#ParsedReport #CompletenessMedium
01-12-2023
Kimsuky group (RftRAT, Amadey) uses AutoIt to create malware
https://asec.ahnlab.com/ko/59460
Report completeness: Medium
Actors/Campaigns:
Kimsuky
Threats:
Rftrat
Amadey
Spear-phishing_technique
Xrat_rat
Appleseed
Pebledash
Hvnc_tool
Metasploit_tool
Meterpreter_tool
Quasar_rat
Uac_bypass_technique
Atmosphere
Mimikatz_tool
Backdoor/win.agent.r626033
Dropper/win.agent.c5542993
Trojan/win.agent.c5430096
Infostealer/win.agent.r622445
Trojan/win.agent.c5485099
Trojan/win.agent.c5479017
Trojan/win.loader.c5479014
Trojan/win.agent.c5465186
Infostealer/win.agent.c5542999
Infostealer/win.agent.c5542997
Trojan/win.agent.c5451959
Trojan/win.agent.prevention
Trojan/win.agent.r589022
Trojan/win.loader.r588248
Trojan/win.agent.c5444839
Trojan/win.stealer.c5441397
Trojan/win.keylogger.c5430090
Malware/win.generic.c5430065
Trojan/win.stealer.r579484
Trojan/win.loader.c5430091
Trojan/win.keylogger.c5430092
Trojan/win.loader.c5430099
Trojan/win.proxy.c5430093
Trojan/win.agent.c5430095
Victims:
National defense, defense industry, media, diplomacy, government agencies, and academic fields
Industry:
Energy, Government
Geo:
Korea, Korean
TTPs:
Tactics: 1
Technics: 0
IOCs:
File: 45
Path: 5
Hash: 51
Url: 6
IP: 8
Soft:
Chrome
Algorithms:
rc4, zip, md5
Functions:
WinStationQueryInformationW
Win API:
ExitWindowsEx
Languages:
autoit, powershell
01-12-2023
Kimsuky group (RftRAT, Amadey) uses AutoIt to create malware
https://asec.ahnlab.com/ko/59460
Report completeness: Medium
Actors/Campaigns:
Kimsuky
Threats:
Rftrat
Amadey
Spear-phishing_technique
Xrat_rat
Appleseed
Pebledash
Hvnc_tool
Metasploit_tool
Meterpreter_tool
Quasar_rat
Uac_bypass_technique
Atmosphere
Mimikatz_tool
Backdoor/win.agent.r626033
Dropper/win.agent.c5542993
Trojan/win.agent.c5430096
Infostealer/win.agent.r622445
Trojan/win.agent.c5485099
Trojan/win.agent.c5479017
Trojan/win.loader.c5479014
Trojan/win.agent.c5465186
Infostealer/win.agent.c5542999
Infostealer/win.agent.c5542997
Trojan/win.agent.c5451959
Trojan/win.agent.prevention
Trojan/win.agent.r589022
Trojan/win.loader.r588248
Trojan/win.agent.c5444839
Trojan/win.stealer.c5441397
Trojan/win.keylogger.c5430090
Malware/win.generic.c5430065
Trojan/win.stealer.r579484
Trojan/win.loader.c5430091
Trojan/win.keylogger.c5430092
Trojan/win.loader.c5430099
Trojan/win.proxy.c5430093
Trojan/win.agent.c5430095
Victims:
National defense, defense industry, media, diplomacy, government agencies, and academic fields
Industry:
Energy, Government
Geo:
Korea, Korean
TTPs:
Tactics: 1
Technics: 0
IOCs:
File: 45
Path: 5
Hash: 51
Url: 6
IP: 8
Soft:
Chrome
Algorithms:
rc4, zip, md5
Functions:
WinStationQueryInformationW
Win API:
ExitWindowsEx
Languages:
autoit, powershell
ASEC
AutoIt을 사용해 악성코드를 제작하는 Kimsuky 그룹 (RftRAT, Amadey) - ASEC
AutoIt을 사용해 악성코드를 제작하는 Kimsuky 그룹 (RftRAT, Amadey) ASEC
CTT Report Hub
#ParsedReport #CompletenessMedium 01-12-2023 Kimsuky group (RftRAT, Amadey) uses AutoIt to create malware https://asec.ahnlab.com/ko/59460 Report completeness: Medium Actors/Campaigns: Kimsuky Threats: Rftrat Amadey Spear-phishing_technique Xrat_rat Appleseed…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея этого текста заключается в том, что угрожающая группа Kimsuky активна с 2013 года и нацелена на национальную оборону, оборонную промышленность, СМИ, дипломатию, правительственные агентства и академические сферы с целью кражи информации и технологий. Они используют фишинговые атаки с использованием вредоносных программ LNK, вредоносных программ с открытым исходным кодом и продаваемых, таких как AppleSeed и PebleDash, а также XRat, кейлоггеров и вредоносных программ для кражи информации. Чтобы предотвратить заражение, пользователям следует обновить последние патчи и V3 для таких программ, как ОС и интернет-браузер.
-----
Угрожающая группа Kimsuky - это поддерживаемая Северной Кореей группа, которая действует с 2013 года. Изначально атаки осуществлялись на исследовательские институты Южной Кореи, связанные с Северной Кореей, а с 2014 года - на энергетические институты Южной Кореи, а с 2017 года - и других стран, помимо Кореи. Атаки направлены на национальную оборону, оборонную промышленность, СМИ, дипломатию, правительственные учреждения и научные круги. Они осуществляются с помощью фишинговых атак с целью кражи внутренней информации и технологий организации.
В последнее время группа Kimsuky использует вредоносные программы с ярлыками в формате LNK, а не в формате документов Hangul или MS Office. При распаковке обычный файл документа и вредоносный LNK-файл существуют вместе. ASEC отслеживает случаи атак группы Kimsuky с использованием вредоносного ПО LNK и постоянно публикует подтвержденные случаи атак в своем блоге. После проникновения группа Kimsuky устанавливает вредоносные программы для удаленного управления, такие как AppleSeed и PebleDash, которые находятся в открытом доступе или продаются, а также XRat. Кроме того, устанавливаются кейлоггеры и вредоносные программы для кражи информации, целью которых в конечном итоге является кража внутренней информации и технологий организации.
XRat - это вредоносная программа RAT, разработанная в .NET и основанная на QuasarRAT, которая доступна на GitHub. Группа Kimsuky использует его в течение длительного времени, а недавно стало известно, что он используется в атаках в виде зашифрованной полезной нагрузки, а не отдельного исполняемого файла или DLL. Он состоит из вредоносной библиотеки ht.dll, файла данных htsetting.ini, содержащего настройки, и зашифрованной полезной нагрузки. Предполагается, что этот метод направлен на обход продуктов безопасности. Amadey - это загрузчик, который устанавливает дополнительные вредоносные программы с C&C-сервера, а RftRAT - это бэкдор, который может получать и выполнять команды с C&C-сервера. В последнее время группа Kimsuky создает вредоносные программы с использованием Autoit для обхода продуктов безопасности.
Пользователям следует помнить о фишинговых атаках, направленных на отечественных пользователей, и избегать просмотра файлов неизвестного происхождения. Чтобы предотвратить заражение, пользователям следует обновить последние патчи и V3 для таких программ, как ОС и интернет-браузер, до последней версии.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея этого текста заключается в том, что угрожающая группа Kimsuky активна с 2013 года и нацелена на национальную оборону, оборонную промышленность, СМИ, дипломатию, правительственные агентства и академические сферы с целью кражи информации и технологий. Они используют фишинговые атаки с использованием вредоносных программ LNK, вредоносных программ с открытым исходным кодом и продаваемых, таких как AppleSeed и PebleDash, а также XRat, кейлоггеров и вредоносных программ для кражи информации. Чтобы предотвратить заражение, пользователям следует обновить последние патчи и V3 для таких программ, как ОС и интернет-браузер.
-----
Угрожающая группа Kimsuky - это поддерживаемая Северной Кореей группа, которая действует с 2013 года. Изначально атаки осуществлялись на исследовательские институты Южной Кореи, связанные с Северной Кореей, а с 2014 года - на энергетические институты Южной Кореи, а с 2017 года - и других стран, помимо Кореи. Атаки направлены на национальную оборону, оборонную промышленность, СМИ, дипломатию, правительственные учреждения и научные круги. Они осуществляются с помощью фишинговых атак с целью кражи внутренней информации и технологий организации.
В последнее время группа Kimsuky использует вредоносные программы с ярлыками в формате LNK, а не в формате документов Hangul или MS Office. При распаковке обычный файл документа и вредоносный LNK-файл существуют вместе. ASEC отслеживает случаи атак группы Kimsuky с использованием вредоносного ПО LNK и постоянно публикует подтвержденные случаи атак в своем блоге. После проникновения группа Kimsuky устанавливает вредоносные программы для удаленного управления, такие как AppleSeed и PebleDash, которые находятся в открытом доступе или продаются, а также XRat. Кроме того, устанавливаются кейлоггеры и вредоносные программы для кражи информации, целью которых в конечном итоге является кража внутренней информации и технологий организации.
XRat - это вредоносная программа RAT, разработанная в .NET и основанная на QuasarRAT, которая доступна на GitHub. Группа Kimsuky использует его в течение длительного времени, а недавно стало известно, что он используется в атаках в виде зашифрованной полезной нагрузки, а не отдельного исполняемого файла или DLL. Он состоит из вредоносной библиотеки ht.dll, файла данных htsetting.ini, содержащего настройки, и зашифрованной полезной нагрузки. Предполагается, что этот метод направлен на обход продуктов безопасности. Amadey - это загрузчик, который устанавливает дополнительные вредоносные программы с C&C-сервера, а RftRAT - это бэкдор, который может получать и выполнять команды с C&C-сервера. В последнее время группа Kimsuky создает вредоносные программы с использованием Autoit для обхода продуктов безопасности.
Пользователям следует помнить о фишинговых атаках, направленных на отечественных пользователей, и избегать просмотра файлов неизвестного происхождения. Чтобы предотвратить заражение, пользователям следует обновить последние патчи и V3 для таких программ, как ОС и интернет-браузер, до последней версии.
#ParsedReport #CompletenessHigh
02-12-2023
AeroBlade on the Hunt Targeting the U.S. Aerospace Industry
https://blogs.blackberry.com/en/2023/11/aeroblade-on-the-hunt-targeting-us-aerospace-industry
Report completeness: High
Actors/Campaigns:
Aeroblade (motivation: cyber_espionage)
Threats:
Spear-phishing_technique
Victims:
An aerospace organization in the united states
Industry:
Aerospace
TTPs:
Tactics: 6
Technics: 25
IOCs:
File: 4
Domain: 1
Path: 2
Url: 2
Hash: 3
Soft:
Microsoft Word, Windows Task Scheduler, Task Scheduler
Algorithms:
md5, murmur, aes, sha256
Functions:
GetStdHandle, CreateProces, GetLogicalDeviceStringsW
Win API:
GetCursorPos, GetTickCount, GlobalMemoryStatusEx, GetUserNameA, GetComputerNameA, GetModuleFileNameA, GetAdaptersInfo, CoCreateInstance, GetEnvironmentVariableW, CreatePipe, have more...
02-12-2023
AeroBlade on the Hunt Targeting the U.S. Aerospace Industry
https://blogs.blackberry.com/en/2023/11/aeroblade-on-the-hunt-targeting-us-aerospace-industry
Report completeness: High
Actors/Campaigns:
Aeroblade (motivation: cyber_espionage)
Threats:
Spear-phishing_technique
Victims:
An aerospace organization in the united states
Industry:
Aerospace
TTPs:
Tactics: 6
Technics: 25
IOCs:
File: 4
Domain: 1
Path: 2
Url: 2
Hash: 3
Soft:
Microsoft Word, Windows Task Scheduler, Task Scheduler
Algorithms:
md5, murmur, aes, sha256
Functions:
GetStdHandle, CreateProces, GetLogicalDeviceStringsW
Win API:
GetCursorPos, GetTickCount, GlobalMemoryStatusEx, GetUserNameA, GetComputerNameA, GetModuleFileNameA, GetAdaptersInfo, CoCreateInstance, GetEnvironmentVariableW, CreatePipe, have more...
BlackBerry
AeroBlade on the Hunt Targeting the U.S. Aerospace Industry
A new threat actor BlackBerry is tracking as AeroBlade has been targeting an aerospace organization in the United States, with the goal of conducting commercial cyber espionage.
CTT Report Hub
#ParsedReport #CompletenessHigh 02-12-2023 AeroBlade on the Hunt Targeting the U.S. Aerospace Industry https://blogs.blackberry.com/en/2023/11/aeroblade-on-the-hunt-targeting-us-aerospace-industry Report completeness: High Actors/Campaigns: Aeroblade (motivation:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея текста заключается в том, что был обнаружен новый угрожающий агент AeroBlade, нацеленный на аэрокосмическую организацию в США с целью осуществления коммерческого и конкурентного кибершпионажа. Атака была очень целенаправленной и сложной, а использование методов защиты от разборки и специального кодирования затрудняет ее обнаружение и анализ.
-----
Специалисты BlackBerry Threat Research and Intelligence недавно обнаружили нового агента угроз, которого они назвали AeroBlade. Этот агент атаковал аэрокосмическую организацию в США с целью осуществления коммерческого и конкурентного кибершпионажа. Атака была проведена в два этапа. На первом этапе с помощью фишинговых писем рассылался вредоносный документ Microsoft Word, содержащий встроенную технику удаленной инъекции шаблонов и вредоносный макрокод VBA. После его активации загружался файл второго этапа под названием redacted .dotm, который, в свою очередь, выполнял файл "item3.xml", создавая обратную оболочку, подключающуюся к " redacted . redacted . com " через порт 443.
В полезной нагрузке также присутствует статическая конфигурация, содержащая информацию о сервере C2, а также методы защиты от разборки, хеширование API, пользовательское кодирование и множественные проверки. Полезная нагрузка также собирает системную информацию с зараженной машины и устанавливает сохранение при перезагрузке системы. Затем она отправляет всю собранную информацию, а также список каталогов, найденных на зараженной машине, на сервер C2.
В середине 2022 года были обнаружены два образца, направленные на одну и ту же аэрокосмическую компанию в США, и оба они указывали на один и тот же IP-адрес сервера C2. Это указывает на то, что угрожающий субъект, скорее всего, тестировал свой метод перед тем, как начать полноценную атаку в 2023 году. В целом атака выглядит очень целенаправленной и изощренной, а использование методов защиты от разборки и специального кодирования затрудняет ее обнаружение и анализ.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея текста заключается в том, что был обнаружен новый угрожающий агент AeroBlade, нацеленный на аэрокосмическую организацию в США с целью осуществления коммерческого и конкурентного кибершпионажа. Атака была очень целенаправленной и сложной, а использование методов защиты от разборки и специального кодирования затрудняет ее обнаружение и анализ.
-----
Специалисты BlackBerry Threat Research and Intelligence недавно обнаружили нового агента угроз, которого они назвали AeroBlade. Этот агент атаковал аэрокосмическую организацию в США с целью осуществления коммерческого и конкурентного кибершпионажа. Атака была проведена в два этапа. На первом этапе с помощью фишинговых писем рассылался вредоносный документ Microsoft Word, содержащий встроенную технику удаленной инъекции шаблонов и вредоносный макрокод VBA. После его активации загружался файл второго этапа под названием redacted .dotm, который, в свою очередь, выполнял файл "item3.xml", создавая обратную оболочку, подключающуюся к " redacted . redacted . com " через порт 443.
В полезной нагрузке также присутствует статическая конфигурация, содержащая информацию о сервере C2, а также методы защиты от разборки, хеширование API, пользовательское кодирование и множественные проверки. Полезная нагрузка также собирает системную информацию с зараженной машины и устанавливает сохранение при перезагрузке системы. Затем она отправляет всю собранную информацию, а также список каталогов, найденных на зараженной машине, на сервер C2.
В середине 2022 года были обнаружены два образца, направленные на одну и ту же аэрокосмическую компанию в США, и оба они указывали на один и тот же IP-адрес сервера C2. Это указывает на то, что угрожающий субъект, скорее всего, тестировал свой метод перед тем, как начать полноценную атаку в 2023 году. В целом атака выглядит очень целенаправленной и изощренной, а использование методов защиты от разборки и специального кодирования затрудняет ее обнаружение и анализ.
#ParsedReport #CompletenessHigh
01-12-2023
DanaBot Stealer : A Multistage MaaS Malware Re-emerges with Reduced Detectability
https://www.cyfirma.com/outofband/danabot-stealer-a-multistage-maas-malware-re-emerges-with-reduced-detectability
Report completeness: High
Threats:
Danabot
Rms_tool
Process_hollowing_technique
Runpe_tool
Credential_stealing_technique
Industry:
Financial, Government
TTPs:
Tactics: 3
Technics: 0
ChatGPT TTPs:
T1036, T1105, T1082, T1057, T1055, T1045, T1036.003, T1090, T1053, T1041, have more...
IOCs:
Path: 2
File: 6
IP: 2
Domain: 1
Soft:
Discord, Windows shell, Windows registry
Algorithms:
zip
Win Services:
WebClient
Languages:
python, powershell, javascript
01-12-2023
DanaBot Stealer : A Multistage MaaS Malware Re-emerges with Reduced Detectability
https://www.cyfirma.com/outofband/danabot-stealer-a-multistage-maas-malware-re-emerges-with-reduced-detectability
Report completeness: High
Threats:
Danabot
Rms_tool
Process_hollowing_technique
Runpe_tool
Credential_stealing_technique
Industry:
Financial, Government
TTPs:
Tactics: 3
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1036, T1105, T1082, T1057, T1055, T1045, T1036.003, T1090, T1053, T1041, have more...
IOCs:
Path: 2
File: 6
IP: 2
Domain: 1
Soft:
Discord, Windows shell, Windows registry
Algorithms:
zip
Win Services:
WebClient
Languages:
python, powershell, javascript
CYFIRMA
DanaBot Malware Analysis | DataBot Stealer | Emerging Malware
DanaBot Stealer Malware: A versatile, stealthy malware offering customized threats targeting individuals, businesses & governments for data theft, financial fraud, and more.
CTT Report Hub
#ParsedReport #CompletenessHigh 01-12-2023 DanaBot Stealer : A Multistage MaaS Malware Re-emerges with Reduced Detectability https://www.cyfirma.com/outofband/danabot-stealer-a-multistage-maas-malware-re-emerges-with-reduced-detectability Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: DanaBot - это очень опасный тип вредоносного ПО, распространяемый через фишинговые письма и разворачиваемый в несколько этапов из различных источников, чтобы избежать обнаружения. Он способен похищать конфиденциальные данные и предлагается в качестве платформы "вредоносное ПО как услуга" (MaaS). Для защиты от DanaBot необходимо быть осторожным с подозрительными ссылками, укреплять безопасность системы и использовать актуальное антивирусное программное обеспечение.
-----
DanaBot - это вредоносное ПО как услуга (MaaS), которое проникает в компьютеры, чтобы украсть ценную информацию для монетизации.
DanaBot распространяется с помощью сложных фишинговых писем и через сеть доставки контента (CDN) Discord.
DanaBot способен похищать учетные данные из веб-браузеров, данные FTP, данные почтовых клиентов, данные пользователей системы, данные VPN-клиентов, данные программ управления файлами, данные приложений для удаленного подключения и многое другое.
Чтобы защититься от DanaBot Stealer, следует с осторожностью относиться к подозрительным ссылкам и вложениям электронной почты, а также применять меры безопасности.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: DanaBot - это очень опасный тип вредоносного ПО, распространяемый через фишинговые письма и разворачиваемый в несколько этапов из различных источников, чтобы избежать обнаружения. Он способен похищать конфиденциальные данные и предлагается в качестве платформы "вредоносное ПО как услуга" (MaaS). Для защиты от DanaBot необходимо быть осторожным с подозрительными ссылками, укреплять безопасность системы и использовать актуальное антивирусное программное обеспечение.
-----
DanaBot - это вредоносное ПО как услуга (MaaS), которое проникает в компьютеры, чтобы украсть ценную информацию для монетизации.
DanaBot распространяется с помощью сложных фишинговых писем и через сеть доставки контента (CDN) Discord.
DanaBot способен похищать учетные данные из веб-браузеров, данные FTP, данные почтовых клиентов, данные пользователей системы, данные VPN-клиентов, данные программ управления файлами, данные приложений для удаленного подключения и многое другое.
Чтобы защититься от DanaBot Stealer, следует с осторожностью относиться к подозрительным ссылкам и вложениям электронной почты, а также применять меры безопасности.
#technique
GhostDriver is a Rust-built AV killer tool using BYOVD.
https://github.com/BlackSnufkin/GhostDriver
GhostDriver is a Rust-built AV killer tool using BYOVD.
https://github.com/BlackSnufkin/GhostDriver
GitHub
GitHub - BlackSnufkin/GhostDriver: yet another AV killer tool using BYOVD
yet another AV killer tool using BYOVD. Contribute to BlackSnufkin/GhostDriver development by creating an account on GitHub.
#technique
TRAP; RESET; POISON; - Taking over a country Kaminsky style
A technical deep dive on how to poison the DNS name resolution of an entire country!
https://sec-consult.com/blog/detail/taking-over-a-country-kaminsky-style/
TRAP; RESET; POISON; - Taking over a country Kaminsky style
A technical deep dive on how to poison the DNS name resolution of an entire country!
https://sec-consult.com/blog/detail/taking-over-a-country-kaminsky-style/
SEC Consult
TRAP; RESET; POISON; - Taking over a country Kaminsky style
A technical deep dive on how to poison the DNS name resolution of an entire country!
#technique
Spyware Employs Various Obfuscation Techniques to Bypass Static Analysis
https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/spyware-obfuscation-static-analysis
Spyware Employs Various Obfuscation Techniques to Bypass Static Analysis
https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/spyware-obfuscation-static-analysis
Security
Spyware Employs Various Obfuscation Techniques to Bypass Static Analysis
A look at some deceptive tactics used by malware authors in an effort to evade analysis.
#ParsedReport #CompletenessLow
04-12-2023
P2Pinfect - New Variant Targets MIPS Devices
https://www.cadosecurity.com/p2pinfect-new-variant-targets-mips-devices
Report completeness: Low
Threats:
P2pinfect
Mirai
Log4shell_vuln
Victims:
Microprocessor without interlocked pipelined stages (mips) architecture, redis servers, 32-bit mips processors, linux hosts
Industry:
Iot
CVEs:
CVE-2022-0543 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 8.4
X-Force: Patch: Unavailable
Soft:
- redis (-)
TTPs:
Tactics: 1
Technics: 0
IOCs:
File: 1
Hash: 2
Soft:
Redis, OpenWRT, UNIX, macOS
Functions:
fork, openat, getpid, prctl
Languages:
lua, rust
Platforms:
cross-platform, mips
Links:
04-12-2023
P2Pinfect - New Variant Targets MIPS Devices
https://www.cadosecurity.com/p2pinfect-new-variant-targets-mips-devices
Report completeness: Low
Threats:
P2pinfect
Mirai
Log4shell_vuln
Victims:
Microprocessor without interlocked pipelined stages (mips) architecture, redis servers, 32-bit mips processors, linux hosts
Industry:
Iot
CVEs:
CVE-2022-0543 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 8.4
X-Force: Patch: Unavailable
Soft:
- redis (-)
TTPs:
Tactics: 1
Technics: 0
IOCs:
File: 1
Hash: 2
Soft:
Redis, OpenWRT, UNIX, macOS
Functions:
fork, openat, getpid, prctl
Languages:
lua, rust
Platforms:
cross-platform, mips
Links:
https://github.com/cado-securityCado Security | Cloud Forensics & Incident Response
P2Pinfect - New Variant Targets MIPS Devices - Cado Security | Cloud Forensics & Incident Response
Cado Security Labs has been monitoring on the rapid growth of a cross-platform botnet, named “P2Pinfect”. Here's the latest updates.
CTT Report Hub
#ParsedReport #CompletenessLow 04-12-2023 P2Pinfect - New Variant Targets MIPS Devices https://www.cadosecurity.com/p2pinfect-new-variant-targets-mips-devices Report completeness: Low Threats: P2pinfect Mirai Log4shell_vuln Victims: Microprocessor without…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: P2Pinfect - это все более сложный кроссплатформенный ботнет, нацеленный на маршрутизаторы, IoT-устройства и другие встраиваемые устройства, с обновленными механизмами обхода, которые усложняют анализ для исследователей. Он отслеживается и исследуется лабораторией Cado Security Labs и демонстрирует уровень сложности разработки вредоносного ПО выше среднего.
-----
P2Pinfect - это все более сложный кроссплатформенный ботнет, который нацелен на маршрутизаторы, Интернет вещей (IoT) и другие встраиваемые устройства. Обнаружен новый вариант вредоносной программы, скомпилированный для архитектуры микропроцессоров без взаимосвязанных конвейерных ступеней (MIPS), с обновленными механизмами уклонения, которые усложняют динамический анализ для исследователей. Она эксплуатирует серверы Redis, используя такие методы, как CVE-2022-0543 и атака несанкционированной репликации, а также пытается получить доступ к SSH грубой силой.
Лаборатория Cado Security Labs отслеживает и сообщает о росте P2Pinfect с июля 2023 года. Анализ нового варианта MIPS выявил структуру под названием BotnetConf с членами, совпадающими по названиям с оригинальными образцами P2Pinfect, и встроенный исполняемый файл ELF, а также 32-битную библиотеку DLL для Windows в формате PE32. Также была обнаружена функция обхода виртуальной машины, которая, вероятно, использовалась в качестве антикризисной процедуры.
Использование языка программирования Rust для кроссплатформенной разработки, а также включение вредоносного загружаемого модуля для Redis, реализующего функциональность system.exec, демонстрируют, на что пошли разработчики P2Pinfect, чтобы затруднить процесс анализа. Вредоносная программа пытается отключить дампы ядра Linux, которые, вероятно, используются для защиты внутренней информации, такой как IP-адреса подключенных пиров и заполненная структура BotnetConf.
Продолжающаяся эволюция и расширение сферы применения P2Pinfect целевым и изощренным агентом угроз свидетельствуют об уровне сложности разработки вредоносного ПО выше среднего. Исследователи Cado Security Labs будут продолжать следить за развитием этой новой бот-сети и сообщать о ней.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: P2Pinfect - это все более сложный кроссплатформенный ботнет, нацеленный на маршрутизаторы, IoT-устройства и другие встраиваемые устройства, с обновленными механизмами обхода, которые усложняют анализ для исследователей. Он отслеживается и исследуется лабораторией Cado Security Labs и демонстрирует уровень сложности разработки вредоносного ПО выше среднего.
-----
P2Pinfect - это все более сложный кроссплатформенный ботнет, который нацелен на маршрутизаторы, Интернет вещей (IoT) и другие встраиваемые устройства. Обнаружен новый вариант вредоносной программы, скомпилированный для архитектуры микропроцессоров без взаимосвязанных конвейерных ступеней (MIPS), с обновленными механизмами уклонения, которые усложняют динамический анализ для исследователей. Она эксплуатирует серверы Redis, используя такие методы, как CVE-2022-0543 и атака несанкционированной репликации, а также пытается получить доступ к SSH грубой силой.
Лаборатория Cado Security Labs отслеживает и сообщает о росте P2Pinfect с июля 2023 года. Анализ нового варианта MIPS выявил структуру под названием BotnetConf с членами, совпадающими по названиям с оригинальными образцами P2Pinfect, и встроенный исполняемый файл ELF, а также 32-битную библиотеку DLL для Windows в формате PE32. Также была обнаружена функция обхода виртуальной машины, которая, вероятно, использовалась в качестве антикризисной процедуры.
Использование языка программирования Rust для кроссплатформенной разработки, а также включение вредоносного загружаемого модуля для Redis, реализующего функциональность system.exec, демонстрируют, на что пошли разработчики P2Pinfect, чтобы затруднить процесс анализа. Вредоносная программа пытается отключить дампы ядра Linux, которые, вероятно, используются для защиты внутренней информации, такой как IP-адреса подключенных пиров и заполненная структура BotnetConf.
Продолжающаяся эволюция и расширение сферы применения P2Pinfect целевым и изощренным агентом угроз свидетельствуют об уровне сложности разработки вредоносного ПО выше среднего. Исследователи Cado Security Labs будут продолжать следить за развитием этой новой бот-сети и сообщать о ней.
#ParsedReport #CompletenessLow
04-12-2023
Threat Intelligence \| Analysis of OceanLotus APT organizations imitating APT29 attack activities
https://mp-weixin-qq-com.translate.goog/s/IB2w86cXcpmGS8qrOnprKw?ref=www.ctfiot.com&_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=en-US&_x_tr_pto=wapp
Report completeness: Low
Actors/Campaigns:
Oceanlotus (motivation: cyber_espionage)
Duke (motivation: cyber_espionage)
Threats:
Cobalt_strike
Beacon
Mimikatz_tool
Industry:
E-commerce
ChatGPT TTPs:
T1566.003, T1574.001, T1543.003, T1204.005
IOCs:
File: 5
Hash: 4
Soft:
WeChat
Win API:
RtlIpv4StringToAddressA
04-12-2023
Threat Intelligence \| Analysis of OceanLotus APT organizations imitating APT29 attack activities
https://mp-weixin-qq-com.translate.goog/s/IB2w86cXcpmGS8qrOnprKw?ref=www.ctfiot.com&_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=en-US&_x_tr_pto=wapp
Report completeness: Low
Actors/Campaigns:
Oceanlotus (motivation: cyber_espionage)
Duke (motivation: cyber_espionage)
Threats:
Cobalt_strike
Beacon
Mimikatz_tool
Industry:
E-commerce
ChatGPT TTPs:
do not use without manual checkT1566.003, T1574.001, T1543.003, T1204.005
IOCs:
File: 5
Hash: 4
Soft:
Win API:
RtlIpv4StringToAddressA
微信公众平台
威胁情报 | 海莲花 APT 组织模仿 APT29 攻击活动分析
从分析来看,以购买BMW汽车为主题,诱导攻击目标执行恶意文件事件与今年APT29的诱导主题和木马加载流程有相似之处,初步分析表明这可能是攻击者故意模仿的结果。
CTT Report Hub
#ParsedReport #CompletenessLow 04-12-2023 Threat Intelligence \| Analysis of OceanLotus APT organizations imitating APT29 attack activities https://mp-weixin-qq-com.translate.goog/s/IB2w86cXcpmGS8qrOnprKw?ref=www.ctfiot.com&_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=en…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Команда разведки угроз Zhichuangyu 404 успешно перехватила последний образец атаки организации OceanLotus, которая использует тему покупки автомобиля BMW, чтобы склонить цель к выполнению вредоносных файлов. Программа-дроппер и документ-приманка выполняются мощной платформой под названием Cobalt_Strike, которая используется многими APT-организациями. Процесс загрузки троянца включает в себя несколько этапов.
-----
Команда разведки угроз Zhichuangyu 404 успешно перехватила последний образец атаки организации OceanLotus в ноябре 2023 года. В образце использовалась тема покупки автомобиля BMW для побуждения цели к выполнению вредоносных файлов. Было обнаружено, что он имеет сходство с темой индукции APT29 и процессом загрузки троянца в этом году, что указывает на то, что злоумышленники могли имитировать его намеренно. Оригинальный образец "BMW_2023 Institutional and Academician Sales Price Framework.pdf.lnk" состоял из четырех компонентов: lnk-параметров, документа-приманки, программы-дроппера и hta-файлов. Эти компоненты работали вместе для достижения желаемого результата. Параметр lnk выполнял hta-файл, который, в свою очередь, выполнял программу-дроппер и документ-приманку. Затем загружался шелл-код для выполнения программы Cobalt_Strike RAT.
Cobalt_Strike - это платный продукт для тестирования на проникновение, который позволяет злоумышленникам развернуть на компьютере жертвы агента под названием "маячок". Beacon предоставляет злоумышленникам широкий спектр возможностей, таких как выполнение команд, ведение журнала нажатий клавиш, передача файлов, SOCKS-прокси, повышение привилегий, мимикац, сканирование портов и боковое перемещение. В комплект поставки входит набор инструментов Artifact Kit для разработки загрузчиков шелл-кода. Эта мощная платформа была взята на вооружение многими APT-организациями. Процесс загрузки троянца состоит из нескольких этапов: Html - iso - ссылка - вредоносный dll-файл - шеллкод.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Команда разведки угроз Zhichuangyu 404 успешно перехватила последний образец атаки организации OceanLotus, которая использует тему покупки автомобиля BMW, чтобы склонить цель к выполнению вредоносных файлов. Программа-дроппер и документ-приманка выполняются мощной платформой под названием Cobalt_Strike, которая используется многими APT-организациями. Процесс загрузки троянца включает в себя несколько этапов.
-----
Команда разведки угроз Zhichuangyu 404 успешно перехватила последний образец атаки организации OceanLotus в ноябре 2023 года. В образце использовалась тема покупки автомобиля BMW для побуждения цели к выполнению вредоносных файлов. Было обнаружено, что он имеет сходство с темой индукции APT29 и процессом загрузки троянца в этом году, что указывает на то, что злоумышленники могли имитировать его намеренно. Оригинальный образец "BMW_2023 Institutional and Academician Sales Price Framework.pdf.lnk" состоял из четырех компонентов: lnk-параметров, документа-приманки, программы-дроппера и hta-файлов. Эти компоненты работали вместе для достижения желаемого результата. Параметр lnk выполнял hta-файл, который, в свою очередь, выполнял программу-дроппер и документ-приманку. Затем загружался шелл-код для выполнения программы Cobalt_Strike RAT.
Cobalt_Strike - это платный продукт для тестирования на проникновение, который позволяет злоумышленникам развернуть на компьютере жертвы агента под названием "маячок". Beacon предоставляет злоумышленникам широкий спектр возможностей, таких как выполнение команд, ведение журнала нажатий клавиш, передача файлов, SOCKS-прокси, повышение привилегий, мимикац, сканирование портов и боковое перемещение. В комплект поставки входит набор инструментов Artifact Kit для разработки загрузчиков шелл-кода. Эта мощная платформа была взята на вооружение многими APT-организациями. Процесс загрузки троянца состоит из нескольких этапов: Html - iso - ссылка - вредоносный dll-файл - шеллкод.
#ParsedReport #CompletenessHigh
04-12-2023
SQL Brute Force Leads to BlueSky Ransomware
https://thedfirreport.com/2023/12/04/sql-brute-force-leads-to-bluesky-ransomware
Report completeness: High
Actors/Campaigns:
Tor2mine
Threats:
Bluesky_ransomware
Babuk
Conti
Cobalt_strike
Smbexec_tool
Xmrigcc_tool
Mimikatz_tool
Xmrig_miner
Credential_dumping_technique
Beacon
Nemucod
Process_injection_technique
Victims:
Public-facing mssql server
Geo:
Romania
CVEs:
CVE-2023-27350 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- papercut papercut ng (<20.1.7, <21.2.11, <22.0.9)
- papercut papercut mf (<22.0.9, <21.2.11, <20.1.7)
TTPs:
Tactics: 10
Technics: 18
IOCs:
File: 5
Path: 1
Command: 1
IP: 2
Url: 8
Hash: 6
Soft:
MSSQL, MS SQL, winlogon, PaperCut, Windows Defender, Process Explorer, Windows Service, WhatsApp
Algorithms:
sha1, base64, curve25519, sha256, md5
Functions:
PrivTrue, PrivFalse
Win API:
CreateRemoteThread, OpenSCManagerW, NtMapViewOfSection, CreateThread, NtQueueApcThread-s, SetThreadContext, RtlCreateUserThread
Languages:
powershell
Platforms:
x64, intel
Links:
04-12-2023
SQL Brute Force Leads to BlueSky Ransomware
https://thedfirreport.com/2023/12/04/sql-brute-force-leads-to-bluesky-ransomware
Report completeness: High
Actors/Campaigns:
Tor2mine
Threats:
Bluesky_ransomware
Babuk
Conti
Cobalt_strike
Smbexec_tool
Xmrigcc_tool
Mimikatz_tool
Xmrig_miner
Credential_dumping_technique
Beacon
Nemucod
Process_injection_technique
Victims:
Public-facing mssql server
Geo:
Romania
CVEs:
CVE-2023-27350 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- papercut papercut ng (<20.1.7, <21.2.11, <22.0.9)
- papercut papercut mf (<22.0.9, <21.2.11, <20.1.7)
TTPs:
Tactics: 10
Technics: 18
IOCs:
File: 5
Path: 1
Command: 1
IP: 2
Url: 8
Hash: 6
Soft:
MSSQL, MS SQL, winlogon, PaperCut, Windows Defender, Process Explorer, Windows Service, WhatsApp
Algorithms:
sha1, base64, curve25519, sha256, md5
Functions:
PrivTrue, PrivFalse
Win API:
CreateRemoteThread, OpenSCManagerW, NtMapViewOfSection, CreateThread, NtQueueApcThread-s, SetThreadContext, RtlCreateUserThread
Languages:
powershell
Platforms:
x64, intel
Links:
https://github.com/EmpireProject/Empire/blob/master/data/module\_source/credentials/Invoke-PowerDump.ps1https://github.com/Kevin-Robertson/Invoke-TheHash/blob/master/Invoke-TheHash.psm1https://github.com/The-DFIR-Report/Yara-Rules/blob/main/19208/19208.yarhttps://github.com/xmrig/xmrig/blob/8084ff37a5c8935c649a2e362da0fe570c79a2c2/CHANGELOG.md?plain=1#L499https://github.com/Kevin-Robertson/Invoke-TheHash/blob/master/Invoke-SMBExec.ps1#L1The DFIR Report
SQL Brute Force Leads to BlueSky Ransomware
In December 2022, we observed an intrusion on a public-facing MSSQL Server, which resulted in BlueSky ransomware. First discovered in June 2022, BlueSky ransomware has code links to Conti and Babuk…