#ParsedReport #CompletenessLow
27-11-2023
APT-C-52. 1. Sample analysis
https://mp-weixin-qq-com.translate.goog/s?__biz=MzUyMjk4NzExMA==&mid=2247493844&idx=1&sn=c0f7fb39db6a01860503675e42c89c06&chksm=f9c1dbddceb652cb9b5d45b97975411cbfbbfe7355a60ca28d68b21565935f7199ac16e98c8b&scene=178&cur_album_id=1955835290309230595&_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=en&_x_tr_pto=wapp#rd
Report completeness: Low
Actors/Campaigns:
Fire_snake
Snake
Manlinghua
Threats:
L3mon_tool
Victims:
Pakistani military personnel
Industry:
Military
Geo:
Pakistani, Asia, Pakistan
ChatGPT TTPs:
T1193, T1064, T1219, T1027, T1132, T1113, T1036, T1107
IOCs:
Email: 1
Hash: 20
Soft:
WhatsApp
Algorithms:
md5
27-11-2023
APT-C-52. 1. Sample analysis
https://mp-weixin-qq-com.translate.goog/s?__biz=MzUyMjk4NzExMA==&mid=2247493844&idx=1&sn=c0f7fb39db6a01860503675e42c89c06&chksm=f9c1dbddceb652cb9b5d45b97975411cbfbbfe7355a60ca28d68b21565935f7199ac16e98c8b&scene=178&cur_album_id=1955835290309230595&_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=en&_x_tr_pto=wapp#rd
Report completeness: Low
Actors/Campaigns:
Fire_snake
Snake
Manlinghua
Threats:
L3mon_tool
Victims:
Pakistani military personnel
Industry:
Military
Geo:
Pakistani, Asia, Pakistan
ChatGPT TTPs:
do not use without manual checkT1193, T1064, T1219, T1027, T1132, T1113, T1036, T1107
IOCs:
Email: 1
Hash: 20
Soft:
Algorithms:
md5
微信公众平台
桃色陷阱行动:APT-C-52(焰魔蛇)组织针对巴基斯坦的攻击活动
APT-C-52(焰魔蛇)组织是一个来自南亚的APT组织,主要针对目标进行有组织、有计划、针对性的网络攻击行动
CTT Report Hub
#ParsedReport #CompletenessLow 27-11-2023 APT-C-52. 1. Sample analysis https://mp-weixin-qq-com.translate.goog/s?__biz=MzUyMjk4NzExMA==&mid=2247493844&idx=1&sn=c0f7fb39db6a01860503675e42c89c06&chksm=f9c1dbddceb652cb9b5d45b97975411cbfbbfe7355a60ca28d68b2…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: APT-C-52 ("Огненный змей") - южноазиатская организация, специализирующаяся на постоянных угрозах (APT), которая с начала 2021 года активно атакует пакистанских военнослужащих с помощью вредоносных приложений, распространяемых через магазин приложений Google Play. Лаборатория 360 FiberHome провела глубокое исследование и выявила хранилище исходного кода вредоносного образца, размещенного на Github.
-----
APT-C-52 (Fire Snake) - это южноазиатская организация, занимающаяся распространением современных постоянных угроз (APT) и действующая с начала 2021 года. Ее целью являются пакистанские военнослужащие, для которых вредоносные приложения распространяются через магазин приложений Google Play. После загрузки эти приложения используются для кражи конфиденциальной информации, такой как списки контактов, сообщения в строке уведомлений, текстовые сообщения, записи звонков, фотографии, документы и списки установленных приложений.
Вредоносное приложение замаскировано под чат и содержит обычные функции, такие как голосовые звонки, видеозвонки, голосовые сообщения и групповые чаты. Код был взят из существующего чат-приложения Opus Labs Works Yoohoo. Злоумышленники также использовали инструмент удаленного управления с открытым исходным кодом L3MON для кражи списков контактов, записей звонков, текстовых сообщений и т.д.
На среднем и позднем этапах атаки организация APT-C-52 (Fire Snake) удалила все функциональные коды L3MON и заменила их кодом для кражи списка контактов и специфических имен суффиксов. При этом код для кражи текстовых сообщений был сохранен, но не использовался. Это было сделано для того, чтобы избежать цензуры и облегчить распространение вредоносного приложения.
Чтобы лучше понять суть атаки, 360 FiberHome Lab провела глубокое исследование в области мобильной безопасности, такое как анализ мобильных вредоносных программ, исследование "серых" и "черных" продуктов, предупреждение мобильных угроз, обнаружение и отслеживание мобильных APT. В результате исследования удалось определить хранилище исходного кода вредоносного образца под названием ChatApp, которое было размещено на Github. Было обнаружено, что самая ранняя посылка кода была сделана 7 июля 2021 года, а ее автором был Hi** *Ch**** с соответствующим адресом электронной почты 22hi**********@gmail.com. Дальнейший анализ показал, что код содержит полный код для средних и поздних вредоносных функций организации APT-C-52 (Flame Snake).
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: APT-C-52 ("Огненный змей") - южноазиатская организация, специализирующаяся на постоянных угрозах (APT), которая с начала 2021 года активно атакует пакистанских военнослужащих с помощью вредоносных приложений, распространяемых через магазин приложений Google Play. Лаборатория 360 FiberHome провела глубокое исследование и выявила хранилище исходного кода вредоносного образца, размещенного на Github.
-----
APT-C-52 (Fire Snake) - это южноазиатская организация, занимающаяся распространением современных постоянных угроз (APT) и действующая с начала 2021 года. Ее целью являются пакистанские военнослужащие, для которых вредоносные приложения распространяются через магазин приложений Google Play. После загрузки эти приложения используются для кражи конфиденциальной информации, такой как списки контактов, сообщения в строке уведомлений, текстовые сообщения, записи звонков, фотографии, документы и списки установленных приложений.
Вредоносное приложение замаскировано под чат и содержит обычные функции, такие как голосовые звонки, видеозвонки, голосовые сообщения и групповые чаты. Код был взят из существующего чат-приложения Opus Labs Works Yoohoo. Злоумышленники также использовали инструмент удаленного управления с открытым исходным кодом L3MON для кражи списков контактов, записей звонков, текстовых сообщений и т.д.
На среднем и позднем этапах атаки организация APT-C-52 (Fire Snake) удалила все функциональные коды L3MON и заменила их кодом для кражи списка контактов и специфических имен суффиксов. При этом код для кражи текстовых сообщений был сохранен, но не использовался. Это было сделано для того, чтобы избежать цензуры и облегчить распространение вредоносного приложения.
Чтобы лучше понять суть атаки, 360 FiberHome Lab провела глубокое исследование в области мобильной безопасности, такое как анализ мобильных вредоносных программ, исследование "серых" и "черных" продуктов, предупреждение мобильных угроз, обнаружение и отслеживание мобильных APT. В результате исследования удалось определить хранилище исходного кода вредоносного образца под названием ChatApp, которое было размещено на Github. Было обнаружено, что самая ранняя посылка кода была сделана 7 июля 2021 года, а ее автором был Hi** *Ch**** с соответствующим адресом электронной почты 22hi**********@gmail.com. Дальнейший анализ показал, что код содержит полный код для средних и поздних вредоносных функций организации APT-C-52 (Flame Snake).
#ParsedReport #CompletenessLow
27-11-2023
Analysis of remote control attack activities by APT-C-35 (bellyworm) using RemcosRAT
https://mp-weixin-qq-com.translate.goog/s?__biz=MzUyMjk4NzExMA==&mid=2247493959&idx=1&sn=1cd2431df4c0ad39f390e3e222a6bbec&chksm=f9c1da4eceb65358dac904560f351c82cc829aa49c5b0698861d0c237c8773b4f27bbd84d1f9&scene=178&cur_album_id=1955835290309230595&_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=en&_x_tr_pto=wapp#rd
Report completeness: Low
Actors/Campaigns:
Donot (motivation: cyber_espionage)
Dropping_elephant
Threats:
Remcos_rat
Industry:
Government
Geo:
India, Pakistani, Asia, Pakistan
TTPs:
Tactics: 1
Technics: 0
IOCs:
File: 7
IP: 5
Path: 1
Url: 3
Hash: 7
Algorithms:
sha256, rc4, aes, sha1, md5
Win API:
GlobalAlloc
Win Services:
EventLog
27-11-2023
Analysis of remote control attack activities by APT-C-35 (bellyworm) using RemcosRAT
https://mp-weixin-qq-com.translate.goog/s?__biz=MzUyMjk4NzExMA==&mid=2247493959&idx=1&sn=1cd2431df4c0ad39f390e3e222a6bbec&chksm=f9c1da4eceb65358dac904560f351c82cc829aa49c5b0698861d0c237c8773b4f27bbd84d1f9&scene=178&cur_album_id=1955835290309230595&_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=en&_x_tr_pto=wapp#rd
Report completeness: Low
Actors/Campaigns:
Donot (motivation: cyber_espionage)
Dropping_elephant
Threats:
Remcos_rat
Industry:
Government
Geo:
India, Pakistani, Asia, Pakistan
TTPs:
Tactics: 1
Technics: 0
IOCs:
File: 7
IP: 5
Path: 1
Url: 3
Hash: 7
Algorithms:
sha256, rc4, aes, sha1, md5
Win API:
GlobalAlloc
Win Services:
EventLog
微信公众平台
APT-C-35(肚脑虫)利用RemcosRAT远控攻击活动分析
本次攻击特点是借助了知名商业远控remcosRAT完成功能组件的下发,同时在情报挖掘中,我们还发现了APT-C-35(肚脑虫)与APT-C-09(摩诃草)之间存在一定的关联
CTT Report Hub
#ParsedReport #CompletenessLow 27-11-2023 Analysis of remote control attack activities by APT-C-35 (bellyworm) using RemcosRAT https://mp-weixin-qq-com.translate.goog/s?__biz=MzUyMjk4NzExMA==&mid=2247493959&idx=1&sn=1cd2431df4c0ad39f390e3e222a6bbec&chks…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея этого текста заключается в том, что Центр анализа угроз 360 обнаружил доказательства существования атакующей организации под названием APT-C-35 (Belt Brain Worm), которая ведет деятельность по кибершпионажу в отношении правительственных учреждений Пакистана, Шри-Ланки и других стран, окружающих Индию, и нашел доказательства связи между "мозговым червем" и Mahagrass.
-----
360 Threat Intelligence Center - это ведущая мировая платформа обмена, анализа и раннего предупреждения угроз. Используя огромные массивы данных по безопасности (десятки миллиардов образцов и триллионы журналов защиты), центр объединяет поиск уязвимостей, анализ вредоносных кодов и отслеживание угроз для получения высококачественной информации об угрозах безопасности и обеспечения защиты, обнаружения и реагирования на них.
Недавно Центр обнаружил свидетельства существования атакующей организации APT-C-35 (Belt Brain Worm), осуществляющей кибершпионаж в отношении правительственных учреждений Пакистана, Шри-Ланки и других стран, окружающих Индию. В основном эта организация занимается кражей конфиденциальной информации. В процессе отслеживания происхождения этой организации Центр обнаружил партию атак, направленных на Пакистан через систему 360 Security Guard. В результате отслеживания, анализа и вынесения суждений они первоначально приписали этого злоумышленника к червям.
Метод атаки заключался в распространении образца, использующего документ об уязвимости inp. Этот образец представляет собой полноценный RemcosRAT с CC-сервером 45.146.254.153:443. Сначала он проверяет общий объем памяти машины и пространство C:\, чтобы деактивировать виртуальную машину. Затем инициализирует rc4, использует ключ KtviKHggtmNv3MFi2VeHFXKrY7G5xz2PW5nGMVi63qtXMN0P9GjZdRSblnegAiJn, расшифровывает последующий шеллкод, загружает его в память и исполняет.
Благодаря наблюдению 360 охранников была обнаружена небольшая порция доказательств, позволяющих предположить связь между мозговым червем и махаграссом. Эта улика была обнаружена у двух пакистанских жертв, A и B, в день атаки. Когда жертва открывала inp-документ, загружался remcosRAT и вызывался rundll32 для выполнения экспортируемой функции StTskloipy из dnfgrtyh.dll. Существует определенное сходство между образцом загрузчика remcosRAT dr.exe и remcosRAT, приведенным в отчете друга.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея этого текста заключается в том, что Центр анализа угроз 360 обнаружил доказательства существования атакующей организации под названием APT-C-35 (Belt Brain Worm), которая ведет деятельность по кибершпионажу в отношении правительственных учреждений Пакистана, Шри-Ланки и других стран, окружающих Индию, и нашел доказательства связи между "мозговым червем" и Mahagrass.
-----
360 Threat Intelligence Center - это ведущая мировая платформа обмена, анализа и раннего предупреждения угроз. Используя огромные массивы данных по безопасности (десятки миллиардов образцов и триллионы журналов защиты), центр объединяет поиск уязвимостей, анализ вредоносных кодов и отслеживание угроз для получения высококачественной информации об угрозах безопасности и обеспечения защиты, обнаружения и реагирования на них.
Недавно Центр обнаружил свидетельства существования атакующей организации APT-C-35 (Belt Brain Worm), осуществляющей кибершпионаж в отношении правительственных учреждений Пакистана, Шри-Ланки и других стран, окружающих Индию. В основном эта организация занимается кражей конфиденциальной информации. В процессе отслеживания происхождения этой организации Центр обнаружил партию атак, направленных на Пакистан через систему 360 Security Guard. В результате отслеживания, анализа и вынесения суждений они первоначально приписали этого злоумышленника к червям.
Метод атаки заключался в распространении образца, использующего документ об уязвимости inp. Этот образец представляет собой полноценный RemcosRAT с CC-сервером 45.146.254.153:443. Сначала он проверяет общий объем памяти машины и пространство C:\, чтобы деактивировать виртуальную машину. Затем инициализирует rc4, использует ключ KtviKHggtmNv3MFi2VeHFXKrY7G5xz2PW5nGMVi63qtXMN0P9GjZdRSblnegAiJn, расшифровывает последующий шеллкод, загружает его в память и исполняет.
Благодаря наблюдению 360 охранников была обнаружена небольшая порция доказательств, позволяющих предположить связь между мозговым червем и махаграссом. Эта улика была обнаружена у двух пакистанских жертв, A и B, в день атаки. Когда жертва открывала inp-документ, загружался remcosRAT и вызывался rundll32 для выполнения экспортируемой функции StTskloipy из dnfgrtyh.dll. Существует определенное сходство между образцом загрузчика remcosRAT dr.exe и remcosRAT, приведенным в отчете друга.
#cyberthreattech
Нашли несколько интересных репозиториев на github, где отслеживаются C2-сервера через Shodan, или анализ конфигов малвари.
Естественно, затащили их в наш фид :)
Нашли несколько интересных репозиториев на github, где отслеживаются C2-сервера через Shodan, или анализ конфигов малвари.
Естественно, затащили их в наш фид :)
👍1
#technique
Revisiting a Abuse Of Read-Only Domain Controllers (RODCs)
https://paper-seebug-org.translate.goog/3080/?_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=ru&_x_tr_pto=wapp
Revisiting a Abuse Of Read-Only Domain Controllers (RODCs)
https://paper-seebug-org.translate.goog/3080/?_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=ru&_x_tr_pto=wapp
#ParsedReport #CompletenessMedium
28-11-2023
GoTitan Botnet - Ongoing Exploitation on Apache ActiveMQ
https://www.fortinet.com/blog/threat-research/gotitan-botnet-exploitation-on-apache-activemq
Report completeness: Medium
Threats:
Gotitan_botnet
Sliver
Prctrl_rat
Kinsing_miner
Ddostf
Synflood_technique
Icmpflood_technique
Httpflood_technique
Xzccflood_technique
Tcpflood_technique
Wztcpflood_technique
Ackflood_technique
Wzudpflood_technique
Udpflood_technique
Dnsflood_technique
Geo:
China
CVEs:
CVE-2023-46604 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.4
X-Force: Patch: Official fix
Soft:
- apache activemq (<5.15.16, <5.16.7, <5.17.6, <5.18.3)
IOCs:
Url: 4
File: 6
IP: 7
Registry: 1
Hash: 11
Soft:
ActiveMQ, Net framework, curl, crontab
Algorithms:
base58, base32, md5, gzip, exhibit, base64
Languages:
golang
Platforms:
x64
28-11-2023
GoTitan Botnet - Ongoing Exploitation on Apache ActiveMQ
https://www.fortinet.com/blog/threat-research/gotitan-botnet-exploitation-on-apache-activemq
Report completeness: Medium
Threats:
Gotitan_botnet
Sliver
Prctrl_rat
Kinsing_miner
Ddostf
Synflood_technique
Icmpflood_technique
Httpflood_technique
Xzccflood_technique
Tcpflood_technique
Wztcpflood_technique
Ackflood_technique
Wzudpflood_technique
Udpflood_technique
Dnsflood_technique
Geo:
China
CVEs:
CVE-2023-46604 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.4
X-Force: Patch: Official fix
Soft:
- apache activemq (<5.15.16, <5.16.7, <5.17.6, <5.18.3)
IOCs:
Url: 4
File: 6
IP: 7
Registry: 1
Hash: 11
Soft:
ActiveMQ, Net framework, curl, crontab
Algorithms:
base58, base32, md5, gzip, exhibit, base64
Languages:
golang
Platforms:
x64
Fortinet Blog
GoTitan Botnet - Ongoing Exploitation on Apache ActiveMQ
FortiGuardLabs uncovers the ongoing exploits targeting CVE-2023-46604, with the emergence of a new Golang botnet "GoTitan". Learn more. …
CTT Report Hub
#ParsedReport #CompletenessMedium 28-11-2023 GoTitan Botnet - Ongoing Exploitation on Apache ActiveMQ https://www.fortinet.com/blog/threat-research/gotitan-botnet-exploitation-on-apache-activemq Report completeness: Medium Threats: Gotitan_botnet Sliver…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Несмотря на выпуск патча для CVE-2023-46604, угрожающие лица продолжают использовать эту уязвимость для распространения вредоносного ПО на восприимчивых серверах, что привело к появлению новых угроз, таких как GoTitan и PrCtrl Rat. Важно уделять приоритетное внимание обновлениям и исправлениям системы, чтобы снизить риск эксплуатации.
-----
Недавно компания Apache выпустила сообщение об уязвимости, связанной с десериализацией недоверенных данных, известной как CVE-2023-46604.
Компания Fortiguard Labs выпустила отчет об активной эксплуатации уязвимости и выявила множество угроз, использующих уязвимость для распространения различных видов вредоносного ПО, включая ботнет GoTitan на базе Golang и программу PrCtrl Rat для .NET.
Злоумышленники могут установить параметры типа cmd или bash, чтобы добиться выполнения кода на удаленном уязвимом сервере.
Sliver, инструмент тестирования на проникновение с открытым исходным кодом, может быть использован угрожающими субъектами для компрометации и контроля нескольких целей на различных платформах и архитектурах.
Kinsing получает bash-скрипт по адресу 194.38.22.53/acb.sh, а пакетный скрипт Ddostf - по адресу hxxp://42.121.111.112:81/xml.sh.
Несмотря на то, что патч для CVE-2023-46604 был выпущен более месяца назад, угрозы все еще используют эту уязвимость для распространения вредоносного ПО на восприимчивых серверах.
Для эффективного снижения риска эксплуатации важно уделять первоочередное внимание обновлениям и исправлениям системы и регулярно отслеживать рекомендации по безопасности.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Несмотря на выпуск патча для CVE-2023-46604, угрожающие лица продолжают использовать эту уязвимость для распространения вредоносного ПО на восприимчивых серверах, что привело к появлению новых угроз, таких как GoTitan и PrCtrl Rat. Важно уделять приоритетное внимание обновлениям и исправлениям системы, чтобы снизить риск эксплуатации.
-----
Недавно компания Apache выпустила сообщение об уязвимости, связанной с десериализацией недоверенных данных, известной как CVE-2023-46604.
Компания Fortiguard Labs выпустила отчет об активной эксплуатации уязвимости и выявила множество угроз, использующих уязвимость для распространения различных видов вредоносного ПО, включая ботнет GoTitan на базе Golang и программу PrCtrl Rat для .NET.
Злоумышленники могут установить параметры типа cmd или bash, чтобы добиться выполнения кода на удаленном уязвимом сервере.
Sliver, инструмент тестирования на проникновение с открытым исходным кодом, может быть использован угрожающими субъектами для компрометации и контроля нескольких целей на различных платформах и архитектурах.
Kinsing получает bash-скрипт по адресу 194.38.22.53/acb.sh, а пакетный скрипт Ddostf - по адресу hxxp://42.121.111.112:81/xml.sh.
Несмотря на то, что патч для CVE-2023-46604 был выпущен более месяца назад, угрозы все еще используют эту уязвимость для распространения вредоносного ПО на восприимчивых серверах.
Для эффективного снижения риска эксплуатации важно уделять первоочередное внимание обновлениям и исправлениям системы и регулярно отслеживать рекомендации по безопасности.
#ParsedReport #CompletenessLow
22-11-2023
Beneath the Surface: How Hackers Turn NetSupport Against Users
https://www.mcafee.com/blogs/other-blogs/mcafee-labs/beneath-the-surface-how-hackers-turn-netsupport-against-users-2
Report completeness: Low
Threats:
Netsupportmanager_rat
Bitsadmin
Geo:
Canada
IOCs:
File: 5
Url: 2
Command: 1
Path: 22
IP: 1
Hash: 4
Soft:
Windows Registry
Algorithms:
zip, xor, base64
Languages:
powershell, javascript
Platforms:
x86
22-11-2023
Beneath the Surface: How Hackers Turn NetSupport Against Users
https://www.mcafee.com/blogs/other-blogs/mcafee-labs/beneath-the-surface-how-hackers-turn-netsupport-against-users-2
Report completeness: Low
Threats:
Netsupportmanager_rat
Bitsadmin
Geo:
Canada
IOCs:
File: 5
Url: 2
Command: 1
Path: 22
IP: 1
Hash: 4
Soft:
Windows Registry
Algorithms:
zip, xor, base64
Languages:
powershell, javascript
Platforms:
x86
McAfee Blog
Beneath the Surface: How Hackers Turn NetSupport Against Users | McAfee Blog
NetSupport malware variants have been a persistent threat, demonstrating adaptability and evolving infection techniques. In this technical analysis, we
CTT Report Hub
#ParsedReport #CompletenessLow 22-11-2023 Beneath the Surface: How Hackers Turn NetSupport Against Users https://www.mcafee.com/blogs/other-blogs/mcafee-labs/beneath-the-surface-how-hackers-turn-netsupport-against-users-2 Report completeness: Low Threats:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Вредоносная программа NetSupport - это постоянная угроза, которая эволюционирует и адаптирует свои методы заражения, распространяясь по территории США и Канады. Компания McAfee Labs обнаружила новую разновидность вредоносной программы NetSupport и предлагает надежные механизмы защиты для ее обнаружения и удаления.
-----
Вредоносная программа NetSupport - это постоянная угроза, которая постоянно развивается и адаптирует свои методы заражения, чтобы оставаться эффективной. Недавняя тепловая карта показала, что она распространяется по всей территории США и Канады, что свидетельствует о ее географическом охвате. Специалисты McAfee Labs обнаружили новую разновидность вредоносной программы NetSupport, которая распространяется с помощью JavaScript. Цепочка заражения начинается с обфусцированных файлов JavaScript, которые используются для загрузки полезной нагрузки - инструмента удаленного администрирования с вредоносными намерениями. Затем вызывается Windows Script Host (wscript.exe), и PowerShell используется для загрузки полезной нагрузки NetSupport. Затем вредоносная программа запускает двоичный файл client32.exe, который является клиентом NetSupport, отвечающим за установление контроля над взломанной системой. Он пытается спрятаться в каталогах профилей пользователей, что затрудняет его удаление.
Вредоносное ПО NetSupport использует файл NSM.LIC для хранения информации о лицензии, связанной с установкой NetSupport Manager, и файл Client32.ini для хранения параметров конфигурации для управления удаленным рабочим столом и других функций поддержки. Сообщение исходит от клиента NetSupport Manager версии 1.3. Для защиты от этой угрозы McAfee Labs предлагает надежные и эффективные механизмы защиты от угроз. Эти механизмы предназначены для выявления и устранения NetSupport и его различных итераций. Они также предоставляют рекомендации по снижению риска заражения.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Вредоносная программа NetSupport - это постоянная угроза, которая эволюционирует и адаптирует свои методы заражения, распространяясь по территории США и Канады. Компания McAfee Labs обнаружила новую разновидность вредоносной программы NetSupport и предлагает надежные механизмы защиты для ее обнаружения и удаления.
-----
Вредоносная программа NetSupport - это постоянная угроза, которая постоянно развивается и адаптирует свои методы заражения, чтобы оставаться эффективной. Недавняя тепловая карта показала, что она распространяется по всей территории США и Канады, что свидетельствует о ее географическом охвате. Специалисты McAfee Labs обнаружили новую разновидность вредоносной программы NetSupport, которая распространяется с помощью JavaScript. Цепочка заражения начинается с обфусцированных файлов JavaScript, которые используются для загрузки полезной нагрузки - инструмента удаленного администрирования с вредоносными намерениями. Затем вызывается Windows Script Host (wscript.exe), и PowerShell используется для загрузки полезной нагрузки NetSupport. Затем вредоносная программа запускает двоичный файл client32.exe, который является клиентом NetSupport, отвечающим за установление контроля над взломанной системой. Он пытается спрятаться в каталогах профилей пользователей, что затрудняет его удаление.
Вредоносное ПО NetSupport использует файл NSM.LIC для хранения информации о лицензии, связанной с установкой NetSupport Manager, и файл Client32.ini для хранения параметров конфигурации для управления удаленным рабочим столом и других функций поддержки. Сообщение исходит от клиента NetSupport Manager версии 1.3. Для защиты от этой угрозы McAfee Labs предлагает надежные и эффективные механизмы защиты от угроз. Эти механизмы предназначены для выявления и устранения NetSupport и его различных итераций. Они также предоставляют рекомендации по снижению риска заражения.
#ParsedReport #CompletenessMedium
28-11-2023
RisePro Malware Analysis: Exploring C2 Communication of a New Version
https://any.run/cybersecurity-blog/risepro-malware-communication-analysis
Report completeness: Medium
Threats:
Riseprostealer
Privateloader
Vidar_stealer
Hvnc_tool
Vmprotect_tool
IOCs:
File: 4
Hash: 8
Path: 7
IP: 3
Url: 1
Soft:
Telegram, Discord
Algorithms:
sha256, zip, xor
Languages:
python
Links:
28-11-2023
RisePro Malware Analysis: Exploring C2 Communication of a New Version
https://any.run/cybersecurity-blog/risepro-malware-communication-analysis
Report completeness: Medium
Threats:
Riseprostealer
Privateloader
Vidar_stealer
Hvnc_tool
Vmprotect_tool
IOCs:
File: 4
Hash: 8
Path: 7
IP: 3
Url: 1
Soft:
Telegram, Discord
Algorithms:
sha256, zip, xor
Languages:
python
Links:
https://github.com/anyrun/blog-scripts/tree/main/Scripts/RisePro/risepro\_tcp\_decoder.pyhttps://github.com/anyrun/YARA/blob/main/RisePro.yarANY.RUN's Cybersecurity Blog
RisePro Malware Analysis: New Version's C2 Communication
Discover an in-depth analysis of the new version of RisePro to see the recent changes in its C2 communication and network traffic patterns.
CTT Report Hub
#ParsedReport #CompletenessMedium 28-11-2023 RisePro Malware Analysis: Exploring C2 Communication of a New Version https://any.run/cybersecurity-blog/risepro-malware-communication-analysis Report completeness: Medium Threats: Riseprostealer Privateloader…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: RisePro - это вредоносная программа для кражи информации, которая впервые была обнаружена в 2022 году, а в последнее время наблюдается всплеск активности. Он распространяется службой распространения вредоносных программ с оплатой за установку (PPI) PrivateLoader и предназначен для кражи кредитных карт, паролей и криптовалютных кошельков с зараженных устройств. Эта статья посвящена недавним изменениям в структуре связи C2 и сетевого трафика последней версии RisePro, которые кардинально отличаются от предыдущих итераций. Он способен включать HVNC, делать скриншоты во время выполнения и перехватывать данные из таких приложений, как Telegram и Discord. Бесплатное исследование вредоносного ПО с помощью ANY.RUN также может дать дополнительные сведения об этой вредоносной программе.
-----
RisePro - это вредоносная программа для похищения информации, которая впервые была обнаружена в 2022 году.
Он распространяется службой распространения вредоносных программ PrivateLoader с оплатой за установку (PPI).
Он предназначен для кражи кредитных карт, паролей и криптовалютных кошельков с зараженных устройств.
RisePro взаимодействует с командно-контрольным сервером (C2) в четыре этапа: Инициализация, Получение конфигурации, Выполнение функций кражи и загрузчика и Запуск HVNC.
С помощью grab_config вредоносная программа настраивает прокси-сервер на компьютере жертвы, инициирует HVNC и передает данные в Telegram.
Вредоносная программа также обладает возможностями удаленного управления, то есть теперь она может функционировать как троянец удаленного доступа.
Вредоносная программа рассылает украденные пароли в отдельном файле под названием passwords.txt.
Существует множество версий RisePro, включая версию на C#, которая обфусцирована, возможно, с помощью Confuser.Core, и версию на C++, защищенную с помощью VMProtect.
Мы создали правило YARA для обнаружения этих обновленных версий RisePro, которое можно найти на нашем GitHub.
Правила Suricata IDS для обнаружения RisePro доступны в Интернете, соответствующие идентификаторы правил включают 2046267, 2046269, 2046268, 2046266, 2046270 и 2049060.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: RisePro - это вредоносная программа для кражи информации, которая впервые была обнаружена в 2022 году, а в последнее время наблюдается всплеск активности. Он распространяется службой распространения вредоносных программ с оплатой за установку (PPI) PrivateLoader и предназначен для кражи кредитных карт, паролей и криптовалютных кошельков с зараженных устройств. Эта статья посвящена недавним изменениям в структуре связи C2 и сетевого трафика последней версии RisePro, которые кардинально отличаются от предыдущих итераций. Он способен включать HVNC, делать скриншоты во время выполнения и перехватывать данные из таких приложений, как Telegram и Discord. Бесплатное исследование вредоносного ПО с помощью ANY.RUN также может дать дополнительные сведения об этой вредоносной программе.
-----
RisePro - это вредоносная программа для похищения информации, которая впервые была обнаружена в 2022 году.
Он распространяется службой распространения вредоносных программ PrivateLoader с оплатой за установку (PPI).
Он предназначен для кражи кредитных карт, паролей и криптовалютных кошельков с зараженных устройств.
RisePro взаимодействует с командно-контрольным сервером (C2) в четыре этапа: Инициализация, Получение конфигурации, Выполнение функций кражи и загрузчика и Запуск HVNC.
С помощью grab_config вредоносная программа настраивает прокси-сервер на компьютере жертвы, инициирует HVNC и передает данные в Telegram.
Вредоносная программа также обладает возможностями удаленного управления, то есть теперь она может функционировать как троянец удаленного доступа.
Вредоносная программа рассылает украденные пароли в отдельном файле под названием passwords.txt.
Существует множество версий RisePro, включая версию на C#, которая обфусцирована, возможно, с помощью Confuser.Core, и версию на C++, защищенную с помощью VMProtect.
Мы создали правило YARA для обнаружения этих обновленных версий RisePro, которое можно найти на нашем GitHub.
Правила Suricata IDS для обнаружения RisePro доступны в Интернете, соответствующие идентификаторы правил включают 2046267, 2046269, 2046268, 2046266, 2046270 и 2049060.
#ParsedReport #CompletenessHigh
28-11-2023
Empty heading. IMPERIAL KITTEN Deploys Novel Malware Families in Middle East-Focused Operations
https://www.crowdstrike.com/blog/imperial-kitten-deploys-novel-malware-families
Report completeness: High
Actors/Campaigns:
Tortoiseshell
Dev-0343
Irgc
Threats:
Paexec_tool
Imaploader
Standardkeyboard
Liderc
Nmap_tool
Beacon
Credential_harvesting_technique
Netscan_tool
Procdump_tool
Meshagent
Sugardump
Process_injection_technique
Industry:
Energy, Transport, Logistic, Maritime, Telco
Geo:
Israeli, Iran, Iranian, Israel
TTPs:
Tactics: 11
Technics: 14
IOCs:
Domain: 14
Hash: 10
File: 5
Email: 11
IP: 47
Soft:
Discord, Microsoft Excel, PsExec, Windows Service
Algorithms:
base64, sha256
Languages:
python, visual_basic
28-11-2023
Empty heading. IMPERIAL KITTEN Deploys Novel Malware Families in Middle East-Focused Operations
https://www.crowdstrike.com/blog/imperial-kitten-deploys-novel-malware-families
Report completeness: High
Actors/Campaigns:
Tortoiseshell
Dev-0343
Irgc
Threats:
Paexec_tool
Imaploader
Standardkeyboard
Liderc
Nmap_tool
Beacon
Credential_harvesting_technique
Netscan_tool
Procdump_tool
Meshagent
Sugardump
Process_injection_technique
Industry:
Energy, Transport, Logistic, Maritime, Telco
Geo:
Israeli, Iran, Iranian, Israel
TTPs:
Tactics: 11
Technics: 14
IOCs:
Domain: 14
Hash: 10
File: 5
Email: 11
IP: 47
Soft:
Discord, Microsoft Excel, PsExec, Windows Service
Algorithms:
base64, sha256
Languages:
python, visual_basic