CTT Report Hub
3.41K subscribers
9.66K photos
6 videos
67 files
13.3K links
Threat Intelligence Report Hub
Download Telegram
CTT Report Hub
#ParsedReport #CompletenessMedium 27-11-2023 DPRK Crypto Theft \| macOS RustBucket Droppers Pivot to Deliver KandyKorn Payloads https://www.sentinelone.com/blog/dprk-crypto-theft-macos-rustbucket-droppers-pivot-to-deliver-kandykorn-payloads Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: В прошлом году угрозы, связанные с Северной Кореей, были особенно активны в рамках двух крупных кампаний - RustBucket и KandyKorn, причем они смешивали и комбинировали компоненты между собой. Исследователи выявили различные версии вредоносных программ, а также индикаторы компрометации, и организации могут лучше защититься от этих киберугроз, расширив свое представление о деятельности угроз, связанных с Северной Кореей.
-----

В прошедшем году особенно активно действовали угрозы, связанные с Северной Кореей: на сегодняшний день отмечены две крупные кампании: RustBucket и KandyKorn. В кампании RustBucket использовалась вторая стадия вредоносной программы, получившая название SwiftLoader, которая внешне функционировала как программа просмотра PDF-документов, рассылаемых жертвам. Пока жертвы просматривали замануху, SwiftLoader находил и исполнял вредоносную программу следующего этапа, написанную на языке Rust. Кампания KandyKorn представляла собой тщательно разработанную пятиэтапную операцию, направленную на блокчейн-инженеров криптовалютной биржи. Она началась с социальной инженерии через Discord, в результате которой жертвы были вынуждены загрузить вредоносное Python-приложение, замаскированное под криптовалютного арбитражного бота. Скрипты Python использовались для запуска вредоносного ПО, которое перехватывало установленное на хосте приложение Discord и затем доставляло RAT с бэкдором на языке C++, получивший название KandyKorn.

Дальнейший анализ этих кампаний позволяет предположить, что угрозы КНДР теперь смешивают и сочетают компоненты обеих операций, причем дропперы SwiftLoader используются для доставки полезной нагрузки KandyKorn. Исследователи обнаружили различные версии KandyKorn RAT со следующими SHA1, а также различные варианты SwiftLoader. Последний распространялся в виде Internal PDF Viewer.app и SecurePDF Viewer.app, которые были подписаны и заверены нотариусом Apple и требовали macOS 12.6 (Monterey). Первый обращался к домену on-global.xyz, а второй - к docs-send.online/getBalance/usdt/ethereum. Обе программы сбросили скрытые исполняемые файлы по адресам /Users/Shared/.pw и /Users/Shared/.sld соответственно.

Кроме того, был обнаружен двоичный код Mach-O под названием ProcessRequest, который исследователи окрестили ObjCShellz, являющийся поздней стадией SwiftLoader SecurePDF Viewer.app. Этот код был написан на языке Objective-C и функционировал для выполнения простых shell-команд с удаленного C2 через функцию system(), вызывающую sh -c.

К признакам компрометации, обнаруженным и проанализированным в данном исследовании, относятся ссылки на вредоносное ПО, размещенные на Google drive, домен tp.globa.xyz, домен swissborg.blog, домен on-global.xyz, домен docs-send.online/getBalance/usdt/ethereum, файловый путь /Users/Shared/.pw и файловый путь /Users/Shared/.sld.

SentinelOne Singularity обеспечивает защиту от всех известных компонентов вредоносных программ KandyKorn и RustBucket. Расширяя наши представления о деятельности связанных с Северной Кореей субъектов угроз и обнаруживая новые индикаторы компрометации, организации могут лучше защищаться от киберугроз.
CTT Report Hub
#ParsedReport #CompletenessLow 27-11-2023 APT-C-52. 1. Sample analysis https://mp-weixin-qq-com.translate.goog/s?__biz=MzUyMjk4NzExMA==&mid=2247493844&idx=1&sn=c0f7fb39db6a01860503675e42c89c06&chksm=f9c1dbddceb652cb9b5d45b97975411cbfbbfe7355a60ca28d68b2…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: APT-C-52 ("Огненный змей") - южноазиатская организация, специализирующаяся на постоянных угрозах (APT), которая с начала 2021 года активно атакует пакистанских военнослужащих с помощью вредоносных приложений, распространяемых через магазин приложений Google Play. Лаборатория 360 FiberHome провела глубокое исследование и выявила хранилище исходного кода вредоносного образца, размещенного на Github.
-----

APT-C-52 (Fire Snake) - это южноазиатская организация, занимающаяся распространением современных постоянных угроз (APT) и действующая с начала 2021 года. Ее целью являются пакистанские военнослужащие, для которых вредоносные приложения распространяются через магазин приложений Google Play. После загрузки эти приложения используются для кражи конфиденциальной информации, такой как списки контактов, сообщения в строке уведомлений, текстовые сообщения, записи звонков, фотографии, документы и списки установленных приложений.

Вредоносное приложение замаскировано под чат и содержит обычные функции, такие как голосовые звонки, видеозвонки, голосовые сообщения и групповые чаты. Код был взят из существующего чат-приложения Opus Labs Works Yoohoo. Злоумышленники также использовали инструмент удаленного управления с открытым исходным кодом L3MON для кражи списков контактов, записей звонков, текстовых сообщений и т.д.

На среднем и позднем этапах атаки организация APT-C-52 (Fire Snake) удалила все функциональные коды L3MON и заменила их кодом для кражи списка контактов и специфических имен суффиксов. При этом код для кражи текстовых сообщений был сохранен, но не использовался. Это было сделано для того, чтобы избежать цензуры и облегчить распространение вредоносного приложения.

Чтобы лучше понять суть атаки, 360 FiberHome Lab провела глубокое исследование в области мобильной безопасности, такое как анализ мобильных вредоносных программ, исследование "серых" и "черных" продуктов, предупреждение мобильных угроз, обнаружение и отслеживание мобильных APT. В результате исследования удалось определить хранилище исходного кода вредоносного образца под названием ChatApp, которое было размещено на Github. Было обнаружено, что самая ранняя посылка кода была сделана 7 июля 2021 года, а ее автором был Hi** *Ch**** с соответствующим адресом электронной почты 22hi**********@gmail.com. Дальнейший анализ показал, что код содержит полный код для средних и поздних вредоносных функций организации APT-C-52 (Flame Snake).
CTT Report Hub
#ParsedReport #CompletenessLow 27-11-2023 Analysis of remote control attack activities by APT-C-35 (bellyworm) using RemcosRAT https://mp-weixin-qq-com.translate.goog/s?__biz=MzUyMjk4NzExMA==&mid=2247493959&idx=1&sn=1cd2431df4c0ad39f390e3e222a6bbec&chks…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея этого текста заключается в том, что Центр анализа угроз 360 обнаружил доказательства существования атакующей организации под названием APT-C-35 (Belt Brain Worm), которая ведет деятельность по кибершпионажу в отношении правительственных учреждений Пакистана, Шри-Ланки и других стран, окружающих Индию, и нашел доказательства связи между "мозговым червем" и Mahagrass.
-----

360 Threat Intelligence Center - это ведущая мировая платформа обмена, анализа и раннего предупреждения угроз. Используя огромные массивы данных по безопасности (десятки миллиардов образцов и триллионы журналов защиты), центр объединяет поиск уязвимостей, анализ вредоносных кодов и отслеживание угроз для получения высококачественной информации об угрозах безопасности и обеспечения защиты, обнаружения и реагирования на них.

Недавно Центр обнаружил свидетельства существования атакующей организации APT-C-35 (Belt Brain Worm), осуществляющей кибершпионаж в отношении правительственных учреждений Пакистана, Шри-Ланки и других стран, окружающих Индию. В основном эта организация занимается кражей конфиденциальной информации. В процессе отслеживания происхождения этой организации Центр обнаружил партию атак, направленных на Пакистан через систему 360 Security Guard. В результате отслеживания, анализа и вынесения суждений они первоначально приписали этого злоумышленника к червям.

Метод атаки заключался в распространении образца, использующего документ об уязвимости inp. Этот образец представляет собой полноценный RemcosRAT с CC-сервером 45.146.254.153:443. Сначала он проверяет общий объем памяти машины и пространство C:\, чтобы деактивировать виртуальную машину. Затем инициализирует rc4, использует ключ KtviKHggtmNv3MFi2VeHFXKrY7G5xz2PW5nGMVi63qtXMN0P9GjZdRSblnegAiJn, расшифровывает последующий шеллкод, загружает его в память и исполняет.

Благодаря наблюдению 360 охранников была обнаружена небольшая порция доказательств, позволяющих предположить связь между мозговым червем и махаграссом. Эта улика была обнаружена у двух пакистанских жертв, A и B, в день атаки. Когда жертва открывала inp-документ, загружался remcosRAT и вызывался rundll32 для выполнения экспортируемой функции StTskloipy из dnfgrtyh.dll. Существует определенное сходство между образцом загрузчика remcosRAT dr.exe и remcosRAT, приведенным в отчете друга.
#cyberthreattech

Нашли несколько интересных репозиториев на github, где отслеживаются C2-сервера через Shodan, или анализ конфигов малвари.

Естественно, затащили их в наш фид :)
👍1
#ParsedReport #CompletenessMedium
28-11-2023

GoTitan Botnet - Ongoing Exploitation on Apache ActiveMQ

https://www.fortinet.com/blog/threat-research/gotitan-botnet-exploitation-on-apache-activemq

Report completeness: Medium

Threats:
Gotitan_botnet
Sliver
Prctrl_rat
Kinsing_miner
Ddostf
Synflood_technique
Icmpflood_technique
Httpflood_technique
Xzccflood_technique
Tcpflood_technique
Wztcpflood_technique
Ackflood_technique
Wzudpflood_technique
Udpflood_technique
Dnsflood_technique

Geo:
China

CVEs:
CVE-2023-46604 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.4
X-Force: Patch: Official fix
Soft:
- apache activemq (<5.15.16, <5.16.7, <5.17.6, <5.18.3)


IOCs:
Url: 4
File: 6
IP: 7
Registry: 1
Hash: 11

Soft:
ActiveMQ, Net framework, curl, crontab

Algorithms:
base58, base32, md5, gzip, exhibit, base64

Languages:
golang

Platforms:
x64
CTT Report Hub
#ParsedReport #CompletenessMedium 28-11-2023 GoTitan Botnet - Ongoing Exploitation on Apache ActiveMQ https://www.fortinet.com/blog/threat-research/gotitan-botnet-exploitation-on-apache-activemq Report completeness: Medium Threats: Gotitan_botnet Sliver…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Несмотря на выпуск патча для CVE-2023-46604, угрожающие лица продолжают использовать эту уязвимость для распространения вредоносного ПО на восприимчивых серверах, что привело к появлению новых угроз, таких как GoTitan и PrCtrl Rat. Важно уделять приоритетное внимание обновлениям и исправлениям системы, чтобы снизить риск эксплуатации.
-----

Недавно компания Apache выпустила сообщение об уязвимости, связанной с десериализацией недоверенных данных, известной как CVE-2023-46604.

Компания Fortiguard Labs выпустила отчет об активной эксплуатации уязвимости и выявила множество угроз, использующих уязвимость для распространения различных видов вредоносного ПО, включая ботнет GoTitan на базе Golang и программу PrCtrl Rat для .NET.

Злоумышленники могут установить параметры типа cmd или bash, чтобы добиться выполнения кода на удаленном уязвимом сервере.

Sliver, инструмент тестирования на проникновение с открытым исходным кодом, может быть использован угрожающими субъектами для компрометации и контроля нескольких целей на различных платформах и архитектурах.

Kinsing получает bash-скрипт по адресу 194.38.22.53/acb.sh, а пакетный скрипт Ddostf - по адресу hxxp://42.121.111.112:81/xml.sh.

Несмотря на то, что патч для CVE-2023-46604 был выпущен более месяца назад, угрозы все еще используют эту уязвимость для распространения вредоносного ПО на восприимчивых серверах.

Для эффективного снижения риска эксплуатации важно уделять первоочередное внимание обновлениям и исправлениям системы и регулярно отслеживать рекомендации по безопасности.
#ParsedReport #CompletenessLow
22-11-2023

Beneath the Surface: How Hackers Turn NetSupport Against Users

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/beneath-the-surface-how-hackers-turn-netsupport-against-users-2

Report completeness: Low

Threats:
Netsupportmanager_rat
Bitsadmin

Geo:
Canada

IOCs:
File: 5
Url: 2
Command: 1
Path: 22
IP: 1
Hash: 4

Soft:
Windows Registry

Algorithms:
zip, xor, base64

Languages:
powershell, javascript

Platforms:
x86
CTT Report Hub
#ParsedReport #CompletenessLow 22-11-2023 Beneath the Surface: How Hackers Turn NetSupport Against Users https://www.mcafee.com/blogs/other-blogs/mcafee-labs/beneath-the-surface-how-hackers-turn-netsupport-against-users-2 Report completeness: Low Threats:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Вредоносная программа NetSupport - это постоянная угроза, которая эволюционирует и адаптирует свои методы заражения, распространяясь по территории США и Канады. Компания McAfee Labs обнаружила новую разновидность вредоносной программы NetSupport и предлагает надежные механизмы защиты для ее обнаружения и удаления.
-----

Вредоносная программа NetSupport - это постоянная угроза, которая постоянно развивается и адаптирует свои методы заражения, чтобы оставаться эффективной. Недавняя тепловая карта показала, что она распространяется по всей территории США и Канады, что свидетельствует о ее географическом охвате. Специалисты McAfee Labs обнаружили новую разновидность вредоносной программы NetSupport, которая распространяется с помощью JavaScript. Цепочка заражения начинается с обфусцированных файлов JavaScript, которые используются для загрузки полезной нагрузки - инструмента удаленного администрирования с вредоносными намерениями. Затем вызывается Windows Script Host (wscript.exe), и PowerShell используется для загрузки полезной нагрузки NetSupport. Затем вредоносная программа запускает двоичный файл client32.exe, который является клиентом NetSupport, отвечающим за установление контроля над взломанной системой. Он пытается спрятаться в каталогах профилей пользователей, что затрудняет его удаление.

Вредоносное ПО NetSupport использует файл NSM.LIC для хранения информации о лицензии, связанной с установкой NetSupport Manager, и файл Client32.ini для хранения параметров конфигурации для управления удаленным рабочим столом и других функций поддержки. Сообщение исходит от клиента NetSupport Manager версии 1.3. Для защиты от этой угрозы McAfee Labs предлагает надежные и эффективные механизмы защиты от угроз. Эти механизмы предназначены для выявления и устранения NetSupport и его различных итераций. Они также предоставляют рекомендации по снижению риска заражения.
#ParsedReport #CompletenessMedium
28-11-2023

RisePro Malware Analysis: Exploring C2 Communication of a New Version

https://any.run/cybersecurity-blog/risepro-malware-communication-analysis

Report completeness: Medium

Threats:
Riseprostealer
Privateloader
Vidar_stealer
Hvnc_tool
Vmprotect_tool

IOCs:
File: 4
Hash: 8
Path: 7
IP: 3
Url: 1

Soft:
Telegram, Discord

Algorithms:
sha256, zip, xor

Languages:
python

Links:
https://github.com/anyrun/blog-scripts/tree/main/Scripts/RisePro/risepro\_tcp\_decoder.py
https://github.com/anyrun/YARA/blob/main/RisePro.yar
CTT Report Hub
#ParsedReport #CompletenessMedium 28-11-2023 RisePro Malware Analysis: Exploring C2 Communication of a New Version https://any.run/cybersecurity-blog/risepro-malware-communication-analysis Report completeness: Medium Threats: Riseprostealer Privateloader…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: RisePro - это вредоносная программа для кражи информации, которая впервые была обнаружена в 2022 году, а в последнее время наблюдается всплеск активности. Он распространяется службой распространения вредоносных программ с оплатой за установку (PPI) PrivateLoader и предназначен для кражи кредитных карт, паролей и криптовалютных кошельков с зараженных устройств. Эта статья посвящена недавним изменениям в структуре связи C2 и сетевого трафика последней версии RisePro, которые кардинально отличаются от предыдущих итераций. Он способен включать HVNC, делать скриншоты во время выполнения и перехватывать данные из таких приложений, как Telegram и Discord. Бесплатное исследование вредоносного ПО с помощью ANY.RUN также может дать дополнительные сведения об этой вредоносной программе.
-----

RisePro - это вредоносная программа для похищения информации, которая впервые была обнаружена в 2022 году.

Он распространяется службой распространения вредоносных программ PrivateLoader с оплатой за установку (PPI).

Он предназначен для кражи кредитных карт, паролей и криптовалютных кошельков с зараженных устройств.

RisePro взаимодействует с командно-контрольным сервером (C2) в четыре этапа: Инициализация, Получение конфигурации, Выполнение функций кражи и загрузчика и Запуск HVNC.

С помощью grab_config вредоносная программа настраивает прокси-сервер на компьютере жертвы, инициирует HVNC и передает данные в Telegram.

Вредоносная программа также обладает возможностями удаленного управления, то есть теперь она может функционировать как троянец удаленного доступа.

Вредоносная программа рассылает украденные пароли в отдельном файле под названием passwords.txt.

Существует множество версий RisePro, включая версию на C#, которая обфусцирована, возможно, с помощью Confuser.Core, и версию на C++, защищенную с помощью VMProtect.

Мы создали правило YARA для обнаружения этих обновленных версий RisePro, которое можно найти на нашем GitHub.

Правила Suricata IDS для обнаружения RisePro доступны в Интернете, соответствующие идентификаторы правил включают 2046267, 2046269, 2046268, 2046266, 2046270 и 2049060.