CTT Report Hub
3.41K subscribers
9.66K photos
6 videos
67 files
13.3K links
Threat Intelligence Report Hub
Download Telegram
CTT Report Hub
#ParsedReport #CompletenessMedium 23-11-2023 Israel-Hamas War Spotlight: Shaking the Rust Off SysJoker https://research.checkpoint.com/2023/israel-hamas-war-spotlight-shaking-the-rust-off-sysjoker Report completeness: Medium Actors/Campaigns: Molerats…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея заключается в том, что Check Point Research обнаружила эволюцию SysJoker, многоплатформенного бэкдора, используемого APT, связанной с ХАМАС, и его связь с ранее не раскрытой операцией Electric Powder. Check Point Research активно отслеживает и устраняет соответствующие региональные угрозы в войне между Израилем и ХАМАС.
-----

Check Point Research активно следит за развитием SysJoker, многоплатформенного бэкдора, который использовался APT, связанной с ХАМАС, для атак на Израиль. Анализ новых обнаруженных вариантов SysJoker показал их связь с ранее не раскрывавшейся операцией Electric Powder. Напряженная ситуация, сложившаяся в ходе войны между Израилем и ХАМАС, побудила Check Point к активному поиску угроз с целью обнаружения, атрибуции и смягчения последствий соответствующих региональных угроз.

В октябре 2023 года на VirusTotal был представлен вариант SysJoker, написанный на языке Rust. Это говорит о том, что код вредоносной программы был полностью переписан, но при этом сохранил схожие функциональные возможности. В дополнение к версии на языке Rust были обнаружены еще два образца SysJoker, которые были несколько сложнее версии на языке Rust и всех ранее проанализированных образцов.

Один из примеров, скомпилированный в мае 2022 года, использует простой метод XOR-дешифрования, а другой, скомпилированный в июне 2022 года, использует отдельный загрузчик, инсталлятор и DLL-библиотеку полезной нагрузки. Оба образца обращаются к URL-адресу OneDrive для получения адреса сервера C2.

Инфраструктура, используемая в данной кампании, настраивается динамически. После расшифровки JSON, содержащего адрес C2, вредоносная программа переходит к процессу выполнения. Вредоносная программа собирает информацию о зараженной системе, загружает zip-архив с указанного URL, связывается с C2-сервером и запускает функцию st с параметрами, присланными с сервера.

Одна и та же команда PowerShell, основанная на WMI-классе StdRegProv, используется в нескольких вариантах SysJoker и, похоже, только в одной другой кампании, связанной с операцией "Электрический порошок". Это позволяет сделать вывод о том, что за обе атаки отвечает один и тот же агент, несмотря на большой временной разрыв между операциями.

Клиенты Check Point остаются защищенными от атак, описанных в данном отчете, используя Check Point Anti-Bot, Harmony Endpoint и Threat Emulation. Благодаря активной работе по поиску угроз Check Point Research удалось обнаружить эволюцию SysJoker и его связь с APT, связанной с ХАМАС.
#ParsedReport #CompletenessMedium
23-11-2023

Unveiling Parallax RAT: A Journey from Infection to Lateral Movement

https://www.esentire.com/blog/unveiling-parallax-rat-a-journey-from-infection-to-lateral-movement

Report completeness: Medium

Threats:
Parallax_rat
Netsupportmanager_rat

Geo:
South africa, American samoa, Uganda, Emea

ChatGPT TTPs:
do not use without manual check
T1036.003, T1041, T1059.003, T1086, T1140, T1071, T1078, T1098, T1204, T1543, have more...

IOCs:
File: 5
Path: 2
Hash: 2
Url: 1
Domain: 5
IP: 1

Soft:
psexec, microsoft macro assembler, chrome, outlook

Algorithms:
rc4

Platforms:
x64, x86
CTT Report Hub
#ParsedReport #CompletenessMedium 23-11-2023 Unveiling Parallax RAT: A Journey from Infection to Lateral Movement https://www.esentire.com/blog/unveiling-parallax-rat-a-journey-from-infection-to-lateral-movement Report completeness: Medium Threats: Parallax_rat…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Parallax RAT был использован для получения доступа к контроллеру домена и достижения постоянства на хосте в течение 2 часов. Он использует методы уклонения для обфускации своего кода и сейчас находится в свободном доступе.
-----

Подразделение eSentire Threat Response Unit (TRU) специализируется на оказании помощи организациям в обеспечении устойчивости к известным и неизвестным угрозам. В октябре 2023 года на контроллере домена был обнаружен подозрительный VBS-сценарий, запускающий NetSupport RAT. Сценарий запускал файл client32.exe, являющийся разновидностью NetSupportRAT, из папки c:\programdata\VMware\VMware Tools\. Затем Parallax RAT использовался для развертывания PsExec, легкого telnet-заменителя, на первой зараженной машине. Затем PsExec использовался для перемещения на контроллер домена.

Parallax RAT появился на хакерских форумах в 2019 году и получил широкую известность благодаря широкому спектру возможностей, таких как кейлоггинг, кража паролей, захват скриншотов, возможность загрузки и выполнения файлов, утечка файлов из файлового менеджера и удаленное управление. Последняя версия Parallax RAT - 1.0.7. Однако в 2020 году разработчики проекта Parallax RAT приняли решение о его закрытии по личным причинам. Несмотря на закрытие проекта, вредоносная программа находится в свободном доступе. Parallax RAT использует такие методы обхода, как шифрование RC4 для сокрытия имен загружаемых DLL-библиотек и своей конфигурации, а также меры защиты от дизассемблирования, например инструкции безусловного перехода, для обфусцирования своего кода.

Угрожающий агент, использовавший Parallax RAT, смог доставить вредоносную программу на первую зараженную машину путем загрузки с диска, когда пользователь искал VPN-клиент Fortinet через поиск Bing. Затем вредоносная программа была использована для латерального перемещения с начальной машины на контроллер домена в течение 2 часов. Для обеспечения устойчивости на хосте Parallax RAT был помещен в папку Startup и переименован в исполняемый файл, а также сброшен и запущен NetSupportRAT на контроллере домена.
#ParsedReport #CompletenessMedium
24-11-2023

APT Profile: Volt Typhoon

https://socradar.io/apt-profile-volt-typhoon

Report completeness: Medium

Actors/Campaigns:
Volt_typhoon (motivation: cyber_espionage)

Threats:
Spear-phishing_technique
Credential_harvesting_technique
Lolbin_technique
Credential_dumping_technique

Victims:
Military installations, defense contractors, research institutions, energy sectors, power grids, oil & gas installations, telecommunication sectors, transportation, water supply, healthcare

Industry:
Healthcare, Transport, Petroleum, Energy, Government, Military, Telco

Geo:
Asia, Asian, China, Chinese

CVEs:
CVE-2021-27860 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- fatpipeinc ipvpn firmware (5.2.0, 6.1.2, 7.1.2, 9.1.2, 10.1.2, 10.2.2)
- fatpipeinc warp firmware (5.2.0, 6.1.2, 7.1.2, 9.1.2, 10.1.2, 10.2.2)
- fatpipeinc mpvpn firmware (5.2.0, 6.1.2, 7.1.2, 9.1.2, 10.1.2, 10.2.2)

CVE-2023-27350 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- papercut papercut ng (<20.1.7, <21.2.11, <22.0.9)
- papercut papercut mf (<22.0.9, <21.2.11, <20.1.7)

CVE-2021-40539 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- zohocorp manageengine adselfservice plus (5.7, 5.0, 5.1, 5.2, 5.3, 5.4, 5.5, 5.6, 4.5, 5.8, 6.0, 6.1, 5.0.6)


TTPs:
Tactics: 8
Technics: 31

IOCs:
IP: 3
Hash: 5

Soft:
papercut

Algorithms:
exhibit
CTT Report Hub
#ParsedReport #CompletenessMedium 24-11-2023 APT Profile: Volt Typhoon https://socradar.io/apt-profile-volt-typhoon Report completeness: Medium Actors/Campaigns: Volt_typhoon (motivation: cyber_espionage) Threats: Spear-phishing_technique Credential_…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что "Вольт Тайфун" - сложная государственная группировка перспективных постоянных угроз (APT), основной целью которой является сбор разведданных, и которая провела множество киберкампаний, направленных против государственных и частных структур. Они представляют собой значительную угрозу глобальной кибербезопасности, поэтому государствам, организациям и частным лицам необходимо осознать эту угрозу и принять проактивные меры для защиты своих цифровых активов и интересов.
-----

Volt Typhoon - это сложная государственная группа перспективных постоянных угроз (APT), истоки которой, как предполагается, находятся в Китае. В течение последних нескольких лет ее кибернетическая деятельность тщательно отслеживалась и документировалась различными компаниями, занимающимися вопросами кибербезопасности, разведывательными службами и государственными органами по всему миру. Их основной целью является сбор разведданных, причем интерес проявляется как к государственному, так и к частному сектору.

Для проникновения в системы злоумышленников используются, в первую очередь, фишинговые письма, предназначенные для привлечения конкретных людей или отделов организации. Они также использовали такие уязвимости, как Zoho Management (CVE-2021-27860 и CVE-2021-40539) и Papercut (CVE-2023-27350). Кроме того, Volt Typhoon разработала целый ряд собственных вредоносных программ, предназначенных для решения конкретных задач - от поддержания персистентности на скомпрометированной системе до эксфильтрации данных. Попадая в сеть, злоумышленники часто пытаются собрать учетные данные, которые могут быть использованы для перемещения по сети, получения доступа к другим системам и повышения привилегий.

Целевая структура Volt Typhoon демонстрирует стратегический подход, ориентированный на объекты, которые могут предоставить им ценные разведданные или обеспечить геополитические преимущества. Объектами атак являются различные отрасли и регионы, включая оборонную промышленность, энергетику, телекоммуникации и критически важную инфраструктуру. США остаются главной целью "Вольта Тайфуна", однако его деятельность не ограничивается одним регионом. Судя по имеющимся данным, они действуют в различных частях Европы, Азии и других регионах.

Деятельность Volt Typhoon оставила значительный след в глобальной кибербезопасности. Среди известных операций - проникновение в критически важную инфраструктуру США, шпионские кампании, направленные на оборонные организации, государственные структуры и частный сектор, а также атака на национальную сеть в одной из азиатских стран.

Проводимые государством киберкампании Volt Typhoon высветили сложный и развивающийся характер киберугроз. В условиях, когда государства используют передовые кибервозможности для шпионажа, влияния и потенциального саботажа, задачи защитников становятся как никогда актуальными. Поэтому государствам, организациям и частным лицам необходимо осознать угрозу, которую они представляют, и принять проактивные меры для защиты своих цифровых активов и интересов.
Forwarded from Ralf Hacker Channel (Ralf Hacker)
Давно думал, публиковать свой софт или нет... Вот и решил для начала переписать Rubeus (не весь конечно) на C и перевести в COF файлы. В общем, из коробки работает с Cobalt Strike и Havoc😁😁

https://github.com/RalfHacker/Kerbeus-BOF

#bof #git #soft #redteam #pentest
#ParsedReport #CompletenessMedium
24-11-2023

Diamond Sleet supply chain compromise distributes a modified CyberLink installer

https://www.microsoft.com/en-us/security/blog/2023/11/22/diamond-sleet-supply-chain-compromise-distributes-a-modified-cyberlink-installer

Report completeness: Medium

Actors/Campaigns:
Lazarus (motivation: cyber_espionage, financially_motivated)

Threats:
Supply_chain_technique
Lambload

Geo:
Japan, Canada, Korea, Taiwan, Korean

ChatGPT TTPs:
do not use without manual check
T1117, T1105, T1036, T1082, T1191, T1218, T1497, T1086

IOCs:
File: 6
Hash: 5
Url: 8

Soft:
Microsoft Defender, Microsoft Defender for Endpoint, Internet Explorer

Algorithms:
sha256, sha2

Languages:
python

Links:
https://docs.github.com/en/site-policy/acceptable-use-policies/github-active-malware-or-exploits
CTT Report Hub
#ParsedReport #CompletenessMedium 24-11-2023 Diamond Sleet supply chain compromise distributes a modified CyberLink installer https://www.microsoft.com/en-us/security/blog/2023/11/22/diamond-sleet-supply-chain-compromise-distributes-a-modified-cyberlink…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея этого текста заключается в том, что компания Microsoft обнаружила и сообщила о вредоносной атаке на цепочку поставок, приписываемой группе Diamond Sleet, базирующейся в Северной Корее, и предприняла меры по защите клиентов от этой вредоносной активности. Также приводится подробная информация о вредоносном коде, скомпрометированных доменах, компонентах обнаружения и временной шкале активности.
-----

Группа аналитики угроз Microsoft недавно обнаружила и сообщила о вредоносной атаке на цепочки поставок, которая затронула более 100 устройств в разных странах. Вредоносная активность была приписана группе Diamond Sleet, базирующейся в Северной Корее и занимающейся шпионажем, кражей данных, извлечением финансовой выгоды и разрушением корпоративных сетей. Вредоносный файл представляет собой легитимный установщик приложения CyberLink, который был модифицирован и содержит вредоносный код, загружающий, расшифровывающий и загружающий полезную нагрузку второго этапа.

Компания Microsoft предприняла меры по защите клиентов от этой вредоносной активности: сообщила CyberLink о нарушении цепочки поставок, уведомила клиентов Microsoft Defender for Endpoint, сообщила об атаке на GitHub и добавила сертификат CyberLink Corp., использованный для подписи вредоносного файла, в список запрещенных сертификатов. Microsoft Defender for Endpoint обнаруживает вредоносную активность как группу активности Diamond Sleet, а антивирус Microsoft Defender обнаруживает вредоносную программу как Trojan:Win32/LambLoad.

LambLoad - это загрузчик, содержащий вредоносный код, добавленный к легитимному приложению CyberLink. Он предназначен для атак на среды, не оснащенные программным обеспечением безопасности, связанным с FireEye, CrowdStrike или Tanium, путем проверки наличия следующих имен процессов. Если эти критерии соблюдены, вредоносный код пытается обратиться к одному из трех URL-адресов для загрузки полезной нагрузки второго этапа, встроенной в файл, маскирующийся под PNG-файл. Оба домена являются легитимными, но были скомпрометированы программой Diamond Sleet.

Чтобы статически восстановить полезную нагрузку в памяти для независимого анализа, можно использовать следующий сценарий Python для расшифровки вырезанного содержимого. Антивирус Microsoft Defender обнаруживает компоненты угрозы в виде следующих вредоносных программ и предоставляет отчеты в продуктах Microsoft, чтобы помочь клиентам быть в курсе информации об участнике угрозы, вредоносной активности и рекомендуемых действиях по предотвращению, смягчению или реагированию на связанные угрозы.

Diamond Sleet был связан с деятельностью, отслеживаемой другими компаниями безопасности, такими как Temp.Hermit и Labyrinth Chollima, и известен тем, что использует различные пользовательские вредоносные программы, характерные только для этой группы. Microsoft заметила подозрительную активность, связанную с модифицированным файлом установщика CyberLink, еще 20 октября 2023 года и продолжит расследование и мониторинг ситуации.
#ParsedReport #CompletenessLow
27-11-2023

Malicious code created by North Korean hacking group APT37 Reaper - November 2023 Claim Details.html

https://wezard4u-tistory-com.translate.goog/6661?_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=ru&_x_tr_pto=wapp

Report completeness: Low

Actors/Campaigns:
Scarcruft (motivation: cyber_espionage)

Threats:
Rokrat
Amadey
Abrisk

Victims:
Government, Military, Large corporations, Human rights organizations, Companies in japan, vietnam, the middle east, and other regions

Industry:
Chemical, Healthcare, Military, Aerospace, Government

Geo:
Japan, Korea, Korean, Vietnam

IOCs:
File: 2
Hash: 6

Soft:
Squid, Microsoft Office

Algorithms:
sha256, sha1, xor, zip, md5

Languages:
powershell
CTT Report Hub
#ParsedReport #CompletenessLow 27-11-2023 Malicious code created by North Korean hacking group APT37 Reaper - November 2023 Claim Details.html https://wezard4u-tistory-com.translate.goog/6661?_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=ru&_x_tr_pto=wapp Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Северокорейская хакерская группа APT37 Reaper, также известная как Reaper или Group123, - активная группа APT-атак, направленная на правительственные, военные, крупные корпорации и правозащитные организации с целью сбора информации, разведки и кибершпионажа. Для кражи учетных данных, утечки информации, захвата скриншотов, управления файлами и каталогами они используют вредоносный код, например RokRAT, Amadey, и сжатые файлы.
-----

November 2023 Claim Details.html - это вредоносный код, созданный северокорейской хакерской группой APT37 Reaper, также известной как Reaper или Group123. Эта APT-группа впервые начала свою деятельность в 2012 году с целью сбора информации, разведки и кибершпионажа. Ее объектами являются правительство, военные, крупные корпорации и правозащитные организации. В центре ее внимания находятся дипломатические и внутренние проблемы Кореи, а также компании в Японии, Вьетнаме, на Ближнем Востоке и в других регионах с целью кражи секретов компаний, например, в химической, электронной, производственной, аэрокосмической, автомобильной и медицинской промышленности. Они действуют под различными названиями, такими как APT37, Inky Squid, RedEyes, ScarCruft и Ricochet Chollima.

RokRAT не использует значение макроса по умолчанию в Microsoft Office и в последнее время распространяется в формате lnk-файлов, чтобы убедиться, что слабая атака через макросы не работает из-за повышения осведомленности пользователей. Он используется для кражи учетных данных, утечки информации, захвата скриншотов, сбора системной информации, выполнения команд и шелл-кода, управления файлами и каталогами. Reaper часто использует сервисы облачного хранения данных для C2.

При анализе цепочки заражения ROKRAT характерно использование аналогичной цепочки, распространяющей коммерческую RAT Amadey, продаваемую на подпольных форумах. Например, в ноябре 2023 года она распространяется под именем billing details.zip. Атака начинается с файла-приманки HWP, который берется с сайта Национальной ассамблеи, далее следуют сжатый файл, lnk-файл-приманка, запуск PowerShell и vbs-скрипт для кражи персональных данных.
#ParsedReport #CompletenessMedium
27-11-2023

WildCard: The APT Behind SysJoker Targets Critical Sectors in Israel

https://intezer.com/blog/research/wildcard-evolution-of-sysjoker-cyber-threat

Report completeness: Medium

Actors/Campaigns:
Wildcard
Electric_powder

Threats:
Sysjoker
Rustdown
Dead_drop_technique

Victims:
Israeli educational institution, israeli electric corporation (iec)

Industry:
Energy, Education

Geo:
Israeli, Iranian, Israel

IOCs:
Path: 2
Url: 3
Hash: 5
IP: 1
Domain: 3

Soft:
macOS

Algorithms:
zip, base64, xor

Languages:
php, powershell, rust, typescript
CTT Report Hub
#ParsedReport #CompletenessMedium 27-11-2023 WildCard: The APT Behind SysJoker Targets Critical Sectors in Israel https://intezer.com/blog/research/wildcard-evolution-of-sysjoker-cyber-threat Report completeness: Medium Actors/Campaigns: Wildcard Electric_powder…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: WildCard - это группа постоянных угроз, которая с 2021 года атакует израильские критически важные сектора, используя сложные варианты вредоносного ПО, маскирующиеся под легитимные программы, написанные на языках C++ и Rust. Вероятно, она будет наращивать темп своей деятельности в условиях продолжающейся войны между Израилем и ХАМАС.
-----

WildCard - это недавно выявленная группа постоянных угроз (APT), первоначально обнаруженная благодаря использованию вредоносной программы SysJoker. С 2021 года WildCard атакует критически важные отрасли Израиля, такие как образовательный сектор. Группа создала сложные варианты вредоносных программ, маскирующихся под легитимное ПО и написанных на языках C++ и Rust. Связи с операцией ElectricPowder указывают на продвинутый уровень возможностей и сложности.

WildCard атакует машины под управлением Windows, macOS и Linux. WildCard создал варианты, маскирующиеся под программы DMAdevice и AppMessagingRegistrar, написанные на языке C++. Кроме того, она разработала вредоносное ПО на языке Rust под названием RustDown. Вредоносная программа представляет собой 32-разрядный исполняемый файл для Windows, маскирующийся под компонент фреймворка PHP. WildCard использует фишинговые кампании, чтобы убедить жертв загрузить свое вредоносное ПО, и использует популярные общедоступные сервисы, такие как GDrive и OneDrive, для поддержания связи со своим C2 в качестве dead drop resolvers.

Анализ RustDown показывает, что он разделяет тактику, используемую WildCard в SysJoker и его вариантах, и что одна и та же специфическая строка деобфусцируется во время выполнения и используется для установления персистентности. Это позволяет предположить наличие связи между разработкой, продолжавшейся почти четыре года и объединяющей различные операции WildCard. Кроме того, было обнаружено, что WildCard использует геозонирование своей системы C2, чтобы отвечать только на IP-адреса из Израиля, что еще больше подтверждает гипотезу о том, что эта группа нацелена на израильские критически важные сектора.

WildCard, скорее всего, увеличит темп своей деятельности в соответствии с текущим конфликтом между Израилем и ХАМАС. Продолжая следить за ситуацией с угрозами, связанными с продолжающейся войной между Израилем и ХАМАС, важно подчеркнуть существование нетрадиционных угроз, таких как WildCard, которые остаются незамеченными. Несмотря на то, что эта APT-группа повторно применяет модели поведения, позволяющие избежать обнаружения, она продолжает активно действовать, постоянно атакуя такие критически важные для Израиля отрасли, как образование, ИТ-инфраструктура и, возможно, электроэнергетика.
#ParsedReport #CompletenessMedium
27-11-2023

DPRK Crypto Theft \| macOS RustBucket Droppers Pivot to Deliver KandyKorn Payloads

https://www.sentinelone.com/blog/dprk-crypto-theft-macos-rustbucket-droppers-pivot-to-deliver-kandykorn-payloads

Report completeness: Medium

Threats:
Rustbucket
Kandykorn
Objcshellz
Swiftloader
Findertools
Sugarloader
Hloader
Applescript
Bazarbackdoor

Industry:
Financial

Geo:
Korean, Dprk

IOCs:
File: 4
Url: 5
IP: 1
Hash: 24

Soft:
macOS, Discord, curl

Algorithms:
zip, xor, sha1

Functions:
system

Languages:
python, objective_c, rust

Platforms:
intel, apple, cross-platform