CTT Report Hub
3.41K subscribers
9.66K photos
6 videos
67 files
13.3K links
Threat Intelligence Report Hub
Download Telegram
CTT Report Hub
#ParsedReport #CompletenessLow 27-11-2023 Malicious code created by North Korean hacking group APT37 Reaper - November 2023 Claim Details.html https://wezard4u-tistory-com.translate.goog/6661?_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=ru&_x_tr_pto=wapp Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Северокорейская хакерская группа APT37 Reaper, также известная как Reaper или Group123, - активная группа APT-атак, направленная на правительственные, военные, крупные корпорации и правозащитные организации с целью сбора информации, разведки и кибершпионажа. Для кражи учетных данных, утечки информации, захвата скриншотов, управления файлами и каталогами они используют вредоносный код, например RokRAT, Amadey, и сжатые файлы.
-----

November 2023 Claim Details.html - это вредоносный код, созданный северокорейской хакерской группой APT37 Reaper, также известной как Reaper или Group123. Эта APT-группа впервые начала свою деятельность в 2012 году с целью сбора информации, разведки и кибершпионажа. Ее объектами являются правительство, военные, крупные корпорации и правозащитные организации. В центре ее внимания находятся дипломатические и внутренние проблемы Кореи, а также компании в Японии, Вьетнаме, на Ближнем Востоке и в других регионах с целью кражи секретов компаний, например, в химической, электронной, производственной, аэрокосмической, автомобильной и медицинской промышленности. Они действуют под различными названиями, такими как APT37, Inky Squid, RedEyes, ScarCruft и Ricochet Chollima.

RokRAT не использует значение макроса по умолчанию в Microsoft Office и в последнее время распространяется в формате lnk-файлов, чтобы убедиться, что слабая атака через макросы не работает из-за повышения осведомленности пользователей. Он используется для кражи учетных данных, утечки информации, захвата скриншотов, сбора системной информации, выполнения команд и шелл-кода, управления файлами и каталогами. Reaper часто использует сервисы облачного хранения данных для C2.

При анализе цепочки заражения ROKRAT характерно использование аналогичной цепочки, распространяющей коммерческую RAT Amadey, продаваемую на подпольных форумах. Например, в ноябре 2023 года она распространяется под именем billing details.zip. Атака начинается с файла-приманки HWP, который берется с сайта Национальной ассамблеи, далее следуют сжатый файл, lnk-файл-приманка, запуск PowerShell и vbs-скрипт для кражи персональных данных.
#ParsedReport #CompletenessMedium
27-11-2023

WildCard: The APT Behind SysJoker Targets Critical Sectors in Israel

https://intezer.com/blog/research/wildcard-evolution-of-sysjoker-cyber-threat

Report completeness: Medium

Actors/Campaigns:
Wildcard
Electric_powder

Threats:
Sysjoker
Rustdown
Dead_drop_technique

Victims:
Israeli educational institution, israeli electric corporation (iec)

Industry:
Energy, Education

Geo:
Israeli, Iranian, Israel

IOCs:
Path: 2
Url: 3
Hash: 5
IP: 1
Domain: 3

Soft:
macOS

Algorithms:
zip, base64, xor

Languages:
php, powershell, rust, typescript
CTT Report Hub
#ParsedReport #CompletenessMedium 27-11-2023 WildCard: The APT Behind SysJoker Targets Critical Sectors in Israel https://intezer.com/blog/research/wildcard-evolution-of-sysjoker-cyber-threat Report completeness: Medium Actors/Campaigns: Wildcard Electric_powder…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: WildCard - это группа постоянных угроз, которая с 2021 года атакует израильские критически важные сектора, используя сложные варианты вредоносного ПО, маскирующиеся под легитимные программы, написанные на языках C++ и Rust. Вероятно, она будет наращивать темп своей деятельности в условиях продолжающейся войны между Израилем и ХАМАС.
-----

WildCard - это недавно выявленная группа постоянных угроз (APT), первоначально обнаруженная благодаря использованию вредоносной программы SysJoker. С 2021 года WildCard атакует критически важные отрасли Израиля, такие как образовательный сектор. Группа создала сложные варианты вредоносных программ, маскирующихся под легитимное ПО и написанных на языках C++ и Rust. Связи с операцией ElectricPowder указывают на продвинутый уровень возможностей и сложности.

WildCard атакует машины под управлением Windows, macOS и Linux. WildCard создал варианты, маскирующиеся под программы DMAdevice и AppMessagingRegistrar, написанные на языке C++. Кроме того, она разработала вредоносное ПО на языке Rust под названием RustDown. Вредоносная программа представляет собой 32-разрядный исполняемый файл для Windows, маскирующийся под компонент фреймворка PHP. WildCard использует фишинговые кампании, чтобы убедить жертв загрузить свое вредоносное ПО, и использует популярные общедоступные сервисы, такие как GDrive и OneDrive, для поддержания связи со своим C2 в качестве dead drop resolvers.

Анализ RustDown показывает, что он разделяет тактику, используемую WildCard в SysJoker и его вариантах, и что одна и та же специфическая строка деобфусцируется во время выполнения и используется для установления персистентности. Это позволяет предположить наличие связи между разработкой, продолжавшейся почти четыре года и объединяющей различные операции WildCard. Кроме того, было обнаружено, что WildCard использует геозонирование своей системы C2, чтобы отвечать только на IP-адреса из Израиля, что еще больше подтверждает гипотезу о том, что эта группа нацелена на израильские критически важные сектора.

WildCard, скорее всего, увеличит темп своей деятельности в соответствии с текущим конфликтом между Израилем и ХАМАС. Продолжая следить за ситуацией с угрозами, связанными с продолжающейся войной между Израилем и ХАМАС, важно подчеркнуть существование нетрадиционных угроз, таких как WildCard, которые остаются незамеченными. Несмотря на то, что эта APT-группа повторно применяет модели поведения, позволяющие избежать обнаружения, она продолжает активно действовать, постоянно атакуя такие критически важные для Израиля отрасли, как образование, ИТ-инфраструктура и, возможно, электроэнергетика.
#ParsedReport #CompletenessMedium
27-11-2023

DPRK Crypto Theft \| macOS RustBucket Droppers Pivot to Deliver KandyKorn Payloads

https://www.sentinelone.com/blog/dprk-crypto-theft-macos-rustbucket-droppers-pivot-to-deliver-kandykorn-payloads

Report completeness: Medium

Threats:
Rustbucket
Kandykorn
Objcshellz
Swiftloader
Findertools
Sugarloader
Hloader
Applescript
Bazarbackdoor

Industry:
Financial

Geo:
Korean, Dprk

IOCs:
File: 4
Url: 5
IP: 1
Hash: 24

Soft:
macOS, Discord, curl

Algorithms:
zip, xor, sha1

Functions:
system

Languages:
python, objective_c, rust

Platforms:
intel, apple, cross-platform
CTT Report Hub
#ParsedReport #CompletenessMedium 27-11-2023 DPRK Crypto Theft \| macOS RustBucket Droppers Pivot to Deliver KandyKorn Payloads https://www.sentinelone.com/blog/dprk-crypto-theft-macos-rustbucket-droppers-pivot-to-deliver-kandykorn-payloads Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: В прошлом году угрозы, связанные с Северной Кореей, были особенно активны в рамках двух крупных кампаний - RustBucket и KandyKorn, причем они смешивали и комбинировали компоненты между собой. Исследователи выявили различные версии вредоносных программ, а также индикаторы компрометации, и организации могут лучше защититься от этих киберугроз, расширив свое представление о деятельности угроз, связанных с Северной Кореей.
-----

В прошедшем году особенно активно действовали угрозы, связанные с Северной Кореей: на сегодняшний день отмечены две крупные кампании: RustBucket и KandyKorn. В кампании RustBucket использовалась вторая стадия вредоносной программы, получившая название SwiftLoader, которая внешне функционировала как программа просмотра PDF-документов, рассылаемых жертвам. Пока жертвы просматривали замануху, SwiftLoader находил и исполнял вредоносную программу следующего этапа, написанную на языке Rust. Кампания KandyKorn представляла собой тщательно разработанную пятиэтапную операцию, направленную на блокчейн-инженеров криптовалютной биржи. Она началась с социальной инженерии через Discord, в результате которой жертвы были вынуждены загрузить вредоносное Python-приложение, замаскированное под криптовалютного арбитражного бота. Скрипты Python использовались для запуска вредоносного ПО, которое перехватывало установленное на хосте приложение Discord и затем доставляло RAT с бэкдором на языке C++, получивший название KandyKorn.

Дальнейший анализ этих кампаний позволяет предположить, что угрозы КНДР теперь смешивают и сочетают компоненты обеих операций, причем дропперы SwiftLoader используются для доставки полезной нагрузки KandyKorn. Исследователи обнаружили различные версии KandyKorn RAT со следующими SHA1, а также различные варианты SwiftLoader. Последний распространялся в виде Internal PDF Viewer.app и SecurePDF Viewer.app, которые были подписаны и заверены нотариусом Apple и требовали macOS 12.6 (Monterey). Первый обращался к домену on-global.xyz, а второй - к docs-send.online/getBalance/usdt/ethereum. Обе программы сбросили скрытые исполняемые файлы по адресам /Users/Shared/.pw и /Users/Shared/.sld соответственно.

Кроме того, был обнаружен двоичный код Mach-O под названием ProcessRequest, который исследователи окрестили ObjCShellz, являющийся поздней стадией SwiftLoader SecurePDF Viewer.app. Этот код был написан на языке Objective-C и функционировал для выполнения простых shell-команд с удаленного C2 через функцию system(), вызывающую sh -c.

К признакам компрометации, обнаруженным и проанализированным в данном исследовании, относятся ссылки на вредоносное ПО, размещенные на Google drive, домен tp.globa.xyz, домен swissborg.blog, домен on-global.xyz, домен docs-send.online/getBalance/usdt/ethereum, файловый путь /Users/Shared/.pw и файловый путь /Users/Shared/.sld.

SentinelOne Singularity обеспечивает защиту от всех известных компонентов вредоносных программ KandyKorn и RustBucket. Расширяя наши представления о деятельности связанных с Северной Кореей субъектов угроз и обнаруживая новые индикаторы компрометации, организации могут лучше защищаться от киберугроз.
CTT Report Hub
#ParsedReport #CompletenessLow 27-11-2023 APT-C-52. 1. Sample analysis https://mp-weixin-qq-com.translate.goog/s?__biz=MzUyMjk4NzExMA==&mid=2247493844&idx=1&sn=c0f7fb39db6a01860503675e42c89c06&chksm=f9c1dbddceb652cb9b5d45b97975411cbfbbfe7355a60ca28d68b2…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: APT-C-52 ("Огненный змей") - южноазиатская организация, специализирующаяся на постоянных угрозах (APT), которая с начала 2021 года активно атакует пакистанских военнослужащих с помощью вредоносных приложений, распространяемых через магазин приложений Google Play. Лаборатория 360 FiberHome провела глубокое исследование и выявила хранилище исходного кода вредоносного образца, размещенного на Github.
-----

APT-C-52 (Fire Snake) - это южноазиатская организация, занимающаяся распространением современных постоянных угроз (APT) и действующая с начала 2021 года. Ее целью являются пакистанские военнослужащие, для которых вредоносные приложения распространяются через магазин приложений Google Play. После загрузки эти приложения используются для кражи конфиденциальной информации, такой как списки контактов, сообщения в строке уведомлений, текстовые сообщения, записи звонков, фотографии, документы и списки установленных приложений.

Вредоносное приложение замаскировано под чат и содержит обычные функции, такие как голосовые звонки, видеозвонки, голосовые сообщения и групповые чаты. Код был взят из существующего чат-приложения Opus Labs Works Yoohoo. Злоумышленники также использовали инструмент удаленного управления с открытым исходным кодом L3MON для кражи списков контактов, записей звонков, текстовых сообщений и т.д.

На среднем и позднем этапах атаки организация APT-C-52 (Fire Snake) удалила все функциональные коды L3MON и заменила их кодом для кражи списка контактов и специфических имен суффиксов. При этом код для кражи текстовых сообщений был сохранен, но не использовался. Это было сделано для того, чтобы избежать цензуры и облегчить распространение вредоносного приложения.

Чтобы лучше понять суть атаки, 360 FiberHome Lab провела глубокое исследование в области мобильной безопасности, такое как анализ мобильных вредоносных программ, исследование "серых" и "черных" продуктов, предупреждение мобильных угроз, обнаружение и отслеживание мобильных APT. В результате исследования удалось определить хранилище исходного кода вредоносного образца под названием ChatApp, которое было размещено на Github. Было обнаружено, что самая ранняя посылка кода была сделана 7 июля 2021 года, а ее автором был Hi** *Ch**** с соответствующим адресом электронной почты 22hi**********@gmail.com. Дальнейший анализ показал, что код содержит полный код для средних и поздних вредоносных функций организации APT-C-52 (Flame Snake).
CTT Report Hub
#ParsedReport #CompletenessLow 27-11-2023 Analysis of remote control attack activities by APT-C-35 (bellyworm) using RemcosRAT https://mp-weixin-qq-com.translate.goog/s?__biz=MzUyMjk4NzExMA==&mid=2247493959&idx=1&sn=1cd2431df4c0ad39f390e3e222a6bbec&chks…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея этого текста заключается в том, что Центр анализа угроз 360 обнаружил доказательства существования атакующей организации под названием APT-C-35 (Belt Brain Worm), которая ведет деятельность по кибершпионажу в отношении правительственных учреждений Пакистана, Шри-Ланки и других стран, окружающих Индию, и нашел доказательства связи между "мозговым червем" и Mahagrass.
-----

360 Threat Intelligence Center - это ведущая мировая платформа обмена, анализа и раннего предупреждения угроз. Используя огромные массивы данных по безопасности (десятки миллиардов образцов и триллионы журналов защиты), центр объединяет поиск уязвимостей, анализ вредоносных кодов и отслеживание угроз для получения высококачественной информации об угрозах безопасности и обеспечения защиты, обнаружения и реагирования на них.

Недавно Центр обнаружил свидетельства существования атакующей организации APT-C-35 (Belt Brain Worm), осуществляющей кибершпионаж в отношении правительственных учреждений Пакистана, Шри-Ланки и других стран, окружающих Индию. В основном эта организация занимается кражей конфиденциальной информации. В процессе отслеживания происхождения этой организации Центр обнаружил партию атак, направленных на Пакистан через систему 360 Security Guard. В результате отслеживания, анализа и вынесения суждений они первоначально приписали этого злоумышленника к червям.

Метод атаки заключался в распространении образца, использующего документ об уязвимости inp. Этот образец представляет собой полноценный RemcosRAT с CC-сервером 45.146.254.153:443. Сначала он проверяет общий объем памяти машины и пространство C:\, чтобы деактивировать виртуальную машину. Затем инициализирует rc4, использует ключ KtviKHggtmNv3MFi2VeHFXKrY7G5xz2PW5nGMVi63qtXMN0P9GjZdRSblnegAiJn, расшифровывает последующий шеллкод, загружает его в память и исполняет.

Благодаря наблюдению 360 охранников была обнаружена небольшая порция доказательств, позволяющих предположить связь между мозговым червем и махаграссом. Эта улика была обнаружена у двух пакистанских жертв, A и B, в день атаки. Когда жертва открывала inp-документ, загружался remcosRAT и вызывался rundll32 для выполнения экспортируемой функции StTskloipy из dnfgrtyh.dll. Существует определенное сходство между образцом загрузчика remcosRAT dr.exe и remcosRAT, приведенным в отчете друга.
#cyberthreattech

Нашли несколько интересных репозиториев на github, где отслеживаются C2-сервера через Shodan, или анализ конфигов малвари.

Естественно, затащили их в наш фид :)
👍1
#ParsedReport #CompletenessMedium
28-11-2023

GoTitan Botnet - Ongoing Exploitation on Apache ActiveMQ

https://www.fortinet.com/blog/threat-research/gotitan-botnet-exploitation-on-apache-activemq

Report completeness: Medium

Threats:
Gotitan_botnet
Sliver
Prctrl_rat
Kinsing_miner
Ddostf
Synflood_technique
Icmpflood_technique
Httpflood_technique
Xzccflood_technique
Tcpflood_technique
Wztcpflood_technique
Ackflood_technique
Wzudpflood_technique
Udpflood_technique
Dnsflood_technique

Geo:
China

CVEs:
CVE-2023-46604 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.4
X-Force: Patch: Official fix
Soft:
- apache activemq (<5.15.16, <5.16.7, <5.17.6, <5.18.3)


IOCs:
Url: 4
File: 6
IP: 7
Registry: 1
Hash: 11

Soft:
ActiveMQ, Net framework, curl, crontab

Algorithms:
base58, base32, md5, gzip, exhibit, base64

Languages:
golang

Platforms:
x64
CTT Report Hub
#ParsedReport #CompletenessMedium 28-11-2023 GoTitan Botnet - Ongoing Exploitation on Apache ActiveMQ https://www.fortinet.com/blog/threat-research/gotitan-botnet-exploitation-on-apache-activemq Report completeness: Medium Threats: Gotitan_botnet Sliver…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Несмотря на выпуск патча для CVE-2023-46604, угрожающие лица продолжают использовать эту уязвимость для распространения вредоносного ПО на восприимчивых серверах, что привело к появлению новых угроз, таких как GoTitan и PrCtrl Rat. Важно уделять приоритетное внимание обновлениям и исправлениям системы, чтобы снизить риск эксплуатации.
-----

Недавно компания Apache выпустила сообщение об уязвимости, связанной с десериализацией недоверенных данных, известной как CVE-2023-46604.

Компания Fortiguard Labs выпустила отчет об активной эксплуатации уязвимости и выявила множество угроз, использующих уязвимость для распространения различных видов вредоносного ПО, включая ботнет GoTitan на базе Golang и программу PrCtrl Rat для .NET.

Злоумышленники могут установить параметры типа cmd или bash, чтобы добиться выполнения кода на удаленном уязвимом сервере.

Sliver, инструмент тестирования на проникновение с открытым исходным кодом, может быть использован угрожающими субъектами для компрометации и контроля нескольких целей на различных платформах и архитектурах.

Kinsing получает bash-скрипт по адресу 194.38.22.53/acb.sh, а пакетный скрипт Ddostf - по адресу hxxp://42.121.111.112:81/xml.sh.

Несмотря на то, что патч для CVE-2023-46604 был выпущен более месяца назад, угрозы все еще используют эту уязвимость для распространения вредоносного ПО на восприимчивых серверах.

Для эффективного снижения риска эксплуатации важно уделять первоочередное внимание обновлениям и исправлениям системы и регулярно отслеживать рекомендации по безопасности.