#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что был обнаружен новый угрожающий агент AeroBlade, нацеленный на аэрокосмическую организацию в США с целью осуществления коммерческого и конкурентного кибершпионажа. Атака была очень целенаправленной и сложной, а использование методов защиты от разборки и специального кодирования затрудняет ее обнаружение и анализ.
-----

Специалисты BlackBerry Threat Research and Intelligence недавно обнаружили нового агента угроз, которого они назвали AeroBlade. Этот агент атаковал аэрокосмическую организацию в США с целью осуществления коммерческого и конкурентного кибершпионажа. Атака была проведена в два этапа. На первом этапе с помощью фишинговых писем рассылался вредоносный документ Microsoft Word, содержащий встроенную технику удаленной инъекции шаблонов и вредоносный макрокод VBA. После его активации загружался файл второго этапа под названием redacted .dotm, который, в свою очередь, выполнял файл "item3.xml", создавая обратную оболочку, подключающуюся к " redacted . redacted . com " через порт 443.

В полезной нагрузке также присутствует статическая конфигурация, содержащая информацию о сервере C2, а также методы защиты от разборки, хеширование API, пользовательское кодирование и множественные проверки. Полезная нагрузка также собирает системную информацию с зараженной машины и устанавливает сохранение при перезагрузке системы. Затем она отправляет всю собранную информацию, а также список каталогов, найденных на зараженной машине, на сервер C2.

В середине 2022 года были обнаружены два образца, направленные на одну и ту же аэрокосмическую компанию в США, и оба они указывали на один и тот же IP-адрес сервера C2. Это указывает на то, что угрожающий субъект, скорее всего, тестировал свой метод перед тем, как начать полноценную атаку в 2023 году. В целом атака выглядит очень целенаправленной и изощренной, а использование методов защиты от разборки и специального кодирования затрудняет ее обнаружение и анализ.

#ParsedReport #CompletenessHigh
01-12-2023

DanaBot Stealer : A Multistage MaaS Malware Re-emerges with Reduced Detectability

https://www.cyfirma.com/outofband/danabot-stealer-a-multistage-maas-malware-re-emerges-with-reduced-detectability

Report completeness: High

Threats:
Danabot
Rms_tool
Process_hollowing_technique
Runpe_tool
Credential_stealing_technique

Industry:
Financial, Government

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036, T1105, T1082, T1057, T1055, T1045, T1036.003, T1090, T1053, T1041, have more...

IOCs:
Path: 2
File: 6
IP: 2
Domain: 1

Soft:
Discord, Windows shell, Windows registry

Algorithms:
zip

Win Services:
WebClient

Languages:
python, powershell, javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: DanaBot - это очень опасный тип вредоносного ПО, распространяемый через фишинговые письма и разворачиваемый в несколько этапов из различных источников, чтобы избежать обнаружения. Он способен похищать конфиденциальные данные и предлагается в качестве платформы "вредоносное ПО как услуга" (MaaS). Для защиты от DanaBot необходимо быть осторожным с подозрительными ссылками, укреплять безопасность системы и использовать актуальное антивирусное программное обеспечение.
-----

DanaBot - это вредоносное ПО как услуга (MaaS), которое проникает в компьютеры, чтобы украсть ценную информацию для монетизации.

DanaBot распространяется с помощью сложных фишинговых писем и через сеть доставки контента (CDN) Discord.

DanaBot способен похищать учетные данные из веб-браузеров, данные FTP, данные почтовых клиентов, данные пользователей системы, данные VPN-клиентов, данные программ управления файлами, данные приложений для удаленного подключения и многое другое.

Чтобы защититься от DanaBot Stealer, следует с осторожностью относиться к подозрительным ссылкам и вложениям электронной почты, а также применять меры безопасности.

#technique

GhostDriver is a Rust-built AV killer tool using BYOVD.

https://github.com/BlackSnufkin/GhostDriver

#technique

TRAP; RESET; POISON; - Taking over a country Kaminsky style

A technical deep dive on how to poison the DNS name resolution of an entire country!

https://sec-consult.com/blog/detail/taking-over-a-country-kaminsky-style/

#technique

Spyware Employs Various Obfuscation Techniques to Bypass Static Analysis

https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/spyware-obfuscation-static-analysis

#ParsedReport #CompletenessLow
04-12-2023

P2Pinfect - New Variant Targets MIPS Devices

https://www.cadosecurity.com/p2pinfect-new-variant-targets-mips-devices

Report completeness: Low

Threats:
P2pinfect
Mirai
Log4shell_vuln

Victims:
Microprocessor without interlocked pipelined stages (mips) architecture, redis servers, 32-bit mips processors, linux hosts

Industry:
Iot

CVEs:
CVE-2022-0543 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 8.4
X-Force: Patch: Unavailable
Soft:
- redis (-)


TTPs:
Tactics: 1
Technics: 0

IOCs:
File: 1
Hash: 2

Soft:
Redis, OpenWRT, UNIX, macOS

Functions:
fork, openat, getpid, prctl

Languages:
lua, rust

Platforms:
cross-platform, mips

Links:
https://github.com/cado-security

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: P2Pinfect - это все более сложный кроссплатформенный ботнет, нацеленный на маршрутизаторы, IoT-устройства и другие встраиваемые устройства, с обновленными механизмами обхода, которые усложняют анализ для исследователей. Он отслеживается и исследуется лабораторией Cado Security Labs и демонстрирует уровень сложности разработки вредоносного ПО выше среднего.
-----

P2Pinfect - это все более сложный кроссплатформенный ботнет, который нацелен на маршрутизаторы, Интернет вещей (IoT) и другие встраиваемые устройства. Обнаружен новый вариант вредоносной программы, скомпилированный для архитектуры микропроцессоров без взаимосвязанных конвейерных ступеней (MIPS), с обновленными механизмами уклонения, которые усложняют динамический анализ для исследователей. Она эксплуатирует серверы Redis, используя такие методы, как CVE-2022-0543 и атака несанкционированной репликации, а также пытается получить доступ к SSH грубой силой.

Лаборатория Cado Security Labs отслеживает и сообщает о росте P2Pinfect с июля 2023 года. Анализ нового варианта MIPS выявил структуру под названием BotnetConf с членами, совпадающими по названиям с оригинальными образцами P2Pinfect, и встроенный исполняемый файл ELF, а также 32-битную библиотеку DLL для Windows в формате PE32. Также была обнаружена функция обхода виртуальной машины, которая, вероятно, использовалась в качестве антикризисной процедуры.

Использование языка программирования Rust для кроссплатформенной разработки, а также включение вредоносного загружаемого модуля для Redis, реализующего функциональность system.exec, демонстрируют, на что пошли разработчики P2Pinfect, чтобы затруднить процесс анализа. Вредоносная программа пытается отключить дампы ядра Linux, которые, вероятно, используются для защиты внутренней информации, такой как IP-адреса подключенных пиров и заполненная структура BotnetConf.

Продолжающаяся эволюция и расширение сферы применения P2Pinfect целевым и изощренным агентом угроз свидетельствуют об уровне сложности разработки вредоносного ПО выше среднего. Исследователи Cado Security Labs будут продолжать следить за развитием этой новой бот-сети и сообщать о ней.

#ParsedReport #CompletenessLow
04-12-2023

Threat Intelligence \| Analysis of OceanLotus APT organizations imitating APT29 attack activities

https://mp-weixin-qq-com.translate.goog/s/IB2w86cXcpmGS8qrOnprKw?ref=www.ctfiot.com&_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=en-US&_x_tr_pto=wapp

Report completeness: Low

Actors/Campaigns:
Oceanlotus (motivation: cyber_espionage)
Duke (motivation: cyber_espionage)

Threats:
Cobalt_strike
Beacon
Mimikatz_tool

Industry:
E-commerce

ChatGPT TTPs:
do not use without manual check
T1566.003, T1574.001, T1543.003, T1204.005

IOCs:
File: 5
Hash: 4

Soft:
WeChat

Win API:
RtlIpv4StringToAddressA

#ParsedReport #ExtractedSchema

Classified images:
schema: 3, code: 9, dump: 2, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Команда разведки угроз Zhichuangyu 404 успешно перехватила последний образец атаки организации OceanLotus, которая использует тему покупки автомобиля BMW, чтобы склонить цель к выполнению вредоносных файлов. Программа-дроппер и документ-приманка выполняются мощной платформой под названием Cobalt_Strike, которая используется многими APT-организациями. Процесс загрузки троянца включает в себя несколько этапов.
-----

Команда разведки угроз Zhichuangyu 404 успешно перехватила последний образец атаки организации OceanLotus в ноябре 2023 года. В образце использовалась тема покупки автомобиля BMW для побуждения цели к выполнению вредоносных файлов. Было обнаружено, что он имеет сходство с темой индукции APT29 и процессом загрузки троянца в этом году, что указывает на то, что злоумышленники могли имитировать его намеренно. Оригинальный образец "BMW_2023 Institutional and Academician Sales Price Framework.pdf.lnk" состоял из четырех компонентов: lnk-параметров, документа-приманки, программы-дроппера и hta-файлов. Эти компоненты работали вместе для достижения желаемого результата. Параметр lnk выполнял hta-файл, который, в свою очередь, выполнял программу-дроппер и документ-приманку. Затем загружался шелл-код для выполнения программы Cobalt_Strike RAT.

Cobalt_Strike - это платный продукт для тестирования на проникновение, который позволяет злоумышленникам развернуть на компьютере жертвы агента под названием "маячок". Beacon предоставляет злоумышленникам широкий спектр возможностей, таких как выполнение команд, ведение журнала нажатий клавиш, передача файлов, SOCKS-прокси, повышение привилегий, мимикац, сканирование портов и боковое перемещение. В комплект поставки входит набор инструментов Artifact Kit для разработки загрузчиков шелл-кода. Эта мощная платформа была взята на вооружение многими APT-организациями. Процесс загрузки троянца состоит из нескольких этапов: Html - iso - ссылка - вредоносный dll-файл - шеллкод.

#ParsedReport #CompletenessHigh
04-12-2023

SQL Brute Force Leads to BlueSky Ransomware

https://thedfirreport.com/2023/12/04/sql-brute-force-leads-to-bluesky-ransomware

Report completeness: High

Actors/Campaigns:
Tor2mine

Threats:
Bluesky_ransomware
Babuk
Conti
Cobalt_strike
Smbexec_tool
Xmrigcc_tool
Mimikatz_tool
Xmrig_miner
Credential_dumping_technique
Beacon
Nemucod
Process_injection_technique

Victims:
Public-facing mssql server

Geo:
Romania

CVEs:
CVE-2023-27350 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- papercut papercut ng (<20.1.7, <21.2.11, <22.0.9)
- papercut papercut mf (<22.0.9, <21.2.11, <20.1.7)


TTPs:
Tactics: 10
Technics: 18

IOCs:
File: 5
Path: 1
Command: 1
IP: 2
Url: 8
Hash: 6

Soft:
MSSQL, MS SQL, winlogon, PaperCut, Windows Defender, Process Explorer, Windows Service, WhatsApp

Algorithms:
sha1, base64, curve25519, sha256, md5

Functions:
PrivTrue, PrivFalse

Win API:
CreateRemoteThread, OpenSCManagerW, NtMapViewOfSection, CreateThread, NtQueueApcThread-s, SetThreadContext, RtlCreateUserThread

Languages:
powershell

Platforms:
x64, intel

Links:
https://github.com/EmpireProject/Empire/blob/master/data/module\_source/credentials/Invoke-PowerDump.ps1
https://github.com/Kevin-Robertson/Invoke-TheHash/blob/master/Invoke-TheHash.psm1
https://github.com/The-DFIR-Report/Yara-Rules/blob/main/19208/19208.yar
https://github.com/xmrig/xmrig/blob/8084ff37a5c8935c649a2e362da0fe570c79a2c2/CHANGELOG.md?plain=1#L499
https://github.com/Kevin-Robertson/Invoke-TheHash/blob/master/Invoke-SMBExec.ps1#L1

#ParsedReport #ExtractedSchema

Classified images:
code: 15, schema: 3, windows: 5, table: 6

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Публичный MSSQL-сервер был взломан злоумышленником с помощью атаки грубой силы, в результате чего были развернуты программы BlueSky ransomware и XMrig miner. Злоумышленник также использовал xp_cmdshell для выполнения команды PowerShell, чтобы установить соединение с командно-контрольным сервером Cobalt Strike. Те же сценарии и инфраструктура были повторно использованы в мае 2023 года, при этом вымогательского ПО замечено не было.
-----

В декабре 2022 года публичный сервер MSSQL Server был взломан с помощью атаки грубой силы. Злоумышленники получили доступ к сети и развернули программу BlueSky ransomware с помощью Cobalt Strike и Tor2Mine в течение часа после получения доступа. Cobalt Strike использовался для выполнения команды PowerShell, которая подключалась к серверу Tor2Mine stager и загружала полезную нагрузку майнера. Сценарий PowerShell проверял привилегии пользователей, отключал антивирусные решения и сбрасывал полезную нагрузку майнера. Угрожающий агент также использовал xp_cmdshell для выполнения команды PowerShell, которая устанавливала соединение с командно-контрольным сервером Cobalt Strike.

Затем угрожающие лица переместились в другую сторону, используя удаленное создание служб, и выполнили те же команды PowerShell. Примерно через 30 минут после получения первоначального доступа бинарный файл BlueSky ransomware был сброшен и запущен на плацдарме и в течение 32 минут распространился на все устройства в сети по SMB.

Скрипты PowerShell, задействованные в этом случае, а также инфраструктура сервера Tor2Mine были замечены в повторном использовании в мае 2023 года с эксплойтом PaperCut NG CVE-2023-27350 в качестве начального источника доступа. При этом вторжении не было обнаружено никаких программ-вымогателей.

Сценарий PowerShell, checking.ps1, использовался для отключения AV, включая модификацию реестра и отключение служб. Сценарий PowerShell под названием del.ps1 пытался завершить работу системных утилит, таких как Process Explorer, Task Manager, Process Monitor и Daphne Task Manager. Угрожающий агент создал 16 различных задач на хостах, где был развернут Tor2Mine. Эти задачи были названы таким образом, чтобы попытаться слиться с различными задачами Windows, которые были установлены на хостах.

Tor2Mine использовался для доступа к области памяти LSASS, и доступ был предоставлен на 0x1010. На плацдарме наблюдалось выполнение утилиты дампа учетных данных Invoke-PowerDump. Чтобы установить постоянство в сети, на плацдарме и одном из контроллеров домена были созданы несколько запланированных задач и служб Windows.

Во время вторжения был развернут майнер XMrig, который загрузил драйвер WinRing0. Этот драйвер устанавливается для помощи майнеру в работе и используется, по крайней мере, с версии 5.3.0. Была замечена активность обнаружения портов (порт 445) с плацдарма, связанная с вызовом команды PowerShell Invoke-SMBExec. Скорее всего, она была выполнена как часть фреймворка Invoke-TheHash, судя по другим замеченным модулям PowerShell.

На плацдарм был сброшен бинарный файл BlueSky ransomware под названием vmware.exe, который после выполнения приводил к появлению вымогательского ПО в масштабах сети. Для шифрования файлов использовался SMB, при этом программа-вымогатель подключалась к хосту через порт 445.

В отчете DFIR отслеживался сервер Cobalt Strike, который был активен с 16 декабря 2022 года по 17 января 2023 года, а затем вернулся на второй период с 6 апреля 2023 года по 15 апреля 2023 года. Скрипты PowerShell и инфраструктура Tor2Mine были повторно использованы в мае 2023 года, при этом никаких вымогательских программ замечено не было.

#ParsedReport #CompletenessLow
04-12-2023

Linux version of Qilin ransomware focuses on VMware ESXi

https://www.bleepingcomputer.com/news/security/linux-version-of-qilin-ransomware-focuses-on-vmware-esxi

Report completeness: Low

Threats:
Qilin_ransomware
Melissa

Victims:
Vmware esxi servers, linux, freebsd, and virtual machines

ChatGPT TTPs:
do not use without manual check
T1035, T1105, T1036, T1499, T1486, T1490, T1480, T1482

IOCs:
File: 1

Soft:
ESXi, esxcli

#ParsedReport #GeneratedSchema
Generated with GPT-4