CTT Report Hub
3.41K subscribers
9.66K photos
6 videos
67 files
13.3K links
Threat Intelligence Report Hub
Download Telegram
CTT Report Hub
#ParsedReport #CompletenessMedium 28-11-2023 RisePro Malware Analysis: Exploring C2 Communication of a New Version https://any.run/cybersecurity-blog/risepro-malware-communication-analysis Report completeness: Medium Threats: Riseprostealer Privateloader…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: RisePro - это вредоносная программа для кражи информации, которая впервые была обнаружена в 2022 году, а в последнее время наблюдается всплеск активности. Он распространяется службой распространения вредоносных программ с оплатой за установку (PPI) PrivateLoader и предназначен для кражи кредитных карт, паролей и криптовалютных кошельков с зараженных устройств. Эта статья посвящена недавним изменениям в структуре связи C2 и сетевого трафика последней версии RisePro, которые кардинально отличаются от предыдущих итераций. Он способен включать HVNC, делать скриншоты во время выполнения и перехватывать данные из таких приложений, как Telegram и Discord. Бесплатное исследование вредоносного ПО с помощью ANY.RUN также может дать дополнительные сведения об этой вредоносной программе.
-----

RisePro - это вредоносная программа для похищения информации, которая впервые была обнаружена в 2022 году.

Он распространяется службой распространения вредоносных программ PrivateLoader с оплатой за установку (PPI).

Он предназначен для кражи кредитных карт, паролей и криптовалютных кошельков с зараженных устройств.

RisePro взаимодействует с командно-контрольным сервером (C2) в четыре этапа: Инициализация, Получение конфигурации, Выполнение функций кражи и загрузчика и Запуск HVNC.

С помощью grab_config вредоносная программа настраивает прокси-сервер на компьютере жертвы, инициирует HVNC и передает данные в Telegram.

Вредоносная программа также обладает возможностями удаленного управления, то есть теперь она может функционировать как троянец удаленного доступа.

Вредоносная программа рассылает украденные пароли в отдельном файле под названием passwords.txt.

Существует множество версий RisePro, включая версию на C#, которая обфусцирована, возможно, с помощью Confuser.Core, и версию на C++, защищенную с помощью VMProtect.

Мы создали правило YARA для обнаружения этих обновленных версий RisePro, которое можно найти на нашем GitHub.

Правила Suricata IDS для обнаружения RisePro доступны в Интернете, соответствующие идентификаторы правил включают 2046267, 2046269, 2046268, 2046266, 2046270 и 2049060.
#ParsedReport #CompletenessHigh
28-11-2023

Empty heading. IMPERIAL KITTEN Deploys Novel Malware Families in Middle East-Focused Operations

https://www.crowdstrike.com/blog/imperial-kitten-deploys-novel-malware-families

Report completeness: High

Actors/Campaigns:
Tortoiseshell
Dev-0343
Irgc

Threats:
Paexec_tool
Imaploader
Standardkeyboard
Liderc
Nmap_tool
Beacon
Credential_harvesting_technique
Netscan_tool
Procdump_tool
Meshagent
Sugardump
Process_injection_technique

Industry:
Energy, Transport, Logistic, Maritime, Telco

Geo:
Israeli, Iran, Iranian, Israel

TTPs:
Tactics: 11
Technics: 14

IOCs:
Domain: 14
Hash: 10
File: 5
Email: 11
IP: 47

Soft:
Discord, Microsoft Excel, PsExec, Windows Service

Algorithms:
base64, sha256

Languages:
python, visual_basic
CTT Report Hub
#ParsedReport #CompletenessHigh 28-11-2023 Empty heading. IMPERIAL KITTEN Deploys Novel Malware Families in Middle East-Focused Operations https://www.crowdstrike.com/blog/imperial-kitten-deploys-novel-malware-families Report completeness: High Actors/Campaigns:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Imperial Kitten - это APT-группа, происходящая из Ирана и действующая с 2017 года, нацеленная на различные отрасли. Она использует различные тактики, техники и процедуры для получения доступа к целевым системам и распространения во взломанных сетях. Известно, что группа использует такие семейства вредоносных программ, как IMAPLoader, StandardKeyboard и аналитический сервис Matomo. Ранее ее жертвами становились организации в израильском морском, транспортном и технологическом секторах.
-----

Imperial Kitten - группа постоянных угроз (advanced persistent threat, APT), происходящая из Ирана и действующая как минимум с 2017 года. Ее целью были различные отрасли промышленности, включая оборонную, технологическую, телекоммуникационную, морскую, энергетическую, консалтинговую и профессиональную. В период с начала 2022 по 2023 год Imperial Kitten проводила операции по стратегической веб-компрометации (SWC), нацеленные на организации в секторах транспорта, логистики и технологий.

Для получения доступа к целевым системам Imperial Kitten использует различные тактики, техники и процедуры (TTP), такие как публичные инструменты сканирования, однодневные эксплойты, SQL-инъекции и украденные учетные данные виртуальной частной сети (VPN). Группа также использует тактику латерального перемещения, например PAExec и кражу учетных данных, для распространения во взломанных сетях. Для эксфильтрации данных используется пользовательское вредоносное ПО с открытым исходным кодом.

Известно, что IMPERIAL KITTEN использует вредоносное семейство IMAPLoader, которое использует электронную почту для командования и управления (C2). Похожий образец под названием StandardKeyboard также использует электронную почту для C2 и сохраняется в качестве службы Windows. Еще одно родственное семейство вредоносных программ использует приманку от компании логистического сектора и использует Discord для C2. Эта группа была замечена в использовании фишинговых операций для доставки вредоносных документов Microsoft Excel, которые после активации извлекают файлы, используемые для обеспечения персистентности через ключ Run в реестре. Эта полезная нагрузка представляет собой простую обратную оболочку, которая подключается к жестко заданному IP-адресу на TCP-порту 6443. Кроме того, сообщается, что IMPERIAL KITTEN использует аналитический сервис Matomo и пользовательский скрипт для составления профиля пользователей.

IMPERIAL KITTEN ранее атаковала организации в израильском морском, транспортном и технологическом секторах. В некоторых случаях группа напрямую передавала жертвам вредоносное ПО из SWC. Вероятно, противник также нацеливается на поставщиков ИТ-услуг, чтобы выявить и получить доступ к объектам, представляющим основной интерес для утечки данных.

CrowdStrike Intelligence в настоящее время приписывает эту активность IMPERIAL KITTEN с умеренной уверенностью, основываясь на продолжении использования инфраструктуры SWC, о которой сообщалось ранее, совпадениях между IMAPLoader и семейством вредоносных программ SUGARDUMP, о которых сообщается в отчетах, и постоянной нацеленности на израильские организации в транспортном, морском и технологическом секторах. Инфраструктура, недавно связанная с инструментарием IMPERIAL KITTEN, приписывается группе с низкой степенью уверенности.
#ParsedReport #CompletenessLow
29-11-2023

F.A.C.C.T. experts uncovered the network infrastructure of the Comet (Shadow)/Twelve crime syndicate

https://habr.com/ru/companies/f_a_c_c_t/news/775038

Report completeness: Low

Actors/Campaigns:
C0met (motivation: politically_motivated, cyber_criminal, financially_motivated)
Cobalt

Threats:
Darkgate
Facefish
Systembc
Cobalt_strike
Cobint
Lockbit
Babuk
Anydesk_tool

Industry:
Government, Semiconductor_industry, Financial

Geo:
Russian

ChatGPT TTPs:
do not use without manual check
T1490, T1486, T1482, T1484, T1496

IOCs:
IP: 12
Domain: 9

Soft:
Telegram
CTT Report Hub
#ParsedReport #CompletenessLow 29-11-2023 F.A.C.C.T. experts uncovered the network infrastructure of the Comet (Shadow)/Twelve crime syndicate https://habr.com/ru/companies/f_a_c_c_t/news/775038 Report completeness: Low Actors/Campaigns: C0met (motivation:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
F.A.C.C.T. отслеживает деятельность опасного преступного синдиката, известного как Comet (ранее Shadow) или Twelve, который занимается киберсаботажем и разрушением инфраструктуры по политическим мотивам. Они требуют выкуп за расшифровку данных и имеют связи с преступной группировкой Cobalt. F.A.C.C.T. оказывает помощь жертвам их вредоносной деятельности, помогая им реагировать на инциденты и минимизировать риски.
-----

Лаборатория цифровой криминалистики F.A.C.C.T. отслеживает деятельность опасного преступного синдиката, известного как Comet (ранее Shadow) или Twelve. Эта группировка известна тем, что занимается киберсаботажем и разрушением инфраструктуры по политическим мотивам. Похитив данные, они требуют выкуп за их расшифровку. В группу входят бывшие члены преступной группировки Cobalt. Компания Positive Technologies выявила связь между политическими мотивами "Двенадцати" и финансовыми мотивами "Кометы".

Известно, что Comet (ранее Shadow)/Twelve использует вредоносное ПО из нескольких семейств, включая LockBit 3 (Black) и Babuk ransomware, созданное на основе данных, которые стали достоянием общественности. Они также используют такие утилиты, как Ngrok и Anydesk, чтобы сохранить доступ к ИТ-периметру жертвы. Эксперты F.A.C.C.T. рекомендуют обращаться в свою группу реагирования на инциденты при обнаружении любой активности с использованием ресурсов преступного синдиката или нелегальной деятельности с помощью программ NGROK или Anydesk.

В ходе типичной атаки Comet (ранее Shadow) сначала похищает конфиденциальные данные из инфраструктуры жертвы, затем шифрует их и требует выкуп за их расшифровку. По данным экспертов F.A.C.C.T., максимальная сумма выкупа, которую требовали злоумышленники в 2023 году, составляла 3,5 миллиона долларов. Группа Twelve, напротив, похищает данные из инфраструктуры жертвы, затем необратимо шифрует и удаляет их, после чего публикует украденную информацию в открытых источниках и использует ее для каскадных атак на контрагентов жертвы.

После исследования, проведенного F.A.C.C.T., был сделан вывод, что Shadow и Twelve в конечном итоге являются одной хакерской группой, с общими инструментами, методами и, в некоторых случаях, общей сетевой инфраструктурой. В результате группа Shadow подверглась ребрендингу и переименовалась в Comet (C0met). F.A.C.C.T. оказывает помощь жертвам вредоносной деятельности группы Comet (ранее Shadow) / Twelve, помогая им реагировать на инциденты и минимизировать потенциальные риски.
CTT Report Hub
#ParsedReport #CompletenessLow 29-11-2023 THREAT ALERT: DJvu Variant Delivered by Loader Masquerading as Freeware https://www.cybereason.com/blog/threat-alert-djvu-variant-delivered-by-loader-masquerading-as-freeware Report completeness: Low Threats: Djvu_ransomware…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Компания Cybereason обнаружила вариант вымогательского ПО DJvu, доставляемый с помощью загрузчиков, маскирующихся под бесплатное или взломанное программное обеспечение, а также другие штаммы вредоносного ПО в атаках с использованием этого варианта. Важно, чтобы пользователи знали о рисках и принимали меры для защиты от атак. В оповещении Cybereason Threat Alert содержится полезная информация, которая поможет пользователям защитить себя.
-----

Оповещения об угрозах Cybereason создаются для информирования клиентов о появляющихся угрозах. В последнее время Cybereason наблюдает разновидность вымогательского ПО DJvu, которую для удобства называют Xaro. Этот вариант распространяется через полезные нагрузки-загрузчики, которые маскируются под бесплатное или взломанное программное обеспечение. Когда эта вредоносная полезная нагрузка загружается и запускается, она запускает различные вредоносные программы, включая вариант Xaro. Этот вариант DJvu добавляет расширение .xaro к пораженным файлам и помещает записку с выкупом в файл _readme.txt.

Помимо варианта Xaro, в атаках с использованием этого варианта были замечены и другие штаммы вредоносного ПО. В их число входят различные инфопохитители, загрузчики и загрузчики, что позволяет предположить, что угрожающий агент стремится дважды вымогать деньги у жертв и еще больше компрометировать их компьютеры.

Команда исследователей безопасности в Cybereason отвечает за создание и управление основным контентом безопасности, включая логику обнаружения и предотвращения для своих продуктов. Эта команда состоит из высококлассных исследователей в области безопасности, которые сотрудничают с крупными предприятиями, правительствами и военными, разрабатывая средства защиты, способные обнаруживать и пресекать современные кибератаки.

Этот инцидент иллюстрирует риски, возникающие при загрузке бесплатного программного обеспечения из ненадежных источников. Важно, чтобы пользователи знали об этих рисках и принимали меры по защите от атак. В оповещении Cybereason Threat Alert содержится полезная информация, которая поможет пользователям защититься от этого типа атак.
#ParsedReport #CompletenessLow
29-11-2023

Malware analysis report: Stealc stealer - part 2

https://mssplab.github.io/threat-hunting/2023/11/23/malware-analysis-stealc-2.html

Report completeness: Low

Threats:
Stealc
Plymouth_actor

ChatGPT TTPs:
do not use without manual check
T1113, T1083, T1081, T1105, T1518, T1082

IOCs:
File: 1

Soft:
Opera, chrome

Algorithms:
aes, base64

Functions:
sub_0x403D5F, mw_Download_1

Win API:
CryptUnprotectData, BCryptOpenAlgorithmProvider, BCryptSetProperty, BCryptGenerateSymmetricKey

Links:
https://github.com/FarghlyMal/Decryptors-and-Extractors/tree/main/Stealc%20Stealer
CTT Report Hub
#ParsedReport #CompletenessLow 29-11-2023 Malware analysis report: Stealc stealer - part 2 https://mssplab.github.io/threat-hunting/2023/11/23/malware-analysis-stealc-2.html Report completeness: Low Threats: Stealc Plymouth_actor ChatGPT TTPs: do not…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Stealc - это похититель информации, который активно продвигается и продается на русскоязычных подпольных форумах с 9 января 2023 года. В данном аналитическом отчете рассматривается его система эксфильтрации информации и логика работы загрузчика.
-----

Stealc - это похититель информации, который активно продвигается и продается на русскоязычных подпольных форумах с 9 января 2023 года. В данном аналитическом отчете рассматривается его система эксфильтрации информации и логика работы загрузчика.

Первый шаг, который делает Stealc, - это запрашивает у сервера C2 конфигурацию, которая будет использоваться для обеспечения скрытного поведения. Эта конфигурация представляет собой поток шестнадцатеричных значений, который служит ссылкой на ID жертвы, полученный ранее. Этот идентификатор отправляется жертве в первом пакете и используется многократно на протяжении всех туннелей связи.

В дополнение к этой конфигурации Stealc также попросит сервер C2 предоставить ему плагины, которые будут использоваться для поиска расширений браузера в его базе данных. Эти плагины хранятся так же, как и конфигурация.

После получения конфигурации и плагинов Stealc начнет собирать данные о системе и аппаратном обеспечении жертвы. Эти данные хранятся в формате, понятном серверу C2, и перед передачей кодируются base64.

После сбора информации о системе Stealc загружает Sqlite3 Dll, которая используется для выполнения запросов, чтобы получить данные из данных приложения Chrome. Для этого он получает путь к браузеру из C2 и использует API для получения данных из баз данных Chrome.

В заключение отметим, что в этом аналитическом отчете мы подробно рассмотрели системную информацию Stealc и логику работы загрузчика. Мы надеемся, что этот пост повысит осведомленность об этой интересной технике вредоносного ПО и добавит ценное оружие в арсенал специалистов по борьбе с вредоносными программами.
#ParsedReport #CompletenessLow
29-11-2023

Analysis of complex attacks targeting Syrian soldiers

https://mp-weixin-qq-com.translate.goog/s/gonBByC1GlfPLzn3Ecs3tw?_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=en-US&_x_tr_pto=wapp

Report completeness: Low

Actors/Campaigns:
Caracal_kitten
Silencerlion
Bladehawk
Snowleopard
Vajraeleph

Threats:
Spymax
Spynote_rat

Victims:
Syrian soldiers

Industry:
Ngo, Military

Geo:
Syrian, Syria

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1566.001, T1566.002, T1555.003, T1083.005, T1113.003

IOCs:
IP: 1
Hash: 2

Soft:
WeChat, Android

Platforms:
cross-platform
CTT Report Hub
#ParsedReport #CompletenessLow 29-11-2023 Analysis of complex attacks targeting Syrian soldiers https://mp-weixin-qq-com.translate.goog/s/gonBByC1GlfPLzn3Ecs3tw?_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=en-US&_x_tr_pto=wapp Report completeness: Low Actors/Campaigns:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея этого текста заключается в том, что фишинговая и троянская атака, направленная на сирийских солдат, была недавно обнаружена командой мобильной безопасности QiAnXin Virus Response Center. Атака замаскирована под приложение Сирийского трастового фонда развития и разработана с помощью Android RAT-инструмента SpyMax. Ее сложно проанализировать и отследить, и она может угрожать жизни и имуществу жертв и их семей. Команда мобильной безопасности Qianxin Virus Response Center предоставила рекомендации по защите от такого рода атак.
-----

Команда мобильной безопасности QiAnXin Virus Response Center обнаружила вредоносную программу, замаскированную под приложение Syrian Development Trust Fund, предназначенное для сирийских солдат.

Вредоносная программа представляет собой комбинированную фишинговую атаку и троянский конь, который похищает частную информацию жертвы и данные ее социальных аккаунтов.

Вредоносная программа была разработана с использованием известного Android RAT-инструмента SpyMax.

Фишинговая страница замаскирована логотипом Сирийского трастового фонда развития и контентом с официального сайта.

SpyMax - популярный инструмент мониторинга на Android, обладающий широким набором функций.

Анализ сетевых активов, использованных в атаке, показал, что основные управляющие адреса поступают с платформы portmap.

Злоумышленник воспользовался услугами облачного сервера, чтобы снизить свои расходы и лучше скрыться.

Команда мобильной безопасности Qianxin Virus Response Center советует людям своевременно обновлять системы и приложения, загружать приложения только из обычных магазинов приложений и не устанавливать приложения из ненадежных источников.
#ParsedReport #CompletenessMedium
29-11-2023

Uncovering the new Java-Based SAW RAT s Infiltration Strategy via LNK files

https://cyble.com/blog/uncovering-the-new-java-based-saw-rats-infiltration-strategy-via-lnk-files

Report completeness: Medium

Threats:
Saw_rat

Industry:
Financial

TTPs:
Tactics: 5
Technics: 7

IOCs:
File: 7
Path: 2
Command: 1
IP: 1
Hash: 3

Algorithms:
sha256, md5, sha1, zip, base64

Functions:
show, start, run, connect, doHeartBeat

Languages:
java, javascript