как кейлоггинг, кража паролей, захват скриншотов, возможность загрузки и выполнения файлов, утечка файлов из файлового менеджера и удаленное управление. Последняя версия Parallax RAT - 1.0.7. Однако в 2020 году разработчики проекта Parallax RAT приняли решение о его закрытии по личным причинам. Несмотря на закрытие проекта, вредоносная программа находится в свободном доступе. Parallax RAT использует такие методы обхода, как шифрование RC4 для сокрытия имен загружаемых DLL-библиотек и своей конфигурации, а также меры защиты от дизассемблирования, например инструкции безусловного перехода, для обфусцирования своего кода.
Угрожающий агент, использовавший Parallax RAT, смог доставить вредоносную программу на первую зараженную машину путем загрузки с диска, когда пользователь искал VPN-клиент Fortinet через поиск Bing. Затем вредоносная программа была использована для латерального перемещения с начальной машины на контроллер домена в течение 2 часов. Для обеспечения устойчивости на хосте Parallax RAT был помещен в папку Startup и переименован в исполняемый файл, а также сброшен и запущен NetSupportRAT на контроллере домена.
#ParsedReport #CompletenessMedium
24-11-2023
APT Profile: Volt Typhoon
https://socradar.io/apt-profile-volt-typhoon
Report completeness: Medium
Actors/Campaigns:
Volt_typhoon (motivation: cyber_espionage)
Threats:
Spear-phishing_technique
Credential_harvesting_technique
Lolbin_technique
Credential_dumping_technique
Victims:
Military installations, defense contractors, research institutions, energy sectors, power grids, oil & gas installations, telecommunication sectors, transportation, water supply, healthcare
Industry:
Healthcare, Transport, Petroleum, Energy, Government, Military, Telco
Geo:
Asia, Asian, China, Chinese
CVEs:
CVE-2021-27860 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- fatpipeinc ipvpn firmware (5.2.0, 6.1.2, 7.1.2, 9.1.2, 10.1.2, 10.2.2)
- fatpipeinc warp firmware (5.2.0, 6.1.2, 7.1.2, 9.1.2, 10.1.2, 10.2.2)
- fatpipeinc mpvpn firmware (5.2.0, 6.1.2, 7.1.2, 9.1.2, 10.1.2, 10.2.2)
CVE-2023-27350 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- papercut papercut ng (<20.1.7, <21.2.11, <22.0.9)
- papercut papercut mf (<22.0.9, <21.2.11, <20.1.7)
CVE-2021-40539 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- zohocorp manageengine adselfservice plus (5.7, 5.0, 5.1, 5.2, 5.3, 5.4, 5.5, 5.6, 4.5, 5.8, 6.0, 6.1, 5.0.6)
TTPs:
Tactics: 8
Technics: 31
IOCs:
IP: 3
Hash: 5
Soft:
papercut
Algorithms:
exhibit
24-11-2023
APT Profile: Volt Typhoon
https://socradar.io/apt-profile-volt-typhoon
Report completeness: Medium
Actors/Campaigns:
Volt_typhoon (motivation: cyber_espionage)
Threats:
Spear-phishing_technique
Credential_harvesting_technique
Lolbin_technique
Credential_dumping_technique
Victims:
Military installations, defense contractors, research institutions, energy sectors, power grids, oil & gas installations, telecommunication sectors, transportation, water supply, healthcare
Industry:
Healthcare, Transport, Petroleum, Energy, Government, Military, Telco
Geo:
Asia, Asian, China, Chinese
CVEs:
CVE-2021-27860 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- fatpipeinc ipvpn firmware (5.2.0, 6.1.2, 7.1.2, 9.1.2, 10.1.2, 10.2.2)
- fatpipeinc warp firmware (5.2.0, 6.1.2, 7.1.2, 9.1.2, 10.1.2, 10.2.2)
- fatpipeinc mpvpn firmware (5.2.0, 6.1.2, 7.1.2, 9.1.2, 10.1.2, 10.2.2)
CVE-2023-27350 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- papercut papercut ng (<20.1.7, <21.2.11, <22.0.9)
- papercut papercut mf (<22.0.9, <21.2.11, <20.1.7)
CVE-2021-40539 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- zohocorp manageengine adselfservice plus (5.7, 5.0, 5.1, 5.2, 5.3, 5.4, 5.5, 5.6, 4.5, 5.8, 6.0, 6.1, 5.0.6)
TTPs:
Tactics: 8
Technics: 31
IOCs:
IP: 3
Hash: 5
Soft:
papercut
Algorithms:
exhibit
SOCRadar® Cyber Intelligence Inc.
APT Profile: Volt Typhoon - SOCRadar® Cyber Intelligence Inc.
As cyber currents ebb and flow, a storm named Volt Typhoon surges from the digital depths. This isn't your typical tempest from the sea...
CTT Report Hub
#ParsedReport #CompletenessMedium 24-11-2023 APT Profile: Volt Typhoon https://socradar.io/apt-profile-volt-typhoon Report completeness: Medium Actors/Campaigns: Volt_typhoon (motivation: cyber_espionage) Threats: Spear-phishing_technique Credential_…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея текста заключается в том, что "Вольт Тайфун" - сложная государственная группировка перспективных постоянных угроз (APT), основной целью которой является сбор разведданных, и которая провела множество киберкампаний, направленных против государственных и частных структур. Они представляют собой значительную угрозу глобальной кибербезопасности, поэтому государствам, организациям и частным лицам необходимо осознать эту угрозу и принять проактивные меры для защиты своих цифровых активов и интересов.
-----
Volt Typhoon - это сложная государственная группа перспективных постоянных угроз (APT), истоки которой, как предполагается, находятся в Китае. В течение последних нескольких лет ее кибернетическая деятельность тщательно отслеживалась и документировалась различными компаниями, занимающимися вопросами кибербезопасности, разведывательными службами и государственными органами по всему миру. Их основной целью является сбор разведданных, причем интерес проявляется как к государственному, так и к частному сектору.
Для проникновения в системы злоумышленников используются, в первую очередь, фишинговые письма, предназначенные для привлечения конкретных людей или отделов организации. Они также использовали такие уязвимости, как Zoho Management (CVE-2021-27860 и CVE-2021-40539) и Papercut (CVE-2023-27350). Кроме того, Volt Typhoon разработала целый ряд собственных вредоносных программ, предназначенных для решения конкретных задач - от поддержания персистентности на скомпрометированной системе до эксфильтрации данных. Попадая в сеть, злоумышленники часто пытаются собрать учетные данные, которые могут быть использованы для перемещения по сети, получения доступа к другим системам и повышения привилегий.
Целевая структура Volt Typhoon демонстрирует стратегический подход, ориентированный на объекты, которые могут предоставить им ценные разведданные или обеспечить геополитические преимущества. Объектами атак являются различные отрасли и регионы, включая оборонную промышленность, энергетику, телекоммуникации и критически важную инфраструктуру. США остаются главной целью "Вольта Тайфуна", однако его деятельность не ограничивается одним регионом. Судя по имеющимся данным, они действуют в различных частях Европы, Азии и других регионах.
Деятельность Volt Typhoon оставила значительный след в глобальной кибербезопасности. Среди известных операций - проникновение в критически важную инфраструктуру США, шпионские кампании, направленные на оборонные организации, государственные структуры и частный сектор, а также атака на национальную сеть в одной из азиатских стран.
Проводимые государством киберкампании Volt Typhoon высветили сложный и развивающийся характер киберугроз. В условиях, когда государства используют передовые кибервозможности для шпионажа, влияния и потенциального саботажа, задачи защитников становятся как никогда актуальными. Поэтому государствам, организациям и частным лицам необходимо осознать угрозу, которую они представляют, и принять проактивные меры для защиты своих цифровых активов и интересов.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея текста заключается в том, что "Вольт Тайфун" - сложная государственная группировка перспективных постоянных угроз (APT), основной целью которой является сбор разведданных, и которая провела множество киберкампаний, направленных против государственных и частных структур. Они представляют собой значительную угрозу глобальной кибербезопасности, поэтому государствам, организациям и частным лицам необходимо осознать эту угрозу и принять проактивные меры для защиты своих цифровых активов и интересов.
-----
Volt Typhoon - это сложная государственная группа перспективных постоянных угроз (APT), истоки которой, как предполагается, находятся в Китае. В течение последних нескольких лет ее кибернетическая деятельность тщательно отслеживалась и документировалась различными компаниями, занимающимися вопросами кибербезопасности, разведывательными службами и государственными органами по всему миру. Их основной целью является сбор разведданных, причем интерес проявляется как к государственному, так и к частному сектору.
Для проникновения в системы злоумышленников используются, в первую очередь, фишинговые письма, предназначенные для привлечения конкретных людей или отделов организации. Они также использовали такие уязвимости, как Zoho Management (CVE-2021-27860 и CVE-2021-40539) и Papercut (CVE-2023-27350). Кроме того, Volt Typhoon разработала целый ряд собственных вредоносных программ, предназначенных для решения конкретных задач - от поддержания персистентности на скомпрометированной системе до эксфильтрации данных. Попадая в сеть, злоумышленники часто пытаются собрать учетные данные, которые могут быть использованы для перемещения по сети, получения доступа к другим системам и повышения привилегий.
Целевая структура Volt Typhoon демонстрирует стратегический подход, ориентированный на объекты, которые могут предоставить им ценные разведданные или обеспечить геополитические преимущества. Объектами атак являются различные отрасли и регионы, включая оборонную промышленность, энергетику, телекоммуникации и критически важную инфраструктуру. США остаются главной целью "Вольта Тайфуна", однако его деятельность не ограничивается одним регионом. Судя по имеющимся данным, они действуют в различных частях Европы, Азии и других регионах.
Деятельность Volt Typhoon оставила значительный след в глобальной кибербезопасности. Среди известных операций - проникновение в критически важную инфраструктуру США, шпионские кампании, направленные на оборонные организации, государственные структуры и частный сектор, а также атака на национальную сеть в одной из азиатских стран.
Проводимые государством киберкампании Volt Typhoon высветили сложный и развивающийся характер киберугроз. В условиях, когда государства используют передовые кибервозможности для шпионажа, влияния и потенциального саботажа, задачи защитников становятся как никогда актуальными. Поэтому государствам, организациям и частным лицам необходимо осознать угрозу, которую они представляют, и принять проактивные меры для защиты своих цифровых активов и интересов.
Forwarded from Ralf Hacker Channel (Ralf Hacker)
#ParsedReport #CompletenessMedium
24-11-2023
Diamond Sleet supply chain compromise distributes a modified CyberLink installer
https://www.microsoft.com/en-us/security/blog/2023/11/22/diamond-sleet-supply-chain-compromise-distributes-a-modified-cyberlink-installer
Report completeness: Medium
Actors/Campaigns:
Lazarus (motivation: cyber_espionage, financially_motivated)
Threats:
Supply_chain_technique
Lambload
Geo:
Japan, Canada, Korea, Taiwan, Korean
ChatGPT TTPs:
T1117, T1105, T1036, T1082, T1191, T1218, T1497, T1086
IOCs:
File: 6
Hash: 5
Url: 8
Soft:
Microsoft Defender, Microsoft Defender for Endpoint, Internet Explorer
Algorithms:
sha256, sha2
Languages:
python
Links:
24-11-2023
Diamond Sleet supply chain compromise distributes a modified CyberLink installer
https://www.microsoft.com/en-us/security/blog/2023/11/22/diamond-sleet-supply-chain-compromise-distributes-a-modified-cyberlink-installer
Report completeness: Medium
Actors/Campaigns:
Lazarus (motivation: cyber_espionage, financially_motivated)
Threats:
Supply_chain_technique
Lambload
Geo:
Japan, Canada, Korea, Taiwan, Korean
ChatGPT TTPs:
do not use without manual checkT1117, T1105, T1036, T1082, T1191, T1218, T1497, T1086
IOCs:
File: 6
Hash: 5
Url: 8
Soft:
Microsoft Defender, Microsoft Defender for Endpoint, Internet Explorer
Algorithms:
sha256, sha2
Languages:
python
Links:
https://docs.github.com/en/site-policy/acceptable-use-policies/github-active-malware-or-exploitsMicrosoft News
Diamond Sleet supply chain compromise distributes a modified CyberLink installer
Microsoft has uncovered a supply chain attack by Diamond Sleet involving a malicious variant of an application developed by CyberLink Corp.
CTT Report Hub
#ParsedReport #CompletenessMedium 24-11-2023 Diamond Sleet supply chain compromise distributes a modified CyberLink installer https://www.microsoft.com/en-us/security/blog/2023/11/22/diamond-sleet-supply-chain-compromise-distributes-a-modified-cyberlink…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея этого текста заключается в том, что компания Microsoft обнаружила и сообщила о вредоносной атаке на цепочку поставок, приписываемой группе Diamond Sleet, базирующейся в Северной Корее, и предприняла меры по защите клиентов от этой вредоносной активности. Также приводится подробная информация о вредоносном коде, скомпрометированных доменах, компонентах обнаружения и временной шкале активности.
-----
Группа аналитики угроз Microsoft недавно обнаружила и сообщила о вредоносной атаке на цепочки поставок, которая затронула более 100 устройств в разных странах. Вредоносная активность была приписана группе Diamond Sleet, базирующейся в Северной Корее и занимающейся шпионажем, кражей данных, извлечением финансовой выгоды и разрушением корпоративных сетей. Вредоносный файл представляет собой легитимный установщик приложения CyberLink, который был модифицирован и содержит вредоносный код, загружающий, расшифровывающий и загружающий полезную нагрузку второго этапа.
Компания Microsoft предприняла меры по защите клиентов от этой вредоносной активности: сообщила CyberLink о нарушении цепочки поставок, уведомила клиентов Microsoft Defender for Endpoint, сообщила об атаке на GitHub и добавила сертификат CyberLink Corp., использованный для подписи вредоносного файла, в список запрещенных сертификатов. Microsoft Defender for Endpoint обнаруживает вредоносную активность как группу активности Diamond Sleet, а антивирус Microsoft Defender обнаруживает вредоносную программу как Trojan:Win32/LambLoad.
LambLoad - это загрузчик, содержащий вредоносный код, добавленный к легитимному приложению CyberLink. Он предназначен для атак на среды, не оснащенные программным обеспечением безопасности, связанным с FireEye, CrowdStrike или Tanium, путем проверки наличия следующих имен процессов. Если эти критерии соблюдены, вредоносный код пытается обратиться к одному из трех URL-адресов для загрузки полезной нагрузки второго этапа, встроенной в файл, маскирующийся под PNG-файл. Оба домена являются легитимными, но были скомпрометированы программой Diamond Sleet.
Чтобы статически восстановить полезную нагрузку в памяти для независимого анализа, можно использовать следующий сценарий Python для расшифровки вырезанного содержимого. Антивирус Microsoft Defender обнаруживает компоненты угрозы в виде следующих вредоносных программ и предоставляет отчеты в продуктах Microsoft, чтобы помочь клиентам быть в курсе информации об участнике угрозы, вредоносной активности и рекомендуемых действиях по предотвращению, смягчению или реагированию на связанные угрозы.
Diamond Sleet был связан с деятельностью, отслеживаемой другими компаниями безопасности, такими как Temp.Hermit и Labyrinth Chollima, и известен тем, что использует различные пользовательские вредоносные программы, характерные только для этой группы. Microsoft заметила подозрительную активность, связанную с модифицированным файлом установщика CyberLink, еще 20 октября 2023 года и продолжит расследование и мониторинг ситуации.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея этого текста заключается в том, что компания Microsoft обнаружила и сообщила о вредоносной атаке на цепочку поставок, приписываемой группе Diamond Sleet, базирующейся в Северной Корее, и предприняла меры по защите клиентов от этой вредоносной активности. Также приводится подробная информация о вредоносном коде, скомпрометированных доменах, компонентах обнаружения и временной шкале активности.
-----
Группа аналитики угроз Microsoft недавно обнаружила и сообщила о вредоносной атаке на цепочки поставок, которая затронула более 100 устройств в разных странах. Вредоносная активность была приписана группе Diamond Sleet, базирующейся в Северной Корее и занимающейся шпионажем, кражей данных, извлечением финансовой выгоды и разрушением корпоративных сетей. Вредоносный файл представляет собой легитимный установщик приложения CyberLink, который был модифицирован и содержит вредоносный код, загружающий, расшифровывающий и загружающий полезную нагрузку второго этапа.
Компания Microsoft предприняла меры по защите клиентов от этой вредоносной активности: сообщила CyberLink о нарушении цепочки поставок, уведомила клиентов Microsoft Defender for Endpoint, сообщила об атаке на GitHub и добавила сертификат CyberLink Corp., использованный для подписи вредоносного файла, в список запрещенных сертификатов. Microsoft Defender for Endpoint обнаруживает вредоносную активность как группу активности Diamond Sleet, а антивирус Microsoft Defender обнаруживает вредоносную программу как Trojan:Win32/LambLoad.
LambLoad - это загрузчик, содержащий вредоносный код, добавленный к легитимному приложению CyberLink. Он предназначен для атак на среды, не оснащенные программным обеспечением безопасности, связанным с FireEye, CrowdStrike или Tanium, путем проверки наличия следующих имен процессов. Если эти критерии соблюдены, вредоносный код пытается обратиться к одному из трех URL-адресов для загрузки полезной нагрузки второго этапа, встроенной в файл, маскирующийся под PNG-файл. Оба домена являются легитимными, но были скомпрометированы программой Diamond Sleet.
Чтобы статически восстановить полезную нагрузку в памяти для независимого анализа, можно использовать следующий сценарий Python для расшифровки вырезанного содержимого. Антивирус Microsoft Defender обнаруживает компоненты угрозы в виде следующих вредоносных программ и предоставляет отчеты в продуктах Microsoft, чтобы помочь клиентам быть в курсе информации об участнике угрозы, вредоносной активности и рекомендуемых действиях по предотвращению, смягчению или реагированию на связанные угрозы.
Diamond Sleet был связан с деятельностью, отслеживаемой другими компаниями безопасности, такими как Temp.Hermit и Labyrinth Chollima, и известен тем, что использует различные пользовательские вредоносные программы, характерные только для этой группы. Microsoft заметила подозрительную активность, связанную с модифицированным файлом установщика CyberLink, еще 20 октября 2023 года и продолжит расследование и мониторинг ситуации.
#ParsedReport #CompletenessLow
27-11-2023
Malicious code created by North Korean hacking group APT37 Reaper - November 2023 Claim Details.html
https://wezard4u-tistory-com.translate.goog/6661?_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=ru&_x_tr_pto=wapp
Report completeness: Low
Actors/Campaigns:
Scarcruft (motivation: cyber_espionage)
Threats:
Rokrat
Amadey
Abrisk
Victims:
Government, Military, Large corporations, Human rights organizations, Companies in japan, vietnam, the middle east, and other regions
Industry:
Chemical, Healthcare, Military, Aerospace, Government
Geo:
Japan, Korea, Korean, Vietnam
IOCs:
File: 2
Hash: 6
Soft:
Squid, Microsoft Office
Algorithms:
sha256, sha1, xor, zip, md5
Languages:
powershell
27-11-2023
Malicious code created by North Korean hacking group APT37 Reaper - November 2023 Claim Details.html
https://wezard4u-tistory-com.translate.goog/6661?_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=ru&_x_tr_pto=wapp
Report completeness: Low
Actors/Campaigns:
Scarcruft (motivation: cyber_espionage)
Threats:
Rokrat
Amadey
Abrisk
Victims:
Government, Military, Large corporations, Human rights organizations, Companies in japan, vietnam, the middle east, and other regions
Industry:
Chemical, Healthcare, Military, Aerospace, Government
Geo:
Japan, Korea, Korean, Vietnam
IOCs:
File: 2
Hash: 6
Soft:
Squid, Microsoft Office
Algorithms:
sha256, sha1, xor, zip, md5
Languages:
powershell
꿈을꾸는 파랑새
북한 해킹 단체 APT37 Reaper(리퍼)에서 만든 악성코드-2023년 11월 청구내역.html(2023.11.07)
오늘은 북한 해킹 단체 APT37 Reaper(리퍼)에서 만든 악성코드 인 2023년 11월 청구내역.html(2023.11.07)에 대해 알아보겠습니다. Reaper 또는 Group123 이라고 부르고 있고 Reaper(리퍼) 라고 부르는 APT 공격 단체이며 2012년부터 활동을 시작했고 정보 수집, 정찰 및 사이버 스파이 활동을 목적으로 하며, 정부, 군사, 대기업, 인권 단체를 대상으로 하고 있으며 즉 한국의 외교 및 국내 문제에 초점이 맞추어져…
CTT Report Hub
#ParsedReport #CompletenessLow 27-11-2023 Malicious code created by North Korean hacking group APT37 Reaper - November 2023 Claim Details.html https://wezard4u-tistory-com.translate.goog/6661?_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=ru&_x_tr_pto=wapp Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Северокорейская хакерская группа APT37 Reaper, также известная как Reaper или Group123, - активная группа APT-атак, направленная на правительственные, военные, крупные корпорации и правозащитные организации с целью сбора информации, разведки и кибершпионажа. Для кражи учетных данных, утечки информации, захвата скриншотов, управления файлами и каталогами они используют вредоносный код, например RokRAT, Amadey, и сжатые файлы.
-----
November 2023 Claim Details.html - это вредоносный код, созданный северокорейской хакерской группой APT37 Reaper, также известной как Reaper или Group123. Эта APT-группа впервые начала свою деятельность в 2012 году с целью сбора информации, разведки и кибершпионажа. Ее объектами являются правительство, военные, крупные корпорации и правозащитные организации. В центре ее внимания находятся дипломатические и внутренние проблемы Кореи, а также компании в Японии, Вьетнаме, на Ближнем Востоке и в других регионах с целью кражи секретов компаний, например, в химической, электронной, производственной, аэрокосмической, автомобильной и медицинской промышленности. Они действуют под различными названиями, такими как APT37, Inky Squid, RedEyes, ScarCruft и Ricochet Chollima.
RokRAT не использует значение макроса по умолчанию в Microsoft Office и в последнее время распространяется в формате lnk-файлов, чтобы убедиться, что слабая атака через макросы не работает из-за повышения осведомленности пользователей. Он используется для кражи учетных данных, утечки информации, захвата скриншотов, сбора системной информации, выполнения команд и шелл-кода, управления файлами и каталогами. Reaper часто использует сервисы облачного хранения данных для C2.
При анализе цепочки заражения ROKRAT характерно использование аналогичной цепочки, распространяющей коммерческую RAT Amadey, продаваемую на подпольных форумах. Например, в ноябре 2023 года она распространяется под именем billing details.zip. Атака начинается с файла-приманки HWP, который берется с сайта Национальной ассамблеи, далее следуют сжатый файл, lnk-файл-приманка, запуск PowerShell и vbs-скрипт для кражи персональных данных.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Северокорейская хакерская группа APT37 Reaper, также известная как Reaper или Group123, - активная группа APT-атак, направленная на правительственные, военные, крупные корпорации и правозащитные организации с целью сбора информации, разведки и кибершпионажа. Для кражи учетных данных, утечки информации, захвата скриншотов, управления файлами и каталогами они используют вредоносный код, например RokRAT, Amadey, и сжатые файлы.
-----
November 2023 Claim Details.html - это вредоносный код, созданный северокорейской хакерской группой APT37 Reaper, также известной как Reaper или Group123. Эта APT-группа впервые начала свою деятельность в 2012 году с целью сбора информации, разведки и кибершпионажа. Ее объектами являются правительство, военные, крупные корпорации и правозащитные организации. В центре ее внимания находятся дипломатические и внутренние проблемы Кореи, а также компании в Японии, Вьетнаме, на Ближнем Востоке и в других регионах с целью кражи секретов компаний, например, в химической, электронной, производственной, аэрокосмической, автомобильной и медицинской промышленности. Они действуют под различными названиями, такими как APT37, Inky Squid, RedEyes, ScarCruft и Ricochet Chollima.
RokRAT не использует значение макроса по умолчанию в Microsoft Office и в последнее время распространяется в формате lnk-файлов, чтобы убедиться, что слабая атака через макросы не работает из-за повышения осведомленности пользователей. Он используется для кражи учетных данных, утечки информации, захвата скриншотов, сбора системной информации, выполнения команд и шелл-кода, управления файлами и каталогами. Reaper часто использует сервисы облачного хранения данных для C2.
При анализе цепочки заражения ROKRAT характерно использование аналогичной цепочки, распространяющей коммерческую RAT Amadey, продаваемую на подпольных форумах. Например, в ноябре 2023 года она распространяется под именем billing details.zip. Атака начинается с файла-приманки HWP, который берется с сайта Национальной ассамблеи, далее следуют сжатый файл, lnk-файл-приманка, запуск PowerShell и vbs-скрипт для кражи персональных данных.
#ParsedReport #CompletenessMedium
27-11-2023
WildCard: The APT Behind SysJoker Targets Critical Sectors in Israel
https://intezer.com/blog/research/wildcard-evolution-of-sysjoker-cyber-threat
Report completeness: Medium
Actors/Campaigns:
Wildcard
Electric_powder
Threats:
Sysjoker
Rustdown
Dead_drop_technique
Victims:
Israeli educational institution, israeli electric corporation (iec)
Industry:
Energy, Education
Geo:
Israeli, Iranian, Israel
IOCs:
Path: 2
Url: 3
Hash: 5
IP: 1
Domain: 3
Soft:
macOS
Algorithms:
zip, base64, xor
Languages:
php, powershell, rust, typescript
27-11-2023
WildCard: The APT Behind SysJoker Targets Critical Sectors in Israel
https://intezer.com/blog/research/wildcard-evolution-of-sysjoker-cyber-threat
Report completeness: Medium
Actors/Campaigns:
Wildcard
Electric_powder
Threats:
Sysjoker
Rustdown
Dead_drop_technique
Victims:
Israeli educational institution, israeli electric corporation (iec)
Industry:
Energy, Education
Geo:
Israeli, Iranian, Israel
IOCs:
Path: 2
Url: 3
Hash: 5
IP: 1
Domain: 3
Soft:
macOS
Algorithms:
zip, base64, xor
Languages:
php, powershell, rust, typescript
Intezer
WildCard: The APT Behind SysJoker Targets Critical Sectors in Israel
Our research team has identified a new APT group, dubbed "WildCard," initially detected through its use of the SysJoker malware.
CTT Report Hub
#ParsedReport #CompletenessMedium 27-11-2023 WildCard: The APT Behind SysJoker Targets Critical Sectors in Israel https://intezer.com/blog/research/wildcard-evolution-of-sysjoker-cyber-threat Report completeness: Medium Actors/Campaigns: Wildcard Electric_powder…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: WildCard - это группа постоянных угроз, которая с 2021 года атакует израильские критически важные сектора, используя сложные варианты вредоносного ПО, маскирующиеся под легитимные программы, написанные на языках C++ и Rust. Вероятно, она будет наращивать темп своей деятельности в условиях продолжающейся войны между Израилем и ХАМАС.
-----
WildCard - это недавно выявленная группа постоянных угроз (APT), первоначально обнаруженная благодаря использованию вредоносной программы SysJoker. С 2021 года WildCard атакует критически важные отрасли Израиля, такие как образовательный сектор. Группа создала сложные варианты вредоносных программ, маскирующихся под легитимное ПО и написанных на языках C++ и Rust. Связи с операцией ElectricPowder указывают на продвинутый уровень возможностей и сложности.
WildCard атакует машины под управлением Windows, macOS и Linux. WildCard создал варианты, маскирующиеся под программы DMAdevice и AppMessagingRegistrar, написанные на языке C++. Кроме того, она разработала вредоносное ПО на языке Rust под названием RustDown. Вредоносная программа представляет собой 32-разрядный исполняемый файл для Windows, маскирующийся под компонент фреймворка PHP. WildCard использует фишинговые кампании, чтобы убедить жертв загрузить свое вредоносное ПО, и использует популярные общедоступные сервисы, такие как GDrive и OneDrive, для поддержания связи со своим C2 в качестве dead drop resolvers.
Анализ RustDown показывает, что он разделяет тактику, используемую WildCard в SysJoker и его вариантах, и что одна и та же специфическая строка деобфусцируется во время выполнения и используется для установления персистентности. Это позволяет предположить наличие связи между разработкой, продолжавшейся почти четыре года и объединяющей различные операции WildCard. Кроме того, было обнаружено, что WildCard использует геозонирование своей системы C2, чтобы отвечать только на IP-адреса из Израиля, что еще больше подтверждает гипотезу о том, что эта группа нацелена на израильские критически важные сектора.
WildCard, скорее всего, увеличит темп своей деятельности в соответствии с текущим конфликтом между Израилем и ХАМАС. Продолжая следить за ситуацией с угрозами, связанными с продолжающейся войной между Израилем и ХАМАС, важно подчеркнуть существование нетрадиционных угроз, таких как WildCard, которые остаются незамеченными. Несмотря на то, что эта APT-группа повторно применяет модели поведения, позволяющие избежать обнаружения, она продолжает активно действовать, постоянно атакуя такие критически важные для Израиля отрасли, как образование, ИТ-инфраструктура и, возможно, электроэнергетика.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: WildCard - это группа постоянных угроз, которая с 2021 года атакует израильские критически важные сектора, используя сложные варианты вредоносного ПО, маскирующиеся под легитимные программы, написанные на языках C++ и Rust. Вероятно, она будет наращивать темп своей деятельности в условиях продолжающейся войны между Израилем и ХАМАС.
-----
WildCard - это недавно выявленная группа постоянных угроз (APT), первоначально обнаруженная благодаря использованию вредоносной программы SysJoker. С 2021 года WildCard атакует критически важные отрасли Израиля, такие как образовательный сектор. Группа создала сложные варианты вредоносных программ, маскирующихся под легитимное ПО и написанных на языках C++ и Rust. Связи с операцией ElectricPowder указывают на продвинутый уровень возможностей и сложности.
WildCard атакует машины под управлением Windows, macOS и Linux. WildCard создал варианты, маскирующиеся под программы DMAdevice и AppMessagingRegistrar, написанные на языке C++. Кроме того, она разработала вредоносное ПО на языке Rust под названием RustDown. Вредоносная программа представляет собой 32-разрядный исполняемый файл для Windows, маскирующийся под компонент фреймворка PHP. WildCard использует фишинговые кампании, чтобы убедить жертв загрузить свое вредоносное ПО, и использует популярные общедоступные сервисы, такие как GDrive и OneDrive, для поддержания связи со своим C2 в качестве dead drop resolvers.
Анализ RustDown показывает, что он разделяет тактику, используемую WildCard в SysJoker и его вариантах, и что одна и та же специфическая строка деобфусцируется во время выполнения и используется для установления персистентности. Это позволяет предположить наличие связи между разработкой, продолжавшейся почти четыре года и объединяющей различные операции WildCard. Кроме того, было обнаружено, что WildCard использует геозонирование своей системы C2, чтобы отвечать только на IP-адреса из Израиля, что еще больше подтверждает гипотезу о том, что эта группа нацелена на израильские критически важные сектора.
WildCard, скорее всего, увеличит темп своей деятельности в соответствии с текущим конфликтом между Израилем и ХАМАС. Продолжая следить за ситуацией с угрозами, связанными с продолжающейся войной между Израилем и ХАМАС, важно подчеркнуть существование нетрадиционных угроз, таких как WildCard, которые остаются незамеченными. Несмотря на то, что эта APT-группа повторно применяет модели поведения, позволяющие избежать обнаружения, она продолжает активно действовать, постоянно атакуя такие критически важные для Израиля отрасли, как образование, ИТ-инфраструктура и, возможно, электроэнергетика.
#ParsedReport #CompletenessMedium
27-11-2023
DPRK Crypto Theft \| macOS RustBucket Droppers Pivot to Deliver KandyKorn Payloads
https://www.sentinelone.com/blog/dprk-crypto-theft-macos-rustbucket-droppers-pivot-to-deliver-kandykorn-payloads
Report completeness: Medium
Threats:
Rustbucket
Kandykorn
Objcshellz
Swiftloader
Findertools
Sugarloader
Hloader
Applescript
Bazarbackdoor
Industry:
Financial
Geo:
Korean, Dprk
IOCs:
File: 4
Url: 5
IP: 1
Hash: 24
Soft:
macOS, Discord, curl
Algorithms:
zip, xor, sha1
Functions:
system
Languages:
python, objective_c, rust
Platforms:
intel, apple, cross-platform
27-11-2023
DPRK Crypto Theft \| macOS RustBucket Droppers Pivot to Deliver KandyKorn Payloads
https://www.sentinelone.com/blog/dprk-crypto-theft-macos-rustbucket-droppers-pivot-to-deliver-kandykorn-payloads
Report completeness: Medium
Threats:
Rustbucket
Kandykorn
Objcshellz
Swiftloader
Findertools
Sugarloader
Hloader
Applescript
Bazarbackdoor
Industry:
Financial
Geo:
Korean, Dprk
IOCs:
File: 4
Url: 5
IP: 1
Hash: 24
Soft:
macOS, Discord, curl
Algorithms:
zip, xor, sha1
Functions:
system
Languages:
python, objective_c, rust
Platforms:
intel, apple, cross-platform
SentinelOne
DPRK Crypto Theft | macOS RustBucket Droppers Pivot to Deliver KandyKorn Payloads
Two apparently separate North Korean crypto theft campaigns targeting macOS users appear to be linked as threat actors mix and match droppers and payloads.