CTT Report Hub
3.41K subscribers
9.66K photos
6 videos
67 files
13.3K links
Threat Intelligence Report Hub
Download Telegram
Forwarded from Ralf Hacker Channel (Ralf Hacker)
Давно думал, публиковать свой софт или нет... Вот и решил для начала переписать Rubeus (не весь конечно) на C и перевести в COF файлы. В общем, из коробки работает с Cobalt Strike и Havoc😁😁

https://github.com/RalfHacker/Kerbeus-BOF

#bof #git #soft #redteam #pentest
#ParsedReport #CompletenessMedium
24-11-2023

Diamond Sleet supply chain compromise distributes a modified CyberLink installer

https://www.microsoft.com/en-us/security/blog/2023/11/22/diamond-sleet-supply-chain-compromise-distributes-a-modified-cyberlink-installer

Report completeness: Medium

Actors/Campaigns:
Lazarus (motivation: cyber_espionage, financially_motivated)

Threats:
Supply_chain_technique
Lambload

Geo:
Japan, Canada, Korea, Taiwan, Korean

ChatGPT TTPs:
do not use without manual check
T1117, T1105, T1036, T1082, T1191, T1218, T1497, T1086

IOCs:
File: 6
Hash: 5
Url: 8

Soft:
Microsoft Defender, Microsoft Defender for Endpoint, Internet Explorer

Algorithms:
sha256, sha2

Languages:
python

Links:
https://docs.github.com/en/site-policy/acceptable-use-policies/github-active-malware-or-exploits
CTT Report Hub
#ParsedReport #CompletenessMedium 24-11-2023 Diamond Sleet supply chain compromise distributes a modified CyberLink installer https://www.microsoft.com/en-us/security/blog/2023/11/22/diamond-sleet-supply-chain-compromise-distributes-a-modified-cyberlink…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея этого текста заключается в том, что компания Microsoft обнаружила и сообщила о вредоносной атаке на цепочку поставок, приписываемой группе Diamond Sleet, базирующейся в Северной Корее, и предприняла меры по защите клиентов от этой вредоносной активности. Также приводится подробная информация о вредоносном коде, скомпрометированных доменах, компонентах обнаружения и временной шкале активности.
-----

Группа аналитики угроз Microsoft недавно обнаружила и сообщила о вредоносной атаке на цепочки поставок, которая затронула более 100 устройств в разных странах. Вредоносная активность была приписана группе Diamond Sleet, базирующейся в Северной Корее и занимающейся шпионажем, кражей данных, извлечением финансовой выгоды и разрушением корпоративных сетей. Вредоносный файл представляет собой легитимный установщик приложения CyberLink, который был модифицирован и содержит вредоносный код, загружающий, расшифровывающий и загружающий полезную нагрузку второго этапа.

Компания Microsoft предприняла меры по защите клиентов от этой вредоносной активности: сообщила CyberLink о нарушении цепочки поставок, уведомила клиентов Microsoft Defender for Endpoint, сообщила об атаке на GitHub и добавила сертификат CyberLink Corp., использованный для подписи вредоносного файла, в список запрещенных сертификатов. Microsoft Defender for Endpoint обнаруживает вредоносную активность как группу активности Diamond Sleet, а антивирус Microsoft Defender обнаруживает вредоносную программу как Trojan:Win32/LambLoad.

LambLoad - это загрузчик, содержащий вредоносный код, добавленный к легитимному приложению CyberLink. Он предназначен для атак на среды, не оснащенные программным обеспечением безопасности, связанным с FireEye, CrowdStrike или Tanium, путем проверки наличия следующих имен процессов. Если эти критерии соблюдены, вредоносный код пытается обратиться к одному из трех URL-адресов для загрузки полезной нагрузки второго этапа, встроенной в файл, маскирующийся под PNG-файл. Оба домена являются легитимными, но были скомпрометированы программой Diamond Sleet.

Чтобы статически восстановить полезную нагрузку в памяти для независимого анализа, можно использовать следующий сценарий Python для расшифровки вырезанного содержимого. Антивирус Microsoft Defender обнаруживает компоненты угрозы в виде следующих вредоносных программ и предоставляет отчеты в продуктах Microsoft, чтобы помочь клиентам быть в курсе информации об участнике угрозы, вредоносной активности и рекомендуемых действиях по предотвращению, смягчению или реагированию на связанные угрозы.

Diamond Sleet был связан с деятельностью, отслеживаемой другими компаниями безопасности, такими как Temp.Hermit и Labyrinth Chollima, и известен тем, что использует различные пользовательские вредоносные программы, характерные только для этой группы. Microsoft заметила подозрительную активность, связанную с модифицированным файлом установщика CyberLink, еще 20 октября 2023 года и продолжит расследование и мониторинг ситуации.
#ParsedReport #CompletenessLow
27-11-2023

Malicious code created by North Korean hacking group APT37 Reaper - November 2023 Claim Details.html

https://wezard4u-tistory-com.translate.goog/6661?_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=ru&_x_tr_pto=wapp

Report completeness: Low

Actors/Campaigns:
Scarcruft (motivation: cyber_espionage)

Threats:
Rokrat
Amadey
Abrisk

Victims:
Government, Military, Large corporations, Human rights organizations, Companies in japan, vietnam, the middle east, and other regions

Industry:
Chemical, Healthcare, Military, Aerospace, Government

Geo:
Japan, Korea, Korean, Vietnam

IOCs:
File: 2
Hash: 6

Soft:
Squid, Microsoft Office

Algorithms:
sha256, sha1, xor, zip, md5

Languages:
powershell
CTT Report Hub
#ParsedReport #CompletenessLow 27-11-2023 Malicious code created by North Korean hacking group APT37 Reaper - November 2023 Claim Details.html https://wezard4u-tistory-com.translate.goog/6661?_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=ru&_x_tr_pto=wapp Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Северокорейская хакерская группа APT37 Reaper, также известная как Reaper или Group123, - активная группа APT-атак, направленная на правительственные, военные, крупные корпорации и правозащитные организации с целью сбора информации, разведки и кибершпионажа. Для кражи учетных данных, утечки информации, захвата скриншотов, управления файлами и каталогами они используют вредоносный код, например RokRAT, Amadey, и сжатые файлы.
-----

November 2023 Claim Details.html - это вредоносный код, созданный северокорейской хакерской группой APT37 Reaper, также известной как Reaper или Group123. Эта APT-группа впервые начала свою деятельность в 2012 году с целью сбора информации, разведки и кибершпионажа. Ее объектами являются правительство, военные, крупные корпорации и правозащитные организации. В центре ее внимания находятся дипломатические и внутренние проблемы Кореи, а также компании в Японии, Вьетнаме, на Ближнем Востоке и в других регионах с целью кражи секретов компаний, например, в химической, электронной, производственной, аэрокосмической, автомобильной и медицинской промышленности. Они действуют под различными названиями, такими как APT37, Inky Squid, RedEyes, ScarCruft и Ricochet Chollima.

RokRAT не использует значение макроса по умолчанию в Microsoft Office и в последнее время распространяется в формате lnk-файлов, чтобы убедиться, что слабая атака через макросы не работает из-за повышения осведомленности пользователей. Он используется для кражи учетных данных, утечки информации, захвата скриншотов, сбора системной информации, выполнения команд и шелл-кода, управления файлами и каталогами. Reaper часто использует сервисы облачного хранения данных для C2.

При анализе цепочки заражения ROKRAT характерно использование аналогичной цепочки, распространяющей коммерческую RAT Amadey, продаваемую на подпольных форумах. Например, в ноябре 2023 года она распространяется под именем billing details.zip. Атака начинается с файла-приманки HWP, который берется с сайта Национальной ассамблеи, далее следуют сжатый файл, lnk-файл-приманка, запуск PowerShell и vbs-скрипт для кражи персональных данных.
#ParsedReport #CompletenessMedium
27-11-2023

WildCard: The APT Behind SysJoker Targets Critical Sectors in Israel

https://intezer.com/blog/research/wildcard-evolution-of-sysjoker-cyber-threat

Report completeness: Medium

Actors/Campaigns:
Wildcard
Electric_powder

Threats:
Sysjoker
Rustdown
Dead_drop_technique

Victims:
Israeli educational institution, israeli electric corporation (iec)

Industry:
Energy, Education

Geo:
Israeli, Iranian, Israel

IOCs:
Path: 2
Url: 3
Hash: 5
IP: 1
Domain: 3

Soft:
macOS

Algorithms:
zip, base64, xor

Languages:
php, powershell, rust, typescript
CTT Report Hub
#ParsedReport #CompletenessMedium 27-11-2023 WildCard: The APT Behind SysJoker Targets Critical Sectors in Israel https://intezer.com/blog/research/wildcard-evolution-of-sysjoker-cyber-threat Report completeness: Medium Actors/Campaigns: Wildcard Electric_powder…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: WildCard - это группа постоянных угроз, которая с 2021 года атакует израильские критически важные сектора, используя сложные варианты вредоносного ПО, маскирующиеся под легитимные программы, написанные на языках C++ и Rust. Вероятно, она будет наращивать темп своей деятельности в условиях продолжающейся войны между Израилем и ХАМАС.
-----

WildCard - это недавно выявленная группа постоянных угроз (APT), первоначально обнаруженная благодаря использованию вредоносной программы SysJoker. С 2021 года WildCard атакует критически важные отрасли Израиля, такие как образовательный сектор. Группа создала сложные варианты вредоносных программ, маскирующихся под легитимное ПО и написанных на языках C++ и Rust. Связи с операцией ElectricPowder указывают на продвинутый уровень возможностей и сложности.

WildCard атакует машины под управлением Windows, macOS и Linux. WildCard создал варианты, маскирующиеся под программы DMAdevice и AppMessagingRegistrar, написанные на языке C++. Кроме того, она разработала вредоносное ПО на языке Rust под названием RustDown. Вредоносная программа представляет собой 32-разрядный исполняемый файл для Windows, маскирующийся под компонент фреймворка PHP. WildCard использует фишинговые кампании, чтобы убедить жертв загрузить свое вредоносное ПО, и использует популярные общедоступные сервисы, такие как GDrive и OneDrive, для поддержания связи со своим C2 в качестве dead drop resolvers.

Анализ RustDown показывает, что он разделяет тактику, используемую WildCard в SysJoker и его вариантах, и что одна и та же специфическая строка деобфусцируется во время выполнения и используется для установления персистентности. Это позволяет предположить наличие связи между разработкой, продолжавшейся почти четыре года и объединяющей различные операции WildCard. Кроме того, было обнаружено, что WildCard использует геозонирование своей системы C2, чтобы отвечать только на IP-адреса из Израиля, что еще больше подтверждает гипотезу о том, что эта группа нацелена на израильские критически важные сектора.

WildCard, скорее всего, увеличит темп своей деятельности в соответствии с текущим конфликтом между Израилем и ХАМАС. Продолжая следить за ситуацией с угрозами, связанными с продолжающейся войной между Израилем и ХАМАС, важно подчеркнуть существование нетрадиционных угроз, таких как WildCard, которые остаются незамеченными. Несмотря на то, что эта APT-группа повторно применяет модели поведения, позволяющие избежать обнаружения, она продолжает активно действовать, постоянно атакуя такие критически важные для Израиля отрасли, как образование, ИТ-инфраструктура и, возможно, электроэнергетика.
#ParsedReport #CompletenessMedium
27-11-2023

DPRK Crypto Theft \| macOS RustBucket Droppers Pivot to Deliver KandyKorn Payloads

https://www.sentinelone.com/blog/dprk-crypto-theft-macos-rustbucket-droppers-pivot-to-deliver-kandykorn-payloads

Report completeness: Medium

Threats:
Rustbucket
Kandykorn
Objcshellz
Swiftloader
Findertools
Sugarloader
Hloader
Applescript
Bazarbackdoor

Industry:
Financial

Geo:
Korean, Dprk

IOCs:
File: 4
Url: 5
IP: 1
Hash: 24

Soft:
macOS, Discord, curl

Algorithms:
zip, xor, sha1

Functions:
system

Languages:
python, objective_c, rust

Platforms:
intel, apple, cross-platform
CTT Report Hub
#ParsedReport #CompletenessMedium 27-11-2023 DPRK Crypto Theft \| macOS RustBucket Droppers Pivot to Deliver KandyKorn Payloads https://www.sentinelone.com/blog/dprk-crypto-theft-macos-rustbucket-droppers-pivot-to-deliver-kandykorn-payloads Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: В прошлом году угрозы, связанные с Северной Кореей, были особенно активны в рамках двух крупных кампаний - RustBucket и KandyKorn, причем они смешивали и комбинировали компоненты между собой. Исследователи выявили различные версии вредоносных программ, а также индикаторы компрометации, и организации могут лучше защититься от этих киберугроз, расширив свое представление о деятельности угроз, связанных с Северной Кореей.
-----

В прошедшем году особенно активно действовали угрозы, связанные с Северной Кореей: на сегодняшний день отмечены две крупные кампании: RustBucket и KandyKorn. В кампании RustBucket использовалась вторая стадия вредоносной программы, получившая название SwiftLoader, которая внешне функционировала как программа просмотра PDF-документов, рассылаемых жертвам. Пока жертвы просматривали замануху, SwiftLoader находил и исполнял вредоносную программу следующего этапа, написанную на языке Rust. Кампания KandyKorn представляла собой тщательно разработанную пятиэтапную операцию, направленную на блокчейн-инженеров криптовалютной биржи. Она началась с социальной инженерии через Discord, в результате которой жертвы были вынуждены загрузить вредоносное Python-приложение, замаскированное под криптовалютного арбитражного бота. Скрипты Python использовались для запуска вредоносного ПО, которое перехватывало установленное на хосте приложение Discord и затем доставляло RAT с бэкдором на языке C++, получивший название KandyKorn.

Дальнейший анализ этих кампаний позволяет предположить, что угрозы КНДР теперь смешивают и сочетают компоненты обеих операций, причем дропперы SwiftLoader используются для доставки полезной нагрузки KandyKorn. Исследователи обнаружили различные версии KandyKorn RAT со следующими SHA1, а также различные варианты SwiftLoader. Последний распространялся в виде Internal PDF Viewer.app и SecurePDF Viewer.app, которые были подписаны и заверены нотариусом Apple и требовали macOS 12.6 (Monterey). Первый обращался к домену on-global.xyz, а второй - к docs-send.online/getBalance/usdt/ethereum. Обе программы сбросили скрытые исполняемые файлы по адресам /Users/Shared/.pw и /Users/Shared/.sld соответственно.

Кроме того, был обнаружен двоичный код Mach-O под названием ProcessRequest, который исследователи окрестили ObjCShellz, являющийся поздней стадией SwiftLoader SecurePDF Viewer.app. Этот код был написан на языке Objective-C и функционировал для выполнения простых shell-команд с удаленного C2 через функцию system(), вызывающую sh -c.

К признакам компрометации, обнаруженным и проанализированным в данном исследовании, относятся ссылки на вредоносное ПО, размещенные на Google drive, домен tp.globa.xyz, домен swissborg.blog, домен on-global.xyz, домен docs-send.online/getBalance/usdt/ethereum, файловый путь /Users/Shared/.pw и файловый путь /Users/Shared/.sld.

SentinelOne Singularity обеспечивает защиту от всех известных компонентов вредоносных программ KandyKorn и RustBucket. Расширяя наши представления о деятельности связанных с Северной Кореей субъектов угроз и обнаруживая новые индикаторы компрометации, организации могут лучше защищаться от киберугроз.
CTT Report Hub
#ParsedReport #CompletenessLow 27-11-2023 APT-C-52. 1. Sample analysis https://mp-weixin-qq-com.translate.goog/s?__biz=MzUyMjk4NzExMA==&mid=2247493844&idx=1&sn=c0f7fb39db6a01860503675e42c89c06&chksm=f9c1dbddceb652cb9b5d45b97975411cbfbbfe7355a60ca28d68b2…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: APT-C-52 ("Огненный змей") - южноазиатская организация, специализирующаяся на постоянных угрозах (APT), которая с начала 2021 года активно атакует пакистанских военнослужащих с помощью вредоносных приложений, распространяемых через магазин приложений Google Play. Лаборатория 360 FiberHome провела глубокое исследование и выявила хранилище исходного кода вредоносного образца, размещенного на Github.
-----

APT-C-52 (Fire Snake) - это южноазиатская организация, занимающаяся распространением современных постоянных угроз (APT) и действующая с начала 2021 года. Ее целью являются пакистанские военнослужащие, для которых вредоносные приложения распространяются через магазин приложений Google Play. После загрузки эти приложения используются для кражи конфиденциальной информации, такой как списки контактов, сообщения в строке уведомлений, текстовые сообщения, записи звонков, фотографии, документы и списки установленных приложений.

Вредоносное приложение замаскировано под чат и содержит обычные функции, такие как голосовые звонки, видеозвонки, голосовые сообщения и групповые чаты. Код был взят из существующего чат-приложения Opus Labs Works Yoohoo. Злоумышленники также использовали инструмент удаленного управления с открытым исходным кодом L3MON для кражи списков контактов, записей звонков, текстовых сообщений и т.д.

На среднем и позднем этапах атаки организация APT-C-52 (Fire Snake) удалила все функциональные коды L3MON и заменила их кодом для кражи списка контактов и специфических имен суффиксов. При этом код для кражи текстовых сообщений был сохранен, но не использовался. Это было сделано для того, чтобы избежать цензуры и облегчить распространение вредоносного приложения.

Чтобы лучше понять суть атаки, 360 FiberHome Lab провела глубокое исследование в области мобильной безопасности, такое как анализ мобильных вредоносных программ, исследование "серых" и "черных" продуктов, предупреждение мобильных угроз, обнаружение и отслеживание мобильных APT. В результате исследования удалось определить хранилище исходного кода вредоносного образца под названием ChatApp, которое было размещено на Github. Было обнаружено, что самая ранняя посылка кода была сделана 7 июля 2021 года, а ее автором был Hi** *Ch**** с соответствующим адресом электронной почты 22hi**********@gmail.com. Дальнейший анализ показал, что код содержит полный код для средних и поздних вредоносных функций организации APT-C-52 (Flame Snake).
CTT Report Hub
#ParsedReport #CompletenessLow 27-11-2023 Analysis of remote control attack activities by APT-C-35 (bellyworm) using RemcosRAT https://mp-weixin-qq-com.translate.goog/s?__biz=MzUyMjk4NzExMA==&mid=2247493959&idx=1&sn=1cd2431df4c0ad39f390e3e222a6bbec&chks…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея этого текста заключается в том, что Центр анализа угроз 360 обнаружил доказательства существования атакующей организации под названием APT-C-35 (Belt Brain Worm), которая ведет деятельность по кибершпионажу в отношении правительственных учреждений Пакистана, Шри-Ланки и других стран, окружающих Индию, и нашел доказательства связи между "мозговым червем" и Mahagrass.
-----

360 Threat Intelligence Center - это ведущая мировая платформа обмена, анализа и раннего предупреждения угроз. Используя огромные массивы данных по безопасности (десятки миллиардов образцов и триллионы журналов защиты), центр объединяет поиск уязвимостей, анализ вредоносных кодов и отслеживание угроз для получения высококачественной информации об угрозах безопасности и обеспечения защиты, обнаружения и реагирования на них.

Недавно Центр обнаружил свидетельства существования атакующей организации APT-C-35 (Belt Brain Worm), осуществляющей кибершпионаж в отношении правительственных учреждений Пакистана, Шри-Ланки и других стран, окружающих Индию. В основном эта организация занимается кражей конфиденциальной информации. В процессе отслеживания происхождения этой организации Центр обнаружил партию атак, направленных на Пакистан через систему 360 Security Guard. В результате отслеживания, анализа и вынесения суждений они первоначально приписали этого злоумышленника к червям.

Метод атаки заключался в распространении образца, использующего документ об уязвимости inp. Этот образец представляет собой полноценный RemcosRAT с CC-сервером 45.146.254.153:443. Сначала он проверяет общий объем памяти машины и пространство C:\, чтобы деактивировать виртуальную машину. Затем инициализирует rc4, использует ключ KtviKHggtmNv3MFi2VeHFXKrY7G5xz2PW5nGMVi63qtXMN0P9GjZdRSblnegAiJn, расшифровывает последующий шеллкод, загружает его в память и исполняет.

Благодаря наблюдению 360 охранников была обнаружена небольшая порция доказательств, позволяющих предположить связь между мозговым червем и махаграссом. Эта улика была обнаружена у двух пакистанских жертв, A и B, в день атаки. Когда жертва открывала inp-документ, загружался remcosRAT и вызывался rundll32 для выполнения экспортируемой функции StTskloipy из dnfgrtyh.dll. Существует определенное сходство между образцом загрузчика remcosRAT dr.exe и remcosRAT, приведенным в отчете друга.