CTT Report Hub
3.41K subscribers
9.66K photos
6 videos
67 files
13.3K links
Threat Intelligence Report Hub
Download Telegram
CTT Report Hub
#ParsedReport #CompletenessMedium 28-11-2023 GoTitan Botnet - Ongoing Exploitation on Apache ActiveMQ https://www.fortinet.com/blog/threat-research/gotitan-botnet-exploitation-on-apache-activemq Report completeness: Medium Threats: Gotitan_botnet Sliver…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Несмотря на выпуск патча для CVE-2023-46604, угрожающие лица продолжают использовать эту уязвимость для распространения вредоносного ПО на восприимчивых серверах, что привело к появлению новых угроз, таких как GoTitan и PrCtrl Rat. Важно уделять приоритетное внимание обновлениям и исправлениям системы, чтобы снизить риск эксплуатации.
-----

Недавно компания Apache выпустила сообщение об уязвимости, связанной с десериализацией недоверенных данных, известной как CVE-2023-46604.

Компания Fortiguard Labs выпустила отчет об активной эксплуатации уязвимости и выявила множество угроз, использующих уязвимость для распространения различных видов вредоносного ПО, включая ботнет GoTitan на базе Golang и программу PrCtrl Rat для .NET.

Злоумышленники могут установить параметры типа cmd или bash, чтобы добиться выполнения кода на удаленном уязвимом сервере.

Sliver, инструмент тестирования на проникновение с открытым исходным кодом, может быть использован угрожающими субъектами для компрометации и контроля нескольких целей на различных платформах и архитектурах.

Kinsing получает bash-скрипт по адресу 194.38.22.53/acb.sh, а пакетный скрипт Ddostf - по адресу hxxp://42.121.111.112:81/xml.sh.

Несмотря на то, что патч для CVE-2023-46604 был выпущен более месяца назад, угрозы все еще используют эту уязвимость для распространения вредоносного ПО на восприимчивых серверах.

Для эффективного снижения риска эксплуатации важно уделять первоочередное внимание обновлениям и исправлениям системы и регулярно отслеживать рекомендации по безопасности.
#ParsedReport #CompletenessLow
22-11-2023

Beneath the Surface: How Hackers Turn NetSupport Against Users

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/beneath-the-surface-how-hackers-turn-netsupport-against-users-2

Report completeness: Low

Threats:
Netsupportmanager_rat
Bitsadmin

Geo:
Canada

IOCs:
File: 5
Url: 2
Command: 1
Path: 22
IP: 1
Hash: 4

Soft:
Windows Registry

Algorithms:
zip, xor, base64

Languages:
powershell, javascript

Platforms:
x86
CTT Report Hub
#ParsedReport #CompletenessLow 22-11-2023 Beneath the Surface: How Hackers Turn NetSupport Against Users https://www.mcafee.com/blogs/other-blogs/mcafee-labs/beneath-the-surface-how-hackers-turn-netsupport-against-users-2 Report completeness: Low Threats:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Вредоносная программа NetSupport - это постоянная угроза, которая эволюционирует и адаптирует свои методы заражения, распространяясь по территории США и Канады. Компания McAfee Labs обнаружила новую разновидность вредоносной программы NetSupport и предлагает надежные механизмы защиты для ее обнаружения и удаления.
-----

Вредоносная программа NetSupport - это постоянная угроза, которая постоянно развивается и адаптирует свои методы заражения, чтобы оставаться эффективной. Недавняя тепловая карта показала, что она распространяется по всей территории США и Канады, что свидетельствует о ее географическом охвате. Специалисты McAfee Labs обнаружили новую разновидность вредоносной программы NetSupport, которая распространяется с помощью JavaScript. Цепочка заражения начинается с обфусцированных файлов JavaScript, которые используются для загрузки полезной нагрузки - инструмента удаленного администрирования с вредоносными намерениями. Затем вызывается Windows Script Host (wscript.exe), и PowerShell используется для загрузки полезной нагрузки NetSupport. Затем вредоносная программа запускает двоичный файл client32.exe, который является клиентом NetSupport, отвечающим за установление контроля над взломанной системой. Он пытается спрятаться в каталогах профилей пользователей, что затрудняет его удаление.

Вредоносное ПО NetSupport использует файл NSM.LIC для хранения информации о лицензии, связанной с установкой NetSupport Manager, и файл Client32.ini для хранения параметров конфигурации для управления удаленным рабочим столом и других функций поддержки. Сообщение исходит от клиента NetSupport Manager версии 1.3. Для защиты от этой угрозы McAfee Labs предлагает надежные и эффективные механизмы защиты от угроз. Эти механизмы предназначены для выявления и устранения NetSupport и его различных итераций. Они также предоставляют рекомендации по снижению риска заражения.
#ParsedReport #CompletenessMedium
28-11-2023

RisePro Malware Analysis: Exploring C2 Communication of a New Version

https://any.run/cybersecurity-blog/risepro-malware-communication-analysis

Report completeness: Medium

Threats:
Riseprostealer
Privateloader
Vidar_stealer
Hvnc_tool
Vmprotect_tool

IOCs:
File: 4
Hash: 8
Path: 7
IP: 3
Url: 1

Soft:
Telegram, Discord

Algorithms:
sha256, zip, xor

Languages:
python

Links:
https://github.com/anyrun/blog-scripts/tree/main/Scripts/RisePro/risepro\_tcp\_decoder.py
https://github.com/anyrun/YARA/blob/main/RisePro.yar
CTT Report Hub
#ParsedReport #CompletenessMedium 28-11-2023 RisePro Malware Analysis: Exploring C2 Communication of a New Version https://any.run/cybersecurity-blog/risepro-malware-communication-analysis Report completeness: Medium Threats: Riseprostealer Privateloader…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: RisePro - это вредоносная программа для кражи информации, которая впервые была обнаружена в 2022 году, а в последнее время наблюдается всплеск активности. Он распространяется службой распространения вредоносных программ с оплатой за установку (PPI) PrivateLoader и предназначен для кражи кредитных карт, паролей и криптовалютных кошельков с зараженных устройств. Эта статья посвящена недавним изменениям в структуре связи C2 и сетевого трафика последней версии RisePro, которые кардинально отличаются от предыдущих итераций. Он способен включать HVNC, делать скриншоты во время выполнения и перехватывать данные из таких приложений, как Telegram и Discord. Бесплатное исследование вредоносного ПО с помощью ANY.RUN также может дать дополнительные сведения об этой вредоносной программе.
-----

RisePro - это вредоносная программа для похищения информации, которая впервые была обнаружена в 2022 году.

Он распространяется службой распространения вредоносных программ PrivateLoader с оплатой за установку (PPI).

Он предназначен для кражи кредитных карт, паролей и криптовалютных кошельков с зараженных устройств.

RisePro взаимодействует с командно-контрольным сервером (C2) в четыре этапа: Инициализация, Получение конфигурации, Выполнение функций кражи и загрузчика и Запуск HVNC.

С помощью grab_config вредоносная программа настраивает прокси-сервер на компьютере жертвы, инициирует HVNC и передает данные в Telegram.

Вредоносная программа также обладает возможностями удаленного управления, то есть теперь она может функционировать как троянец удаленного доступа.

Вредоносная программа рассылает украденные пароли в отдельном файле под названием passwords.txt.

Существует множество версий RisePro, включая версию на C#, которая обфусцирована, возможно, с помощью Confuser.Core, и версию на C++, защищенную с помощью VMProtect.

Мы создали правило YARA для обнаружения этих обновленных версий RisePro, которое можно найти на нашем GitHub.

Правила Suricata IDS для обнаружения RisePro доступны в Интернете, соответствующие идентификаторы правил включают 2046267, 2046269, 2046268, 2046266, 2046270 и 2049060.
#ParsedReport #CompletenessHigh
28-11-2023

Empty heading. IMPERIAL KITTEN Deploys Novel Malware Families in Middle East-Focused Operations

https://www.crowdstrike.com/blog/imperial-kitten-deploys-novel-malware-families

Report completeness: High

Actors/Campaigns:
Tortoiseshell
Dev-0343
Irgc

Threats:
Paexec_tool
Imaploader
Standardkeyboard
Liderc
Nmap_tool
Beacon
Credential_harvesting_technique
Netscan_tool
Procdump_tool
Meshagent
Sugardump
Process_injection_technique

Industry:
Energy, Transport, Logistic, Maritime, Telco

Geo:
Israeli, Iran, Iranian, Israel

TTPs:
Tactics: 11
Technics: 14

IOCs:
Domain: 14
Hash: 10
File: 5
Email: 11
IP: 47

Soft:
Discord, Microsoft Excel, PsExec, Windows Service

Algorithms:
base64, sha256

Languages:
python, visual_basic
CTT Report Hub
#ParsedReport #CompletenessHigh 28-11-2023 Empty heading. IMPERIAL KITTEN Deploys Novel Malware Families in Middle East-Focused Operations https://www.crowdstrike.com/blog/imperial-kitten-deploys-novel-malware-families Report completeness: High Actors/Campaigns:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Imperial Kitten - это APT-группа, происходящая из Ирана и действующая с 2017 года, нацеленная на различные отрасли. Она использует различные тактики, техники и процедуры для получения доступа к целевым системам и распространения во взломанных сетях. Известно, что группа использует такие семейства вредоносных программ, как IMAPLoader, StandardKeyboard и аналитический сервис Matomo. Ранее ее жертвами становились организации в израильском морском, транспортном и технологическом секторах.
-----

Imperial Kitten - группа постоянных угроз (advanced persistent threat, APT), происходящая из Ирана и действующая как минимум с 2017 года. Ее целью были различные отрасли промышленности, включая оборонную, технологическую, телекоммуникационную, морскую, энергетическую, консалтинговую и профессиональную. В период с начала 2022 по 2023 год Imperial Kitten проводила операции по стратегической веб-компрометации (SWC), нацеленные на организации в секторах транспорта, логистики и технологий.

Для получения доступа к целевым системам Imperial Kitten использует различные тактики, техники и процедуры (TTP), такие как публичные инструменты сканирования, однодневные эксплойты, SQL-инъекции и украденные учетные данные виртуальной частной сети (VPN). Группа также использует тактику латерального перемещения, например PAExec и кражу учетных данных, для распространения во взломанных сетях. Для эксфильтрации данных используется пользовательское вредоносное ПО с открытым исходным кодом.

Известно, что IMPERIAL KITTEN использует вредоносное семейство IMAPLoader, которое использует электронную почту для командования и управления (C2). Похожий образец под названием StandardKeyboard также использует электронную почту для C2 и сохраняется в качестве службы Windows. Еще одно родственное семейство вредоносных программ использует приманку от компании логистического сектора и использует Discord для C2. Эта группа была замечена в использовании фишинговых операций для доставки вредоносных документов Microsoft Excel, которые после активации извлекают файлы, используемые для обеспечения персистентности через ключ Run в реестре. Эта полезная нагрузка представляет собой простую обратную оболочку, которая подключается к жестко заданному IP-адресу на TCP-порту 6443. Кроме того, сообщается, что IMPERIAL KITTEN использует аналитический сервис Matomo и пользовательский скрипт для составления профиля пользователей.

IMPERIAL KITTEN ранее атаковала организации в израильском морском, транспортном и технологическом секторах. В некоторых случаях группа напрямую передавала жертвам вредоносное ПО из SWC. Вероятно, противник также нацеливается на поставщиков ИТ-услуг, чтобы выявить и получить доступ к объектам, представляющим основной интерес для утечки данных.

CrowdStrike Intelligence в настоящее время приписывает эту активность IMPERIAL KITTEN с умеренной уверенностью, основываясь на продолжении использования инфраструктуры SWC, о которой сообщалось ранее, совпадениях между IMAPLoader и семейством вредоносных программ SUGARDUMP, о которых сообщается в отчетах, и постоянной нацеленности на израильские организации в транспортном, морском и технологическом секторах. Инфраструктура, недавно связанная с инструментарием IMPERIAL KITTEN, приписывается группе с низкой степенью уверенности.
#ParsedReport #CompletenessLow
29-11-2023

F.A.C.C.T. experts uncovered the network infrastructure of the Comet (Shadow)/Twelve crime syndicate

https://habr.com/ru/companies/f_a_c_c_t/news/775038

Report completeness: Low

Actors/Campaigns:
C0met (motivation: politically_motivated, cyber_criminal, financially_motivated)
Cobalt

Threats:
Darkgate
Facefish
Systembc
Cobalt_strike
Cobint
Lockbit
Babuk
Anydesk_tool

Industry:
Government, Semiconductor_industry, Financial

Geo:
Russian

ChatGPT TTPs:
do not use without manual check
T1490, T1486, T1482, T1484, T1496

IOCs:
IP: 12
Domain: 9

Soft:
Telegram
CTT Report Hub
#ParsedReport #CompletenessLow 29-11-2023 F.A.C.C.T. experts uncovered the network infrastructure of the Comet (Shadow)/Twelve crime syndicate https://habr.com/ru/companies/f_a_c_c_t/news/775038 Report completeness: Low Actors/Campaigns: C0met (motivation:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
F.A.C.C.T. отслеживает деятельность опасного преступного синдиката, известного как Comet (ранее Shadow) или Twelve, который занимается киберсаботажем и разрушением инфраструктуры по политическим мотивам. Они требуют выкуп за расшифровку данных и имеют связи с преступной группировкой Cobalt. F.A.C.C.T. оказывает помощь жертвам их вредоносной деятельности, помогая им реагировать на инциденты и минимизировать риски.
-----

Лаборатория цифровой криминалистики F.A.C.C.T. отслеживает деятельность опасного преступного синдиката, известного как Comet (ранее Shadow) или Twelve. Эта группировка известна тем, что занимается киберсаботажем и разрушением инфраструктуры по политическим мотивам. Похитив данные, они требуют выкуп за их расшифровку. В группу входят бывшие члены преступной группировки Cobalt. Компания Positive Technologies выявила связь между политическими мотивами "Двенадцати" и финансовыми мотивами "Кометы".

Известно, что Comet (ранее Shadow)/Twelve использует вредоносное ПО из нескольких семейств, включая LockBit 3 (Black) и Babuk ransomware, созданное на основе данных, которые стали достоянием общественности. Они также используют такие утилиты, как Ngrok и Anydesk, чтобы сохранить доступ к ИТ-периметру жертвы. Эксперты F.A.C.C.T. рекомендуют обращаться в свою группу реагирования на инциденты при обнаружении любой активности с использованием ресурсов преступного синдиката или нелегальной деятельности с помощью программ NGROK или Anydesk.

В ходе типичной атаки Comet (ранее Shadow) сначала похищает конфиденциальные данные из инфраструктуры жертвы, затем шифрует их и требует выкуп за их расшифровку. По данным экспертов F.A.C.C.T., максимальная сумма выкупа, которую требовали злоумышленники в 2023 году, составляла 3,5 миллиона долларов. Группа Twelve, напротив, похищает данные из инфраструктуры жертвы, затем необратимо шифрует и удаляет их, после чего публикует украденную информацию в открытых источниках и использует ее для каскадных атак на контрагентов жертвы.

После исследования, проведенного F.A.C.C.T., был сделан вывод, что Shadow и Twelve в конечном итоге являются одной хакерской группой, с общими инструментами, методами и, в некоторых случаях, общей сетевой инфраструктурой. В результате группа Shadow подверглась ребрендингу и переименовалась в Comet (C0met). F.A.C.C.T. оказывает помощь жертвам вредоносной деятельности группы Comet (ранее Shadow) / Twelve, помогая им реагировать на инциденты и минимизировать потенциальные риски.
CTT Report Hub
#ParsedReport #CompletenessLow 29-11-2023 THREAT ALERT: DJvu Variant Delivered by Loader Masquerading as Freeware https://www.cybereason.com/blog/threat-alert-djvu-variant-delivered-by-loader-masquerading-as-freeware Report completeness: Low Threats: Djvu_ransomware…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Компания Cybereason обнаружила вариант вымогательского ПО DJvu, доставляемый с помощью загрузчиков, маскирующихся под бесплатное или взломанное программное обеспечение, а также другие штаммы вредоносного ПО в атаках с использованием этого варианта. Важно, чтобы пользователи знали о рисках и принимали меры для защиты от атак. В оповещении Cybereason Threat Alert содержится полезная информация, которая поможет пользователям защитить себя.
-----

Оповещения об угрозах Cybereason создаются для информирования клиентов о появляющихся угрозах. В последнее время Cybereason наблюдает разновидность вымогательского ПО DJvu, которую для удобства называют Xaro. Этот вариант распространяется через полезные нагрузки-загрузчики, которые маскируются под бесплатное или взломанное программное обеспечение. Когда эта вредоносная полезная нагрузка загружается и запускается, она запускает различные вредоносные программы, включая вариант Xaro. Этот вариант DJvu добавляет расширение .xaro к пораженным файлам и помещает записку с выкупом в файл _readme.txt.

Помимо варианта Xaro, в атаках с использованием этого варианта были замечены и другие штаммы вредоносного ПО. В их число входят различные инфопохитители, загрузчики и загрузчики, что позволяет предположить, что угрожающий агент стремится дважды вымогать деньги у жертв и еще больше компрометировать их компьютеры.

Команда исследователей безопасности в Cybereason отвечает за создание и управление основным контентом безопасности, включая логику обнаружения и предотвращения для своих продуктов. Эта команда состоит из высококлассных исследователей в области безопасности, которые сотрудничают с крупными предприятиями, правительствами и военными, разрабатывая средства защиты, способные обнаруживать и пресекать современные кибератаки.

Этот инцидент иллюстрирует риски, возникающие при загрузке бесплатного программного обеспечения из ненадежных источников. Важно, чтобы пользователи знали об этих рисках и принимали меры по защите от атак. В оповещении Cybereason Threat Alert содержится полезная информация, которая поможет пользователям защититься от этого типа атак.
#ParsedReport #CompletenessLow
29-11-2023

Malware analysis report: Stealc stealer - part 2

https://mssplab.github.io/threat-hunting/2023/11/23/malware-analysis-stealc-2.html

Report completeness: Low

Threats:
Stealc
Plymouth_actor

ChatGPT TTPs:
do not use without manual check
T1113, T1083, T1081, T1105, T1518, T1082

IOCs:
File: 1

Soft:
Opera, chrome

Algorithms:
aes, base64

Functions:
sub_0x403D5F, mw_Download_1

Win API:
CryptUnprotectData, BCryptOpenAlgorithmProvider, BCryptSetProperty, BCryptGenerateSymmetricKey

Links:
https://github.com/FarghlyMal/Decryptors-and-Extractors/tree/main/Stealc%20Stealer