#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: С помощью взломанного программного обеспечения на устройства жертв проникают вредоносные программы, которые могут использоваться в злонамеренных целях, например для создания прокси-серверов или совершения преступных действий. Важно знать об опасностях, связанных с загрузкой нелегального программного обеспечения, и принимать необходимые меры предосторожности, чтобы защитить себя.
-----

Незаконно распространяемое программное обеспечение уже давно используется для проноса вредоносных программ на устройства жертв, поскольку пользователи иногда готовы загружать взломанные приложения с сомнительных сайтов, чтобы получить необходимые инструменты, не платя за них. Недавно в нескольких взломанных приложениях был обнаружен троянец-прокси, который может быть использован злоумышленниками для получения прибыли путем создания сети прокси-серверов или для совершения преступных действий.

Троянец-прокси, известный как WindowServer, представляет собой бинарный файл универсального формата, который был загружен на VirusTotal, но не был отмечен как вредоносный ни одним производителем антивирусного ПО. Он пытается получить IP-адрес C&C-сервера с помощью DNS-over-HTTPS (DoH), чтобы скрыть запрос от мониторинга трафика. Были обнаружены различные версии троянца, причем последняя версия не имеет обновления или проверки версии. Все версии пишут логи в log.txt и dbg.dmp, не очищая их после завершения работы и не предоставляя операторам никаких средств для их анализа.

Кроме того, были обнаружены другие образцы для Android и Windows, подключающиеся к тому же C&C-серверу, которые также скрываются во взломанном ПО и выступают в роли троянцев-прокси. Они могут использоваться для тех же целей, что и WindowServer, например для получения денег или совершения преступных действий. В конечном счете, важно знать об опасностях, связанных с загрузкой нелегального программного обеспечения, и принимать необходимые меры предосторожности, чтобы защитить себя от этих угроз.

#ParsedReport #CompletenessLow
06-12-2023

Distribution of phishing emails disguised as content related to personal information leakage (Konni)

https://asec.ahnlab.com/ko/59625

Report completeness: Low

Actors/Campaigns:
Kimsuky

IOCs:
File: 5
Path: 1
Hash: 6
Url: 1

Soft:
task scheduler

Algorithms:
md5

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Центр реагирования на чрезвычайные ситуации в области безопасности АнЛаб (ASEC) подтвердил факт распространения вредоносного exe-файла атакующей группой Konni, замаскированного под данные, связанные с утечкой личной информации. Этот вредоносный exe-файл способен выполнять различные дополнительные атаки в зависимости от инструкций злоумышленника. Для предотвращения заражения пользователям следует помнить о рисках, связанных с открытием файлов из ненадежных источников, и воздерживаться от этого, а также установить актуальное антивирусное программное обеспечение.
-----

Центр реагирования на чрезвычайные ситуации в области безопасности AhnLab (ASEC) недавно подтвердил, что вредоносные exe-файлы распространяются группой атак Konni, маскируясь под данные, связанные с утечкой личной информации. После выполнения вредоносный exe-файл создает планировщик задач, запускающий файл WindowsHotfixUpdate.jse, который получает команды от C2-сервера злоумышленника. Эти команды обфусцированы, но jse-файл с именем Lomd02.png расшифровывает их и загружает в формате xml. В результате вредоносный exe-файл способен выполнять различные дополнительные атаки в зависимости от инструкций злоумышленника.

Из-за особенностей этого типа вредоносных программ обычным пользователям сложно обнаружить заражение, поскольку вредоносный exe-файл обычно поставляется вместе с файлом документа-приманки. Поэтому следует проявлять осторожность при получении вложений из неизвестных источников.

Хотя точное действие вредоносного exe-файла невозможно подтвердить из-за закрытого сервера C2, предполагается, что это вредоносная программа типа "бэкдор", то есть злоумышленник может получить доступ к зараженному устройству и взять его под контроль. Он также может быть использован для шпионажа за жертвой, кражи конфиденциальных данных или проведения дальнейших атак. Чтобы предотвратить заражение, пользователи должны знать о рисках, связанных с открытием файлов из ненадежных источников, и воздерживаться от этого. Кроме того, необходимо установить актуальное антивирусное программное обеспечение, которое позволит обнаружить любую вредоносную активность на устройстве.

#ParsedReport #CompletenessMedium
06-12-2023

Recent DarkGate Activity & Trends

https://www.zscaler.com/blogs/security-research/recent-darkgate-activity-trends

Report completeness: Medium

Actors/Campaigns:
Shathak

Threats:
Darkgate
Qakbot

Victims:
Technology sector

Industry:
Foodtech

TTPs:
Tactics: 7
Technics: 16

IOCs:
File: 7
Hash: 21
Domain: 72
IP: 10

Algorithms:
zip

Languages:
autoit

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #CompletenessMedium
07-12-2023

IRGC-Affiliated Cyber Actors Exploit PLCs in Multiple Sectors, Including U.S. Water and Wastewater Systems Facilities

https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-335a

Report completeness: Medium

Actors/Campaigns:
Irgc
0ktapus
Cyberav3nger
Cyber_avengers
Cyber_av3ngers
Soldiers_of_solomon

Threats:
Rhysida
Crucio

Industry:
Energy, Foodtech, Government, Healthcare, Transport, Military

Geo:
Iranian, Israeli, Israel, Iran

TTPs:
Tactics: 1
Technics: 1

IOCs:
Hash: 3
IP: 2

Soft:
Telegram

Algorithms:
sha256, md5, sha1

Links:
https://github.com/cisagov/Decider/

#ParsedReport #CompletenessLow
07-12-2023

DarkGate Rises: New version of DarkGate malware hunts like a Duck but bites like a RAT

https://labs.withsecure.com/publications/darkgate-rises.html

Report completeness: Low

Threats:
Darkgate
Process_injection_technique
Ducktail_stealer
Seo_poisoning_technique
Anydesk_tool
Usb_rubber_ducky_tool
Cobalt_strike
Credential_stealing_technique
Hiddenvnc_tool
Motw_bypass_technique
Havoc
Poshc2_tool
Dll_injection_technique
Process_hacker_tool

ChatGPT TTPs:
do not use without manual check
T1055.001, T1140, T1543.003, T1562.002, T1596.001, T1599.001, T1599.003, T1620, T1626.001, T1636.004, have more...

IOCs:
Path: 1
File: 1

Soft:
curl, Pidgin, PSExec, Internet Explorer, Telegram

Algorithms:
zip

Win API:
VirtualProtect, CreateToolhelp32Snapshot, VirtualAllocEx, WriteProcessMemory, CreateRemoteThread, LoadLibraryA

Languages:
delphi, autoit

Links:
https://github.com/stephenfewer/ReflectiveDLLInjection/blob/master/inject/src/LoadLibraryR.c#L210-L222

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Группа обнаружения и реагирования WithSecure (DRT) использовала многоуровневый подход для обнаружения сложной, многоступенчатой угрозы новой версии DarkGate, которая оказалась гораздо более изощренной, чем другие примеры. DarkGate обладает всеми необходимыми условиями для долгосрочного удаленного доступа к взломанному узлу и может привести к доминированию в домене, если ее не обнаружить.
-----

4 августа 2023 года команда обнаружения и реагирования WithSecure (DRT) получила предупреждение об инъекции поддельного процесса с необычными характеристиками памяти на хосте, принадлежащем клиенту WithSecure Countercept MDR. После некоторого расследования DRT определила, что вредоносная программа не была ранее замечена на других клиентах. Это конкретное вредоносное ПО имело сходство с известным похитителем информации DUCKTAIL, однако оно оказалось гораздо более сложным, чем другие примеры.

Последующие расследования показали, что эта вредоносная программа была новой версией DarkGate, продававшейся в то время на двух известных киберпреступных форумах. Вектор заражения был определен как фишинг через LinkedIn. Было установлено, что вредоносная программа использует скриптовый язык AutoIT3, позволяющий выполнять произвольные функции в любой DLL. Среди его возможностей - прокси-сервер SOCKS5, кража учетных данных, скрытый VNC и повышение привилегий.

DRT использовала многоуровневый подход для обнаружения сложной, многоступенчатой угрозы DarkGate, уделяя больше внимания поведению злоумышленника, чем простым атомарным индикаторам, таким как имена процессов или хэши файлов. Этот подход включал в себя изучение нескольких обнаружений, которые были особенно эффективны в данном случае, таких как наличие Mark of The Web (MoTW), который предоставляет полезные метаданные о вредоносном файле, включая URL-адрес происхождения и идентификатор зоны Internet Explorer. Также были рассмотрены такие методы, как SEO poisoning, которые могут быть использованы для точного отслеживания инфраструктуры злоумышленников и осуществления блокировки для упреждающей защиты сетей клиентов.

Кроме того, DRT изучила аномалии в памяти, по которым можно определить наличие отражающей загрузки - техника, часто используемая в "красных командах", но редко встречающаяся в товарных вредоносных программах, таких как DarkGate. Также была изучена активность curl, использовавшаяся для загрузки файла .au3. Выходя за пределы того, что представлено на первый взгляд, и оценивая сигнатурную информацию бинарного файла, можно было точно определить поведение загрузки полезной нагрузки в нескольких приманках и цепочках заражения.

DarkGate значительно отличается от обычных полезных нагрузок второго и третьего этапов, поскольку в первую очередь представляет собой RAT и содержит все необходимые условия для долгосрочного удаленного доступа к взломанному узлу. В отличие от DuckTail, он не предназначен специально для доступа к учетным данным браузера, а способен повышать привилегии, перемещаться в сторону и, в конечном счете, занимать доминирующее положение в домене, если его не обнаружат. С тех пор отдел WithSecure MDR DRT ведет проактивный поиск угроз для обнаружения прошлых и текущих заражений DarkGate.

#ParsedReport #CompletenessMedium
07-12-2023

Curse of the Krasue: New Linux Remote Access Trojan targets Thailand

https://www.group-ib.com/blog/krasue-rat

Report completeness: Medium

Threats:
Krasue
Xorddos
Upx_tool
Diamorphine_rootkit

Victims:
Organizations in thailand, particularly telecommunications companies

Industry:
Telco

Geo:
Asian, Thailand

TTPs:
Tactics: 12
Technics: 6

IOCs:
File: 3
IP: 1
Hash: 12

Soft:
Unix

Algorithms:
aes-cbc, sha256, exhibit

Links:
https://github.com/kokke/tiny-AES-c
https://github.com/mncoppola/suterusu
https://github.com/m0nad/Diamorphine
https://github.com/jermeyyy/rooty

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Krasue - это троянец удаленного доступа (RAT) для Linux, который в основном использовался против организаций в Таиланде. Он содержит 8 внутренних IP-адресов и 1 внешний IP-адрес и использует упаковку UPX для уклонения. Его руткит похож на XorDdos, поэтому организациям следует сохранять бдительность и принимать более эффективные меры безопасности, чтобы не допустить его обнаружения.
-----

Krasue - это троянец удаленного доступа (RAT) для Linux, который был впервые зарегистрирован на Virustotal в 2021 году. В основном он использовался против организаций в Таиланде, в частности телекоммуникационных компаний. Krasue имеет руткиты, встроенные в бинарные файлы, которые предоставляют злоумышленникам удаленный доступ к целевой сети. Вероятно, он был развернут как часть ботнета или продан брокерами начального доступа другим киберпреступникам.

Krasue содержит 8 внутренних IP-адресов и 1 внешний IP-адрес. Он использует UPX-упаковку и демонизацию для улучшения возможностей уклонения, а также создает сервер UDP-сокетов и использует AES-CBC-шифрование со статическим ключом для C2-коммуникаций. Руткит Krasue представляет собой модуль ядра Linux (LKM) и нацелен на ядро Linux версий 2.6x/3.10.x. Он маскируется под драйвер VMware и не содержит действительной цифровой подписи. Для сокрытия своей деятельности и уклонения от обнаружения он подключает системный вызов `kill()`, функции, связанные с сетью, и операции листинга файлов. Кроме того, Krasue использует сообщения RTSP (Real-Time Streaming Protocol) в качестве замаскированного живого пинга, что редко встречается в природе.

Часть руткита Krasue уникальным образом пересекается с руткитом XorDdos, другой вредоносной программы для Linux. Хотя основные компоненты этих двух программ отличаются, в сегменте руткита есть существенные и уникальные совпадения. Исследователи Group-IB могут с умеренной степенью уверенности утверждать, что Krasue, скорее всего, был создан тем же автором, что и XorDdos, или кем-то, имеющим доступ к исходному коду последнего. Руткит содержит 7 скомпилированных версий руткита, которые основаны на трех различных руткитах с открытым исходным кодом Linux Kernel Module.

Информация, содержащаяся в этом блоге, полезна для организаций, борющихся с киберпреступностью, и технических специалистов. Очевидно, что для того, чтобы такие вредоносные программы, как Krasue, оставались вне поля зрения, необходимы постоянная бдительность и более эффективные меры безопасности. Group-IB продолжит следить за будущей активностью Krasue, особенно если RAT распространится на другие регионы.

#ParsedReport #CompletenessMedium
06-12-2023

Getting gooey with GULOADER: deobfuscating the downloader

https://www.elastic.co/security-labs/getting-gooey-with-guloader-downloader

Report completeness: Medium

Threats:
Cloudeye
Process_injection_technique

ChatGPT TTPs:
do not use without manual check
T1145, T1036, T1497, T1543.003, T1546.003, T1486, T1499

IOCs:
File: 2
IP: 1
Url: 1
Hash: 2

Algorithms:
sha256, xor

Win API:
ReadFile, CreateRemoteThread, WriteProcessMemory, EnumResourceTypesA, CallWindowProcW, RtlAddVectoredExceptionHandler

Platforms:
intel

Links:
https://github.com/hasherezade/tiny\_tracer
https://github.com/cea-sec/miasm
https://github.com/elastic/labs-releases/tree/main/tools/guloader/guloader\_FixCFG.py
https://github.com/elastic/labs-releases/tree/main/indicators/guloader
https://github.com/elastic/protections-artifacts/blob/main/yara/rules/Windows\_Trojan\_Guloader.yar

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: GULOADER - это загрузчик шелл-кода, использующий Vectored Exception Handler (VEH) для обфускации потока управления. В этом посте рассматриваются методы распаковки исходного шелл-кода, поиска точки входа расшифрованного шелл-кода и анализа обновлений VEH GULOADER.
-----

Лаборатория Elastic Security Labs уже несколько лет следит за GULOADER, программой для загрузки шелл-кода, известной также как CloudEyE, поскольку она постоянно находится в стадии разработки. Основная функциональность GULOADER не претерпела серьезных изменений за последние несколько лет, но его методы обфускации стали более сложными. В этой заметке мы обсудим методы борьбы с GULOADER и расскажем о том, как распаковать исходный шелл-код, найти точку входа расшифрованного шелл-кода и проанализировать обновления Vectored Exception Handler (VEH) GULOADER, который обфусцирует поток управления.

GULOADER часто поставляется в виде предустановленного инсталлятора NSIS (Nullsoft Scriptable Install System). Основными компонентами программы установки являются файл System.dll, который находится в каталоге $PLUGINSDir и помещается во временную папку для выделения/исполнения шеллкода GULOADER, и сам зашифрованный шеллкод, спрятанный во вложенной папке. Простой способ определить файл, в котором находится шеллкод, - использовать SysInternal's Process Monitor для мониторинга событий ReadFile после запуска GULOADER.

GULOADER выполняет шеллкод через обратные вызовы, используя различные функции Windows API, такие как EnumResourceTypesA и CallWindowProcW. Изучив документацию MSDN по EnumResourceTypesA, можно увидеть, что второй параметр ожидает указатель на функцию обратного вызова. В нашем примере именно туда помещается только что выделенный шелл-код. Чтобы отследить начальный поток управления, можно использовать фреймворк для реверс-инжиниринга Miasm, который позволит разобрать инструкции и проследить за потоком.

Отличительной особенностью GULOADER является возможность Vectored Exception Handling (VEH), которая позволяет приложениям Windows перехватывать и обрабатывать исключения до того, как они будут направлены через стандартный процесс обработки исключений. GULOADER начинает этот процесс с добавления VEH с помощью RtlAddVectoredExceptionHandler. На протяжении всего выполнения шелл-кода GULOADER присутствует код, специально размещенный для запуска этих различных исключений. Когда эти исключения срабатывают, VEH проверяет наличие аппаратных точек останова. Если они не найдены, GULOADER модифицирует EIP непосредственно через структуру CONTEXT, используя однобайтовый ключ XOR (меняется на выборку) с однобайтовым смещением от места возникновения исключения.

В последних образцах GULOADER увеличил сложность начального шеллкода, включив в него множество различных нежелательных инструкций и переходов. Это затрудняет поиск фактического начала основного шеллкода GULOADER. Поскольку в GULOADER добавляются новые исключения, это может привести к поломке инструментария, используемого для ускорения процесса анализа для исследователей.

Чтобы облегчить слежение за потоком управления, аналитик может обойти VEH, отследив выполнение, записав в журнал исключения и исправив шеллкод с помощью рассмотренного ранее алгоритма модификации EIP. Это позволит аналитику встать на правильный путь, приближающий его к доступу к основной функциональности GULOADER.

Elastic Security создала различные правила YARA для выявления активности GULOADER. Эти правила можно использовать для обнаружения GULOADER, а сценарий IDAPython из этого поста можно найти здесь. Для получения дополнительной информации о последних исследованиях угроз посетите раздел анализа вредоносного ПО, проводимого командой Elastic Security Labs.

#ParsedReport #CompletenessMedium
07-12-2023

Russian FSB Cyber Actor Star Blizzard Continues Worldwide Spear-phishing Campaigns

https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-341a

Report completeness: Medium

Actors/Campaigns:
0ktapus
Seaborgium
Coldriver
Tag-53

Threats:
Spear-phishing_technique
Evilginx_tool
Credential_stealing_technique

Industry:
Ngo, Energy

Geo:
Australian, Russian, Canadian, Russia

TTPs:
Tactics: 6
Technics: 13

Soft:
Outlook, Office 365

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что Star Blizzard - это базирующийся в России агент, который успешно использует фишинговые атаки на организации и частных лиц для сбора информации и, по оценкам, почти наверняка подчиняется Центру 18 Федеральной службы безопасности (ФСБ) России.
-----

Star Blizzard - российский агент, успешно использующий атаки типа "spear-phishing" для сбора информации об организациях и частных лицах. Spear-phishing - это техника, использующая наборы онлайн-данных и ресурсы с открытым исходным кодом для сбора информации о своих целях, например, создание учетных записей электронной почты, выдающих себя за известные контакты своих целей, чтобы казаться законными, и создание поддельных профилей в социальных сетях и медиа. Страны, наиболее пострадавшие от деятельности Star Blizzard, - Великобритания, США, другие страны НАТО и соседние с Россией государства. Star Blizzard использовала вредоносные ссылки в электронных письмах или документах, чтобы предложить жертвам ввести учетные данные и обойти двухфакторную аутентификацию, а также была замечена в использовании скомпрометированных учетных записей электронной почты жертв для проведения spear-phishing активности против контактов первоначальной жертвы.

Национальный центр кибербезопасности Великобритании (NCSC), Агентство кибербезопасности и безопасности инфраструктуры США (CISA), Федеральное бюро расследований США (FBI), Агентство национальной безопасности США (NSA), Национальные силы кибернетической миссии США (CNMF), Австралийский центр кибербезопасности Австралийского управления связи (ASD ACSC), Канадский центр кибербезопасности (CCCS) и Новозеландский национальный центр кибербезопасности (NCSC-NZ) считают, что Star Blizzard почти наверняка подчиняется Центру 18 ФСБ России.

#ParsedReport #CompletenessHigh
07-12-2023

Threat Actors Exploit Adobe ColdFusion CVE-2023-26360 for Initial Access to Government Servers

https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-339a

Report completeness: High

Actors/Campaigns:
0ktapus

Threats:
Rhysida
Nltest_tool
Credential_dumping_technique

Industry:
Government

CVEs:
CVE-2023-26360 [Vulners]
CVSS V3.1: 8.6,
Vulners: Exploitation: True
X-Force: Risk: 8.6
X-Force: Patch: Official fix
Soft:
- adobe coldfusion (2018, 2021)


TTPs:
Tactics: 5
Technics: 21

IOCs:
IP: 2
File: 26
Hash: 4
Path: 1

Soft:
Adobe ColdFusion, ColdFusion, Microsoft Defender for Endpoint, Microsoft Edge, local security authority

Algorithms:
sha1

Languages:
javascript, java

Links:
https://github.com/Tas9er/ByPassGodzilla
https://github.com/cisagov/Decider/