Forwarded from Ralf Hacker Channel (Ralf Hacker)
#ParsedReport #CompletenessMedium
24-11-2023
Diamond Sleet supply chain compromise distributes a modified CyberLink installer
https://www.microsoft.com/en-us/security/blog/2023/11/22/diamond-sleet-supply-chain-compromise-distributes-a-modified-cyberlink-installer
Report completeness: Medium
Actors/Campaigns:
Lazarus (motivation: cyber_espionage, financially_motivated)
Threats:
Supply_chain_technique
Lambload
Geo:
Japan, Canada, Korea, Taiwan, Korean
ChatGPT TTPs:
T1117, T1105, T1036, T1082, T1191, T1218, T1497, T1086
IOCs:
File: 6
Hash: 5
Url: 8
Soft:
Microsoft Defender, Microsoft Defender for Endpoint, Internet Explorer
Algorithms:
sha256, sha2
Languages:
python
Links:
24-11-2023
Diamond Sleet supply chain compromise distributes a modified CyberLink installer
https://www.microsoft.com/en-us/security/blog/2023/11/22/diamond-sleet-supply-chain-compromise-distributes-a-modified-cyberlink-installer
Report completeness: Medium
Actors/Campaigns:
Lazarus (motivation: cyber_espionage, financially_motivated)
Threats:
Supply_chain_technique
Lambload
Geo:
Japan, Canada, Korea, Taiwan, Korean
ChatGPT TTPs:
do not use without manual checkT1117, T1105, T1036, T1082, T1191, T1218, T1497, T1086
IOCs:
File: 6
Hash: 5
Url: 8
Soft:
Microsoft Defender, Microsoft Defender for Endpoint, Internet Explorer
Algorithms:
sha256, sha2
Languages:
python
Links:
https://docs.github.com/en/site-policy/acceptable-use-policies/github-active-malware-or-exploitsMicrosoft News
Diamond Sleet supply chain compromise distributes a modified CyberLink installer
Microsoft has uncovered a supply chain attack by Diamond Sleet involving a malicious variant of an application developed by CyberLink Corp.
CTT Report Hub
#ParsedReport #CompletenessMedium 24-11-2023 Diamond Sleet supply chain compromise distributes a modified CyberLink installer https://www.microsoft.com/en-us/security/blog/2023/11/22/diamond-sleet-supply-chain-compromise-distributes-a-modified-cyberlink…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея этого текста заключается в том, что компания Microsoft обнаружила и сообщила о вредоносной атаке на цепочку поставок, приписываемой группе Diamond Sleet, базирующейся в Северной Корее, и предприняла меры по защите клиентов от этой вредоносной активности. Также приводится подробная информация о вредоносном коде, скомпрометированных доменах, компонентах обнаружения и временной шкале активности.
-----
Группа аналитики угроз Microsoft недавно обнаружила и сообщила о вредоносной атаке на цепочки поставок, которая затронула более 100 устройств в разных странах. Вредоносная активность была приписана группе Diamond Sleet, базирующейся в Северной Корее и занимающейся шпионажем, кражей данных, извлечением финансовой выгоды и разрушением корпоративных сетей. Вредоносный файл представляет собой легитимный установщик приложения CyberLink, который был модифицирован и содержит вредоносный код, загружающий, расшифровывающий и загружающий полезную нагрузку второго этапа.
Компания Microsoft предприняла меры по защите клиентов от этой вредоносной активности: сообщила CyberLink о нарушении цепочки поставок, уведомила клиентов Microsoft Defender for Endpoint, сообщила об атаке на GitHub и добавила сертификат CyberLink Corp., использованный для подписи вредоносного файла, в список запрещенных сертификатов. Microsoft Defender for Endpoint обнаруживает вредоносную активность как группу активности Diamond Sleet, а антивирус Microsoft Defender обнаруживает вредоносную программу как Trojan:Win32/LambLoad.
LambLoad - это загрузчик, содержащий вредоносный код, добавленный к легитимному приложению CyberLink. Он предназначен для атак на среды, не оснащенные программным обеспечением безопасности, связанным с FireEye, CrowdStrike или Tanium, путем проверки наличия следующих имен процессов. Если эти критерии соблюдены, вредоносный код пытается обратиться к одному из трех URL-адресов для загрузки полезной нагрузки второго этапа, встроенной в файл, маскирующийся под PNG-файл. Оба домена являются легитимными, но были скомпрометированы программой Diamond Sleet.
Чтобы статически восстановить полезную нагрузку в памяти для независимого анализа, можно использовать следующий сценарий Python для расшифровки вырезанного содержимого. Антивирус Microsoft Defender обнаруживает компоненты угрозы в виде следующих вредоносных программ и предоставляет отчеты в продуктах Microsoft, чтобы помочь клиентам быть в курсе информации об участнике угрозы, вредоносной активности и рекомендуемых действиях по предотвращению, смягчению или реагированию на связанные угрозы.
Diamond Sleet был связан с деятельностью, отслеживаемой другими компаниями безопасности, такими как Temp.Hermit и Labyrinth Chollima, и известен тем, что использует различные пользовательские вредоносные программы, характерные только для этой группы. Microsoft заметила подозрительную активность, связанную с модифицированным файлом установщика CyberLink, еще 20 октября 2023 года и продолжит расследование и мониторинг ситуации.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея этого текста заключается в том, что компания Microsoft обнаружила и сообщила о вредоносной атаке на цепочку поставок, приписываемой группе Diamond Sleet, базирующейся в Северной Корее, и предприняла меры по защите клиентов от этой вредоносной активности. Также приводится подробная информация о вредоносном коде, скомпрометированных доменах, компонентах обнаружения и временной шкале активности.
-----
Группа аналитики угроз Microsoft недавно обнаружила и сообщила о вредоносной атаке на цепочки поставок, которая затронула более 100 устройств в разных странах. Вредоносная активность была приписана группе Diamond Sleet, базирующейся в Северной Корее и занимающейся шпионажем, кражей данных, извлечением финансовой выгоды и разрушением корпоративных сетей. Вредоносный файл представляет собой легитимный установщик приложения CyberLink, который был модифицирован и содержит вредоносный код, загружающий, расшифровывающий и загружающий полезную нагрузку второго этапа.
Компания Microsoft предприняла меры по защите клиентов от этой вредоносной активности: сообщила CyberLink о нарушении цепочки поставок, уведомила клиентов Microsoft Defender for Endpoint, сообщила об атаке на GitHub и добавила сертификат CyberLink Corp., использованный для подписи вредоносного файла, в список запрещенных сертификатов. Microsoft Defender for Endpoint обнаруживает вредоносную активность как группу активности Diamond Sleet, а антивирус Microsoft Defender обнаруживает вредоносную программу как Trojan:Win32/LambLoad.
LambLoad - это загрузчик, содержащий вредоносный код, добавленный к легитимному приложению CyberLink. Он предназначен для атак на среды, не оснащенные программным обеспечением безопасности, связанным с FireEye, CrowdStrike или Tanium, путем проверки наличия следующих имен процессов. Если эти критерии соблюдены, вредоносный код пытается обратиться к одному из трех URL-адресов для загрузки полезной нагрузки второго этапа, встроенной в файл, маскирующийся под PNG-файл. Оба домена являются легитимными, но были скомпрометированы программой Diamond Sleet.
Чтобы статически восстановить полезную нагрузку в памяти для независимого анализа, можно использовать следующий сценарий Python для расшифровки вырезанного содержимого. Антивирус Microsoft Defender обнаруживает компоненты угрозы в виде следующих вредоносных программ и предоставляет отчеты в продуктах Microsoft, чтобы помочь клиентам быть в курсе информации об участнике угрозы, вредоносной активности и рекомендуемых действиях по предотвращению, смягчению или реагированию на связанные угрозы.
Diamond Sleet был связан с деятельностью, отслеживаемой другими компаниями безопасности, такими как Temp.Hermit и Labyrinth Chollima, и известен тем, что использует различные пользовательские вредоносные программы, характерные только для этой группы. Microsoft заметила подозрительную активность, связанную с модифицированным файлом установщика CyberLink, еще 20 октября 2023 года и продолжит расследование и мониторинг ситуации.
#ParsedReport #CompletenessLow
27-11-2023
Malicious code created by North Korean hacking group APT37 Reaper - November 2023 Claim Details.html
https://wezard4u-tistory-com.translate.goog/6661?_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=ru&_x_tr_pto=wapp
Report completeness: Low
Actors/Campaigns:
Scarcruft (motivation: cyber_espionage)
Threats:
Rokrat
Amadey
Abrisk
Victims:
Government, Military, Large corporations, Human rights organizations, Companies in japan, vietnam, the middle east, and other regions
Industry:
Chemical, Healthcare, Military, Aerospace, Government
Geo:
Japan, Korea, Korean, Vietnam
IOCs:
File: 2
Hash: 6
Soft:
Squid, Microsoft Office
Algorithms:
sha256, sha1, xor, zip, md5
Languages:
powershell
27-11-2023
Malicious code created by North Korean hacking group APT37 Reaper - November 2023 Claim Details.html
https://wezard4u-tistory-com.translate.goog/6661?_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=ru&_x_tr_pto=wapp
Report completeness: Low
Actors/Campaigns:
Scarcruft (motivation: cyber_espionage)
Threats:
Rokrat
Amadey
Abrisk
Victims:
Government, Military, Large corporations, Human rights organizations, Companies in japan, vietnam, the middle east, and other regions
Industry:
Chemical, Healthcare, Military, Aerospace, Government
Geo:
Japan, Korea, Korean, Vietnam
IOCs:
File: 2
Hash: 6
Soft:
Squid, Microsoft Office
Algorithms:
sha256, sha1, xor, zip, md5
Languages:
powershell
꿈을꾸는 파랑새
북한 해킹 단체 APT37 Reaper(리퍼)에서 만든 악성코드-2023년 11월 청구내역.html(2023.11.07)
오늘은 북한 해킹 단체 APT37 Reaper(리퍼)에서 만든 악성코드 인 2023년 11월 청구내역.html(2023.11.07)에 대해 알아보겠습니다. Reaper 또는 Group123 이라고 부르고 있고 Reaper(리퍼) 라고 부르는 APT 공격 단체이며 2012년부터 활동을 시작했고 정보 수집, 정찰 및 사이버 스파이 활동을 목적으로 하며, 정부, 군사, 대기업, 인권 단체를 대상으로 하고 있으며 즉 한국의 외교 및 국내 문제에 초점이 맞추어져…
CTT Report Hub
#ParsedReport #CompletenessLow 27-11-2023 Malicious code created by North Korean hacking group APT37 Reaper - November 2023 Claim Details.html https://wezard4u-tistory-com.translate.goog/6661?_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=ru&_x_tr_pto=wapp Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Северокорейская хакерская группа APT37 Reaper, также известная как Reaper или Group123, - активная группа APT-атак, направленная на правительственные, военные, крупные корпорации и правозащитные организации с целью сбора информации, разведки и кибершпионажа. Для кражи учетных данных, утечки информации, захвата скриншотов, управления файлами и каталогами они используют вредоносный код, например RokRAT, Amadey, и сжатые файлы.
-----
November 2023 Claim Details.html - это вредоносный код, созданный северокорейской хакерской группой APT37 Reaper, также известной как Reaper или Group123. Эта APT-группа впервые начала свою деятельность в 2012 году с целью сбора информации, разведки и кибершпионажа. Ее объектами являются правительство, военные, крупные корпорации и правозащитные организации. В центре ее внимания находятся дипломатические и внутренние проблемы Кореи, а также компании в Японии, Вьетнаме, на Ближнем Востоке и в других регионах с целью кражи секретов компаний, например, в химической, электронной, производственной, аэрокосмической, автомобильной и медицинской промышленности. Они действуют под различными названиями, такими как APT37, Inky Squid, RedEyes, ScarCruft и Ricochet Chollima.
RokRAT не использует значение макроса по умолчанию в Microsoft Office и в последнее время распространяется в формате lnk-файлов, чтобы убедиться, что слабая атака через макросы не работает из-за повышения осведомленности пользователей. Он используется для кражи учетных данных, утечки информации, захвата скриншотов, сбора системной информации, выполнения команд и шелл-кода, управления файлами и каталогами. Reaper часто использует сервисы облачного хранения данных для C2.
При анализе цепочки заражения ROKRAT характерно использование аналогичной цепочки, распространяющей коммерческую RAT Amadey, продаваемую на подпольных форумах. Например, в ноябре 2023 года она распространяется под именем billing details.zip. Атака начинается с файла-приманки HWP, который берется с сайта Национальной ассамблеи, далее следуют сжатый файл, lnk-файл-приманка, запуск PowerShell и vbs-скрипт для кражи персональных данных.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Северокорейская хакерская группа APT37 Reaper, также известная как Reaper или Group123, - активная группа APT-атак, направленная на правительственные, военные, крупные корпорации и правозащитные организации с целью сбора информации, разведки и кибершпионажа. Для кражи учетных данных, утечки информации, захвата скриншотов, управления файлами и каталогами они используют вредоносный код, например RokRAT, Amadey, и сжатые файлы.
-----
November 2023 Claim Details.html - это вредоносный код, созданный северокорейской хакерской группой APT37 Reaper, также известной как Reaper или Group123. Эта APT-группа впервые начала свою деятельность в 2012 году с целью сбора информации, разведки и кибершпионажа. Ее объектами являются правительство, военные, крупные корпорации и правозащитные организации. В центре ее внимания находятся дипломатические и внутренние проблемы Кореи, а также компании в Японии, Вьетнаме, на Ближнем Востоке и в других регионах с целью кражи секретов компаний, например, в химической, электронной, производственной, аэрокосмической, автомобильной и медицинской промышленности. Они действуют под различными названиями, такими как APT37, Inky Squid, RedEyes, ScarCruft и Ricochet Chollima.
RokRAT не использует значение макроса по умолчанию в Microsoft Office и в последнее время распространяется в формате lnk-файлов, чтобы убедиться, что слабая атака через макросы не работает из-за повышения осведомленности пользователей. Он используется для кражи учетных данных, утечки информации, захвата скриншотов, сбора системной информации, выполнения команд и шелл-кода, управления файлами и каталогами. Reaper часто использует сервисы облачного хранения данных для C2.
При анализе цепочки заражения ROKRAT характерно использование аналогичной цепочки, распространяющей коммерческую RAT Amadey, продаваемую на подпольных форумах. Например, в ноябре 2023 года она распространяется под именем billing details.zip. Атака начинается с файла-приманки HWP, который берется с сайта Национальной ассамблеи, далее следуют сжатый файл, lnk-файл-приманка, запуск PowerShell и vbs-скрипт для кражи персональных данных.
#ParsedReport #CompletenessMedium
27-11-2023
WildCard: The APT Behind SysJoker Targets Critical Sectors in Israel
https://intezer.com/blog/research/wildcard-evolution-of-sysjoker-cyber-threat
Report completeness: Medium
Actors/Campaigns:
Wildcard
Electric_powder
Threats:
Sysjoker
Rustdown
Dead_drop_technique
Victims:
Israeli educational institution, israeli electric corporation (iec)
Industry:
Energy, Education
Geo:
Israeli, Iranian, Israel
IOCs:
Path: 2
Url: 3
Hash: 5
IP: 1
Domain: 3
Soft:
macOS
Algorithms:
zip, base64, xor
Languages:
php, powershell, rust, typescript
27-11-2023
WildCard: The APT Behind SysJoker Targets Critical Sectors in Israel
https://intezer.com/blog/research/wildcard-evolution-of-sysjoker-cyber-threat
Report completeness: Medium
Actors/Campaigns:
Wildcard
Electric_powder
Threats:
Sysjoker
Rustdown
Dead_drop_technique
Victims:
Israeli educational institution, israeli electric corporation (iec)
Industry:
Energy, Education
Geo:
Israeli, Iranian, Israel
IOCs:
Path: 2
Url: 3
Hash: 5
IP: 1
Domain: 3
Soft:
macOS
Algorithms:
zip, base64, xor
Languages:
php, powershell, rust, typescript
Intezer
WildCard: The APT Behind SysJoker Targets Critical Sectors in Israel
Our research team has identified a new APT group, dubbed "WildCard," initially detected through its use of the SysJoker malware.
CTT Report Hub
#ParsedReport #CompletenessMedium 27-11-2023 WildCard: The APT Behind SysJoker Targets Critical Sectors in Israel https://intezer.com/blog/research/wildcard-evolution-of-sysjoker-cyber-threat Report completeness: Medium Actors/Campaigns: Wildcard Electric_powder…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: WildCard - это группа постоянных угроз, которая с 2021 года атакует израильские критически важные сектора, используя сложные варианты вредоносного ПО, маскирующиеся под легитимные программы, написанные на языках C++ и Rust. Вероятно, она будет наращивать темп своей деятельности в условиях продолжающейся войны между Израилем и ХАМАС.
-----
WildCard - это недавно выявленная группа постоянных угроз (APT), первоначально обнаруженная благодаря использованию вредоносной программы SysJoker. С 2021 года WildCard атакует критически важные отрасли Израиля, такие как образовательный сектор. Группа создала сложные варианты вредоносных программ, маскирующихся под легитимное ПО и написанных на языках C++ и Rust. Связи с операцией ElectricPowder указывают на продвинутый уровень возможностей и сложности.
WildCard атакует машины под управлением Windows, macOS и Linux. WildCard создал варианты, маскирующиеся под программы DMAdevice и AppMessagingRegistrar, написанные на языке C++. Кроме того, она разработала вредоносное ПО на языке Rust под названием RustDown. Вредоносная программа представляет собой 32-разрядный исполняемый файл для Windows, маскирующийся под компонент фреймворка PHP. WildCard использует фишинговые кампании, чтобы убедить жертв загрузить свое вредоносное ПО, и использует популярные общедоступные сервисы, такие как GDrive и OneDrive, для поддержания связи со своим C2 в качестве dead drop resolvers.
Анализ RustDown показывает, что он разделяет тактику, используемую WildCard в SysJoker и его вариантах, и что одна и та же специфическая строка деобфусцируется во время выполнения и используется для установления персистентности. Это позволяет предположить наличие связи между разработкой, продолжавшейся почти четыре года и объединяющей различные операции WildCard. Кроме того, было обнаружено, что WildCard использует геозонирование своей системы C2, чтобы отвечать только на IP-адреса из Израиля, что еще больше подтверждает гипотезу о том, что эта группа нацелена на израильские критически важные сектора.
WildCard, скорее всего, увеличит темп своей деятельности в соответствии с текущим конфликтом между Израилем и ХАМАС. Продолжая следить за ситуацией с угрозами, связанными с продолжающейся войной между Израилем и ХАМАС, важно подчеркнуть существование нетрадиционных угроз, таких как WildCard, которые остаются незамеченными. Несмотря на то, что эта APT-группа повторно применяет модели поведения, позволяющие избежать обнаружения, она продолжает активно действовать, постоянно атакуя такие критически важные для Израиля отрасли, как образование, ИТ-инфраструктура и, возможно, электроэнергетика.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: WildCard - это группа постоянных угроз, которая с 2021 года атакует израильские критически важные сектора, используя сложные варианты вредоносного ПО, маскирующиеся под легитимные программы, написанные на языках C++ и Rust. Вероятно, она будет наращивать темп своей деятельности в условиях продолжающейся войны между Израилем и ХАМАС.
-----
WildCard - это недавно выявленная группа постоянных угроз (APT), первоначально обнаруженная благодаря использованию вредоносной программы SysJoker. С 2021 года WildCard атакует критически важные отрасли Израиля, такие как образовательный сектор. Группа создала сложные варианты вредоносных программ, маскирующихся под легитимное ПО и написанных на языках C++ и Rust. Связи с операцией ElectricPowder указывают на продвинутый уровень возможностей и сложности.
WildCard атакует машины под управлением Windows, macOS и Linux. WildCard создал варианты, маскирующиеся под программы DMAdevice и AppMessagingRegistrar, написанные на языке C++. Кроме того, она разработала вредоносное ПО на языке Rust под названием RustDown. Вредоносная программа представляет собой 32-разрядный исполняемый файл для Windows, маскирующийся под компонент фреймворка PHP. WildCard использует фишинговые кампании, чтобы убедить жертв загрузить свое вредоносное ПО, и использует популярные общедоступные сервисы, такие как GDrive и OneDrive, для поддержания связи со своим C2 в качестве dead drop resolvers.
Анализ RustDown показывает, что он разделяет тактику, используемую WildCard в SysJoker и его вариантах, и что одна и та же специфическая строка деобфусцируется во время выполнения и используется для установления персистентности. Это позволяет предположить наличие связи между разработкой, продолжавшейся почти четыре года и объединяющей различные операции WildCard. Кроме того, было обнаружено, что WildCard использует геозонирование своей системы C2, чтобы отвечать только на IP-адреса из Израиля, что еще больше подтверждает гипотезу о том, что эта группа нацелена на израильские критически важные сектора.
WildCard, скорее всего, увеличит темп своей деятельности в соответствии с текущим конфликтом между Израилем и ХАМАС. Продолжая следить за ситуацией с угрозами, связанными с продолжающейся войной между Израилем и ХАМАС, важно подчеркнуть существование нетрадиционных угроз, таких как WildCard, которые остаются незамеченными. Несмотря на то, что эта APT-группа повторно применяет модели поведения, позволяющие избежать обнаружения, она продолжает активно действовать, постоянно атакуя такие критически важные для Израиля отрасли, как образование, ИТ-инфраструктура и, возможно, электроэнергетика.
#ParsedReport #CompletenessMedium
27-11-2023
DPRK Crypto Theft \| macOS RustBucket Droppers Pivot to Deliver KandyKorn Payloads
https://www.sentinelone.com/blog/dprk-crypto-theft-macos-rustbucket-droppers-pivot-to-deliver-kandykorn-payloads
Report completeness: Medium
Threats:
Rustbucket
Kandykorn
Objcshellz
Swiftloader
Findertools
Sugarloader
Hloader
Applescript
Bazarbackdoor
Industry:
Financial
Geo:
Korean, Dprk
IOCs:
File: 4
Url: 5
IP: 1
Hash: 24
Soft:
macOS, Discord, curl
Algorithms:
zip, xor, sha1
Functions:
system
Languages:
python, objective_c, rust
Platforms:
intel, apple, cross-platform
27-11-2023
DPRK Crypto Theft \| macOS RustBucket Droppers Pivot to Deliver KandyKorn Payloads
https://www.sentinelone.com/blog/dprk-crypto-theft-macos-rustbucket-droppers-pivot-to-deliver-kandykorn-payloads
Report completeness: Medium
Threats:
Rustbucket
Kandykorn
Objcshellz
Swiftloader
Findertools
Sugarloader
Hloader
Applescript
Bazarbackdoor
Industry:
Financial
Geo:
Korean, Dprk
IOCs:
File: 4
Url: 5
IP: 1
Hash: 24
Soft:
macOS, Discord, curl
Algorithms:
zip, xor, sha1
Functions:
system
Languages:
python, objective_c, rust
Platforms:
intel, apple, cross-platform
SentinelOne
DPRK Crypto Theft | macOS RustBucket Droppers Pivot to Deliver KandyKorn Payloads
Two apparently separate North Korean crypto theft campaigns targeting macOS users appear to be linked as threat actors mix and match droppers and payloads.
CTT Report Hub
#ParsedReport #CompletenessMedium 27-11-2023 DPRK Crypto Theft \| macOS RustBucket Droppers Pivot to Deliver KandyKorn Payloads https://www.sentinelone.com/blog/dprk-crypto-theft-macos-rustbucket-droppers-pivot-to-deliver-kandykorn-payloads Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: В прошлом году угрозы, связанные с Северной Кореей, были особенно активны в рамках двух крупных кампаний - RustBucket и KandyKorn, причем они смешивали и комбинировали компоненты между собой. Исследователи выявили различные версии вредоносных программ, а также индикаторы компрометации, и организации могут лучше защититься от этих киберугроз, расширив свое представление о деятельности угроз, связанных с Северной Кореей.
-----
В прошедшем году особенно активно действовали угрозы, связанные с Северной Кореей: на сегодняшний день отмечены две крупные кампании: RustBucket и KandyKorn. В кампании RustBucket использовалась вторая стадия вредоносной программы, получившая название SwiftLoader, которая внешне функционировала как программа просмотра PDF-документов, рассылаемых жертвам. Пока жертвы просматривали замануху, SwiftLoader находил и исполнял вредоносную программу следующего этапа, написанную на языке Rust. Кампания KandyKorn представляла собой тщательно разработанную пятиэтапную операцию, направленную на блокчейн-инженеров криптовалютной биржи. Она началась с социальной инженерии через Discord, в результате которой жертвы были вынуждены загрузить вредоносное Python-приложение, замаскированное под криптовалютного арбитражного бота. Скрипты Python использовались для запуска вредоносного ПО, которое перехватывало установленное на хосте приложение Discord и затем доставляло RAT с бэкдором на языке C++, получивший название KandyKorn.
Дальнейший анализ этих кампаний позволяет предположить, что угрозы КНДР теперь смешивают и сочетают компоненты обеих операций, причем дропперы SwiftLoader используются для доставки полезной нагрузки KandyKorn. Исследователи обнаружили различные версии KandyKorn RAT со следующими SHA1, а также различные варианты SwiftLoader. Последний распространялся в виде Internal PDF Viewer.app и SecurePDF Viewer.app, которые были подписаны и заверены нотариусом Apple и требовали macOS 12.6 (Monterey). Первый обращался к домену on-global.xyz, а второй - к docs-send.online/getBalance/usdt/ethereum. Обе программы сбросили скрытые исполняемые файлы по адресам /Users/Shared/.pw и /Users/Shared/.sld соответственно.
Кроме того, был обнаружен двоичный код Mach-O под названием ProcessRequest, который исследователи окрестили ObjCShellz, являющийся поздней стадией SwiftLoader SecurePDF Viewer.app. Этот код был написан на языке Objective-C и функционировал для выполнения простых shell-команд с удаленного C2 через функцию system(), вызывающую sh -c.
К признакам компрометации, обнаруженным и проанализированным в данном исследовании, относятся ссылки на вредоносное ПО, размещенные на Google drive, домен tp.globa.xyz, домен swissborg.blog, домен on-global.xyz, домен docs-send.online/getBalance/usdt/ethereum, файловый путь /Users/Shared/.pw и файловый путь /Users/Shared/.sld.
SentinelOne Singularity обеспечивает защиту от всех известных компонентов вредоносных программ KandyKorn и RustBucket. Расширяя наши представления о деятельности связанных с Северной Кореей субъектов угроз и обнаруживая новые индикаторы компрометации, организации могут лучше защищаться от киберугроз.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: В прошлом году угрозы, связанные с Северной Кореей, были особенно активны в рамках двух крупных кампаний - RustBucket и KandyKorn, причем они смешивали и комбинировали компоненты между собой. Исследователи выявили различные версии вредоносных программ, а также индикаторы компрометации, и организации могут лучше защититься от этих киберугроз, расширив свое представление о деятельности угроз, связанных с Северной Кореей.
-----
В прошедшем году особенно активно действовали угрозы, связанные с Северной Кореей: на сегодняшний день отмечены две крупные кампании: RustBucket и KandyKorn. В кампании RustBucket использовалась вторая стадия вредоносной программы, получившая название SwiftLoader, которая внешне функционировала как программа просмотра PDF-документов, рассылаемых жертвам. Пока жертвы просматривали замануху, SwiftLoader находил и исполнял вредоносную программу следующего этапа, написанную на языке Rust. Кампания KandyKorn представляла собой тщательно разработанную пятиэтапную операцию, направленную на блокчейн-инженеров криптовалютной биржи. Она началась с социальной инженерии через Discord, в результате которой жертвы были вынуждены загрузить вредоносное Python-приложение, замаскированное под криптовалютного арбитражного бота. Скрипты Python использовались для запуска вредоносного ПО, которое перехватывало установленное на хосте приложение Discord и затем доставляло RAT с бэкдором на языке C++, получивший название KandyKorn.
Дальнейший анализ этих кампаний позволяет предположить, что угрозы КНДР теперь смешивают и сочетают компоненты обеих операций, причем дропперы SwiftLoader используются для доставки полезной нагрузки KandyKorn. Исследователи обнаружили различные версии KandyKorn RAT со следующими SHA1, а также различные варианты SwiftLoader. Последний распространялся в виде Internal PDF Viewer.app и SecurePDF Viewer.app, которые были подписаны и заверены нотариусом Apple и требовали macOS 12.6 (Monterey). Первый обращался к домену on-global.xyz, а второй - к docs-send.online/getBalance/usdt/ethereum. Обе программы сбросили скрытые исполняемые файлы по адресам /Users/Shared/.pw и /Users/Shared/.sld соответственно.
Кроме того, был обнаружен двоичный код Mach-O под названием ProcessRequest, который исследователи окрестили ObjCShellz, являющийся поздней стадией SwiftLoader SecurePDF Viewer.app. Этот код был написан на языке Objective-C и функционировал для выполнения простых shell-команд с удаленного C2 через функцию system(), вызывающую sh -c.
К признакам компрометации, обнаруженным и проанализированным в данном исследовании, относятся ссылки на вредоносное ПО, размещенные на Google drive, домен tp.globa.xyz, домен swissborg.blog, домен on-global.xyz, домен docs-send.online/getBalance/usdt/ethereum, файловый путь /Users/Shared/.pw и файловый путь /Users/Shared/.sld.
SentinelOne Singularity обеспечивает защиту от всех известных компонентов вредоносных программ KandyKorn и RustBucket. Расширяя наши представления о деятельности связанных с Северной Кореей субъектов угроз и обнаруживая новые индикаторы компрометации, организации могут лучше защищаться от киберугроз.
#ParsedReport #CompletenessLow
27-11-2023
APT-C-52. 1. Sample analysis
https://mp-weixin-qq-com.translate.goog/s?__biz=MzUyMjk4NzExMA==&mid=2247493844&idx=1&sn=c0f7fb39db6a01860503675e42c89c06&chksm=f9c1dbddceb652cb9b5d45b97975411cbfbbfe7355a60ca28d68b21565935f7199ac16e98c8b&scene=178&cur_album_id=1955835290309230595&_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=en&_x_tr_pto=wapp#rd
Report completeness: Low
Actors/Campaigns:
Fire_snake
Snake
Manlinghua
Threats:
L3mon_tool
Victims:
Pakistani military personnel
Industry:
Military
Geo:
Pakistani, Asia, Pakistan
ChatGPT TTPs:
T1193, T1064, T1219, T1027, T1132, T1113, T1036, T1107
IOCs:
Email: 1
Hash: 20
Soft:
WhatsApp
Algorithms:
md5
27-11-2023
APT-C-52. 1. Sample analysis
https://mp-weixin-qq-com.translate.goog/s?__biz=MzUyMjk4NzExMA==&mid=2247493844&idx=1&sn=c0f7fb39db6a01860503675e42c89c06&chksm=f9c1dbddceb652cb9b5d45b97975411cbfbbfe7355a60ca28d68b21565935f7199ac16e98c8b&scene=178&cur_album_id=1955835290309230595&_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=en&_x_tr_pto=wapp#rd
Report completeness: Low
Actors/Campaigns:
Fire_snake
Snake
Manlinghua
Threats:
L3mon_tool
Victims:
Pakistani military personnel
Industry:
Military
Geo:
Pakistani, Asia, Pakistan
ChatGPT TTPs:
do not use without manual checkT1193, T1064, T1219, T1027, T1132, T1113, T1036, T1107
IOCs:
Email: 1
Hash: 20
Soft:
Algorithms:
md5
微信公众平台
桃色陷阱行动:APT-C-52(焰魔蛇)组织针对巴基斯坦的攻击活动
APT-C-52(焰魔蛇)组织是一个来自南亚的APT组织,主要针对目标进行有组织、有计划、针对性的网络攻击行动
CTT Report Hub
#ParsedReport #CompletenessLow 27-11-2023 APT-C-52. 1. Sample analysis https://mp-weixin-qq-com.translate.goog/s?__biz=MzUyMjk4NzExMA==&mid=2247493844&idx=1&sn=c0f7fb39db6a01860503675e42c89c06&chksm=f9c1dbddceb652cb9b5d45b97975411cbfbbfe7355a60ca28d68b2…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: APT-C-52 ("Огненный змей") - южноазиатская организация, специализирующаяся на постоянных угрозах (APT), которая с начала 2021 года активно атакует пакистанских военнослужащих с помощью вредоносных приложений, распространяемых через магазин приложений Google Play. Лаборатория 360 FiberHome провела глубокое исследование и выявила хранилище исходного кода вредоносного образца, размещенного на Github.
-----
APT-C-52 (Fire Snake) - это южноазиатская организация, занимающаяся распространением современных постоянных угроз (APT) и действующая с начала 2021 года. Ее целью являются пакистанские военнослужащие, для которых вредоносные приложения распространяются через магазин приложений Google Play. После загрузки эти приложения используются для кражи конфиденциальной информации, такой как списки контактов, сообщения в строке уведомлений, текстовые сообщения, записи звонков, фотографии, документы и списки установленных приложений.
Вредоносное приложение замаскировано под чат и содержит обычные функции, такие как голосовые звонки, видеозвонки, голосовые сообщения и групповые чаты. Код был взят из существующего чат-приложения Opus Labs Works Yoohoo. Злоумышленники также использовали инструмент удаленного управления с открытым исходным кодом L3MON для кражи списков контактов, записей звонков, текстовых сообщений и т.д.
На среднем и позднем этапах атаки организация APT-C-52 (Fire Snake) удалила все функциональные коды L3MON и заменила их кодом для кражи списка контактов и специфических имен суффиксов. При этом код для кражи текстовых сообщений был сохранен, но не использовался. Это было сделано для того, чтобы избежать цензуры и облегчить распространение вредоносного приложения.
Чтобы лучше понять суть атаки, 360 FiberHome Lab провела глубокое исследование в области мобильной безопасности, такое как анализ мобильных вредоносных программ, исследование "серых" и "черных" продуктов, предупреждение мобильных угроз, обнаружение и отслеживание мобильных APT. В результате исследования удалось определить хранилище исходного кода вредоносного образца под названием ChatApp, которое было размещено на Github. Было обнаружено, что самая ранняя посылка кода была сделана 7 июля 2021 года, а ее автором был Hi** *Ch**** с соответствующим адресом электронной почты 22hi**********@gmail.com. Дальнейший анализ показал, что код содержит полный код для средних и поздних вредоносных функций организации APT-C-52 (Flame Snake).
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: APT-C-52 ("Огненный змей") - южноазиатская организация, специализирующаяся на постоянных угрозах (APT), которая с начала 2021 года активно атакует пакистанских военнослужащих с помощью вредоносных приложений, распространяемых через магазин приложений Google Play. Лаборатория 360 FiberHome провела глубокое исследование и выявила хранилище исходного кода вредоносного образца, размещенного на Github.
-----
APT-C-52 (Fire Snake) - это южноазиатская организация, занимающаяся распространением современных постоянных угроз (APT) и действующая с начала 2021 года. Ее целью являются пакистанские военнослужащие, для которых вредоносные приложения распространяются через магазин приложений Google Play. После загрузки эти приложения используются для кражи конфиденциальной информации, такой как списки контактов, сообщения в строке уведомлений, текстовые сообщения, записи звонков, фотографии, документы и списки установленных приложений.
Вредоносное приложение замаскировано под чат и содержит обычные функции, такие как голосовые звонки, видеозвонки, голосовые сообщения и групповые чаты. Код был взят из существующего чат-приложения Opus Labs Works Yoohoo. Злоумышленники также использовали инструмент удаленного управления с открытым исходным кодом L3MON для кражи списков контактов, записей звонков, текстовых сообщений и т.д.
На среднем и позднем этапах атаки организация APT-C-52 (Fire Snake) удалила все функциональные коды L3MON и заменила их кодом для кражи списка контактов и специфических имен суффиксов. При этом код для кражи текстовых сообщений был сохранен, но не использовался. Это было сделано для того, чтобы избежать цензуры и облегчить распространение вредоносного приложения.
Чтобы лучше понять суть атаки, 360 FiberHome Lab провела глубокое исследование в области мобильной безопасности, такое как анализ мобильных вредоносных программ, исследование "серых" и "черных" продуктов, предупреждение мобильных угроз, обнаружение и отслеживание мобильных APT. В результате исследования удалось определить хранилище исходного кода вредоносного образца под названием ChatApp, которое было размещено на Github. Было обнаружено, что самая ранняя посылка кода была сделана 7 июля 2021 года, а ее автором был Hi** *Ch**** с соответствующим адресом электронной почты 22hi**********@gmail.com. Дальнейший анализ показал, что код содержит полный код для средних и поздних вредоносных функций организации APT-C-52 (Flame Snake).
#ParsedReport #CompletenessLow
27-11-2023
Analysis of remote control attack activities by APT-C-35 (bellyworm) using RemcosRAT
https://mp-weixin-qq-com.translate.goog/s?__biz=MzUyMjk4NzExMA==&mid=2247493959&idx=1&sn=1cd2431df4c0ad39f390e3e222a6bbec&chksm=f9c1da4eceb65358dac904560f351c82cc829aa49c5b0698861d0c237c8773b4f27bbd84d1f9&scene=178&cur_album_id=1955835290309230595&_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=en&_x_tr_pto=wapp#rd
Report completeness: Low
Actors/Campaigns:
Donot (motivation: cyber_espionage)
Dropping_elephant
Threats:
Remcos_rat
Industry:
Government
Geo:
India, Pakistani, Asia, Pakistan
TTPs:
Tactics: 1
Technics: 0
IOCs:
File: 7
IP: 5
Path: 1
Url: 3
Hash: 7
Algorithms:
sha256, rc4, aes, sha1, md5
Win API:
GlobalAlloc
Win Services:
EventLog
27-11-2023
Analysis of remote control attack activities by APT-C-35 (bellyworm) using RemcosRAT
https://mp-weixin-qq-com.translate.goog/s?__biz=MzUyMjk4NzExMA==&mid=2247493959&idx=1&sn=1cd2431df4c0ad39f390e3e222a6bbec&chksm=f9c1da4eceb65358dac904560f351c82cc829aa49c5b0698861d0c237c8773b4f27bbd84d1f9&scene=178&cur_album_id=1955835290309230595&_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=en&_x_tr_pto=wapp#rd
Report completeness: Low
Actors/Campaigns:
Donot (motivation: cyber_espionage)
Dropping_elephant
Threats:
Remcos_rat
Industry:
Government
Geo:
India, Pakistani, Asia, Pakistan
TTPs:
Tactics: 1
Technics: 0
IOCs:
File: 7
IP: 5
Path: 1
Url: 3
Hash: 7
Algorithms:
sha256, rc4, aes, sha1, md5
Win API:
GlobalAlloc
Win Services:
EventLog
微信公众平台
APT-C-35(肚脑虫)利用RemcosRAT远控攻击活动分析
本次攻击特点是借助了知名商业远控remcosRAT完成功能组件的下发,同时在情报挖掘中,我们还发现了APT-C-35(肚脑虫)与APT-C-09(摩诃草)之间存在一定的关联
CTT Report Hub
#ParsedReport #CompletenessLow 27-11-2023 Analysis of remote control attack activities by APT-C-35 (bellyworm) using RemcosRAT https://mp-weixin-qq-com.translate.goog/s?__biz=MzUyMjk4NzExMA==&mid=2247493959&idx=1&sn=1cd2431df4c0ad39f390e3e222a6bbec&chks…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея этого текста заключается в том, что Центр анализа угроз 360 обнаружил доказательства существования атакующей организации под названием APT-C-35 (Belt Brain Worm), которая ведет деятельность по кибершпионажу в отношении правительственных учреждений Пакистана, Шри-Ланки и других стран, окружающих Индию, и нашел доказательства связи между "мозговым червем" и Mahagrass.
-----
360 Threat Intelligence Center - это ведущая мировая платформа обмена, анализа и раннего предупреждения угроз. Используя огромные массивы данных по безопасности (десятки миллиардов образцов и триллионы журналов защиты), центр объединяет поиск уязвимостей, анализ вредоносных кодов и отслеживание угроз для получения высококачественной информации об угрозах безопасности и обеспечения защиты, обнаружения и реагирования на них.
Недавно Центр обнаружил свидетельства существования атакующей организации APT-C-35 (Belt Brain Worm), осуществляющей кибершпионаж в отношении правительственных учреждений Пакистана, Шри-Ланки и других стран, окружающих Индию. В основном эта организация занимается кражей конфиденциальной информации. В процессе отслеживания происхождения этой организации Центр обнаружил партию атак, направленных на Пакистан через систему 360 Security Guard. В результате отслеживания, анализа и вынесения суждений они первоначально приписали этого злоумышленника к червям.
Метод атаки заключался в распространении образца, использующего документ об уязвимости inp. Этот образец представляет собой полноценный RemcosRAT с CC-сервером 45.146.254.153:443. Сначала он проверяет общий объем памяти машины и пространство C:\, чтобы деактивировать виртуальную машину. Затем инициализирует rc4, использует ключ KtviKHggtmNv3MFi2VeHFXKrY7G5xz2PW5nGMVi63qtXMN0P9GjZdRSblnegAiJn, расшифровывает последующий шеллкод, загружает его в память и исполняет.
Благодаря наблюдению 360 охранников была обнаружена небольшая порция доказательств, позволяющих предположить связь между мозговым червем и махаграссом. Эта улика была обнаружена у двух пакистанских жертв, A и B, в день атаки. Когда жертва открывала inp-документ, загружался remcosRAT и вызывался rundll32 для выполнения экспортируемой функции StTskloipy из dnfgrtyh.dll. Существует определенное сходство между образцом загрузчика remcosRAT dr.exe и remcosRAT, приведенным в отчете друга.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея этого текста заключается в том, что Центр анализа угроз 360 обнаружил доказательства существования атакующей организации под названием APT-C-35 (Belt Brain Worm), которая ведет деятельность по кибершпионажу в отношении правительственных учреждений Пакистана, Шри-Ланки и других стран, окружающих Индию, и нашел доказательства связи между "мозговым червем" и Mahagrass.
-----
360 Threat Intelligence Center - это ведущая мировая платформа обмена, анализа и раннего предупреждения угроз. Используя огромные массивы данных по безопасности (десятки миллиардов образцов и триллионы журналов защиты), центр объединяет поиск уязвимостей, анализ вредоносных кодов и отслеживание угроз для получения высококачественной информации об угрозах безопасности и обеспечения защиты, обнаружения и реагирования на них.
Недавно Центр обнаружил свидетельства существования атакующей организации APT-C-35 (Belt Brain Worm), осуществляющей кибершпионаж в отношении правительственных учреждений Пакистана, Шри-Ланки и других стран, окружающих Индию. В основном эта организация занимается кражей конфиденциальной информации. В процессе отслеживания происхождения этой организации Центр обнаружил партию атак, направленных на Пакистан через систему 360 Security Guard. В результате отслеживания, анализа и вынесения суждений они первоначально приписали этого злоумышленника к червям.
Метод атаки заключался в распространении образца, использующего документ об уязвимости inp. Этот образец представляет собой полноценный RemcosRAT с CC-сервером 45.146.254.153:443. Сначала он проверяет общий объем памяти машины и пространство C:\, чтобы деактивировать виртуальную машину. Затем инициализирует rc4, использует ключ KtviKHggtmNv3MFi2VeHFXKrY7G5xz2PW5nGMVi63qtXMN0P9GjZdRSblnegAiJn, расшифровывает последующий шеллкод, загружает его в память и исполняет.
Благодаря наблюдению 360 охранников была обнаружена небольшая порция доказательств, позволяющих предположить связь между мозговым червем и махаграссом. Эта улика была обнаружена у двух пакистанских жертв, A и B, в день атаки. Когда жертва открывала inp-документ, загружался remcosRAT и вызывался rundll32 для выполнения экспортируемой функции StTskloipy из dnfgrtyh.dll. Существует определенное сходство между образцом загрузчика remcosRAT dr.exe и remcosRAT, приведенным в отчете друга.