#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #CompletenessMedium
07-12-2023

IRGC-Affiliated Cyber Actors Exploit PLCs in Multiple Sectors, Including U.S. Water and Wastewater Systems Facilities

https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-335a

Report completeness: Medium

Actors/Campaigns:
Irgc
0ktapus
Cyberav3nger
Cyber_avengers
Cyber_av3ngers
Soldiers_of_solomon

Threats:
Rhysida
Crucio

Industry:
Energy, Foodtech, Government, Healthcare, Transport, Military

Geo:
Iranian, Israeli, Israel, Iran

TTPs:
Tactics: 1
Technics: 1

IOCs:
Hash: 3
IP: 2

Soft:
Telegram

Algorithms:
sha256, md5, sha1

Links:
https://github.com/cisagov/Decider/

#ParsedReport #CompletenessLow
07-12-2023

DarkGate Rises: New version of DarkGate malware hunts like a Duck but bites like a RAT

https://labs.withsecure.com/publications/darkgate-rises.html

Report completeness: Low

Threats:
Darkgate
Process_injection_technique
Ducktail_stealer
Seo_poisoning_technique
Anydesk_tool
Usb_rubber_ducky_tool
Cobalt_strike
Credential_stealing_technique
Hiddenvnc_tool
Motw_bypass_technique
Havoc
Poshc2_tool
Dll_injection_technique
Process_hacker_tool

ChatGPT TTPs:
do not use without manual check
T1055.001, T1140, T1543.003, T1562.002, T1596.001, T1599.001, T1599.003, T1620, T1626.001, T1636.004, have more...

IOCs:
Path: 1
File: 1

Soft:
curl, Pidgin, PSExec, Internet Explorer, Telegram

Algorithms:
zip

Win API:
VirtualProtect, CreateToolhelp32Snapshot, VirtualAllocEx, WriteProcessMemory, CreateRemoteThread, LoadLibraryA

Languages:
delphi, autoit

Links:
https://github.com/stephenfewer/ReflectiveDLLInjection/blob/master/inject/src/LoadLibraryR.c#L210-L222

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Группа обнаружения и реагирования WithSecure (DRT) использовала многоуровневый подход для обнаружения сложной, многоступенчатой угрозы новой версии DarkGate, которая оказалась гораздо более изощренной, чем другие примеры. DarkGate обладает всеми необходимыми условиями для долгосрочного удаленного доступа к взломанному узлу и может привести к доминированию в домене, если ее не обнаружить.
-----

4 августа 2023 года команда обнаружения и реагирования WithSecure (DRT) получила предупреждение об инъекции поддельного процесса с необычными характеристиками памяти на хосте, принадлежащем клиенту WithSecure Countercept MDR. После некоторого расследования DRT определила, что вредоносная программа не была ранее замечена на других клиентах. Это конкретное вредоносное ПО имело сходство с известным похитителем информации DUCKTAIL, однако оно оказалось гораздо более сложным, чем другие примеры.

Последующие расследования показали, что эта вредоносная программа была новой версией DarkGate, продававшейся в то время на двух известных киберпреступных форумах. Вектор заражения был определен как фишинг через LinkedIn. Было установлено, что вредоносная программа использует скриптовый язык AutoIT3, позволяющий выполнять произвольные функции в любой DLL. Среди его возможностей - прокси-сервер SOCKS5, кража учетных данных, скрытый VNC и повышение привилегий.

DRT использовала многоуровневый подход для обнаружения сложной, многоступенчатой угрозы DarkGate, уделяя больше внимания поведению злоумышленника, чем простым атомарным индикаторам, таким как имена процессов или хэши файлов. Этот подход включал в себя изучение нескольких обнаружений, которые были особенно эффективны в данном случае, таких как наличие Mark of The Web (MoTW), который предоставляет полезные метаданные о вредоносном файле, включая URL-адрес происхождения и идентификатор зоны Internet Explorer. Также были рассмотрены такие методы, как SEO poisoning, которые могут быть использованы для точного отслеживания инфраструктуры злоумышленников и осуществления блокировки для упреждающей защиты сетей клиентов.

Кроме того, DRT изучила аномалии в памяти, по которым можно определить наличие отражающей загрузки - техника, часто используемая в "красных командах", но редко встречающаяся в товарных вредоносных программах, таких как DarkGate. Также была изучена активность curl, использовавшаяся для загрузки файла .au3. Выходя за пределы того, что представлено на первый взгляд, и оценивая сигнатурную информацию бинарного файла, можно было точно определить поведение загрузки полезной нагрузки в нескольких приманках и цепочках заражения.

DarkGate значительно отличается от обычных полезных нагрузок второго и третьего этапов, поскольку в первую очередь представляет собой RAT и содержит все необходимые условия для долгосрочного удаленного доступа к взломанному узлу. В отличие от DuckTail, он не предназначен специально для доступа к учетным данным браузера, а способен повышать привилегии, перемещаться в сторону и, в конечном счете, занимать доминирующее положение в домене, если его не обнаружат. С тех пор отдел WithSecure MDR DRT ведет проактивный поиск угроз для обнаружения прошлых и текущих заражений DarkGate.

#ParsedReport #CompletenessMedium
07-12-2023

Curse of the Krasue: New Linux Remote Access Trojan targets Thailand

https://www.group-ib.com/blog/krasue-rat

Report completeness: Medium

Threats:
Krasue
Xorddos
Upx_tool
Diamorphine_rootkit

Victims:
Organizations in thailand, particularly telecommunications companies

Industry:
Telco

Geo:
Asian, Thailand

TTPs:
Tactics: 12
Technics: 6

IOCs:
File: 3
IP: 1
Hash: 12

Soft:
Unix

Algorithms:
aes-cbc, sha256, exhibit

Links:
https://github.com/kokke/tiny-AES-c
https://github.com/mncoppola/suterusu
https://github.com/m0nad/Diamorphine
https://github.com/jermeyyy/rooty

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Krasue - это троянец удаленного доступа (RAT) для Linux, который в основном использовался против организаций в Таиланде. Он содержит 8 внутренних IP-адресов и 1 внешний IP-адрес и использует упаковку UPX для уклонения. Его руткит похож на XorDdos, поэтому организациям следует сохранять бдительность и принимать более эффективные меры безопасности, чтобы не допустить его обнаружения.
-----

Krasue - это троянец удаленного доступа (RAT) для Linux, который был впервые зарегистрирован на Virustotal в 2021 году. В основном он использовался против организаций в Таиланде, в частности телекоммуникационных компаний. Krasue имеет руткиты, встроенные в бинарные файлы, которые предоставляют злоумышленникам удаленный доступ к целевой сети. Вероятно, он был развернут как часть ботнета или продан брокерами начального доступа другим киберпреступникам.

Krasue содержит 8 внутренних IP-адресов и 1 внешний IP-адрес. Он использует UPX-упаковку и демонизацию для улучшения возможностей уклонения, а также создает сервер UDP-сокетов и использует AES-CBC-шифрование со статическим ключом для C2-коммуникаций. Руткит Krasue представляет собой модуль ядра Linux (LKM) и нацелен на ядро Linux версий 2.6x/3.10.x. Он маскируется под драйвер VMware и не содержит действительной цифровой подписи. Для сокрытия своей деятельности и уклонения от обнаружения он подключает системный вызов `kill()`, функции, связанные с сетью, и операции листинга файлов. Кроме того, Krasue использует сообщения RTSP (Real-Time Streaming Protocol) в качестве замаскированного живого пинга, что редко встречается в природе.

Часть руткита Krasue уникальным образом пересекается с руткитом XorDdos, другой вредоносной программы для Linux. Хотя основные компоненты этих двух программ отличаются, в сегменте руткита есть существенные и уникальные совпадения. Исследователи Group-IB могут с умеренной степенью уверенности утверждать, что Krasue, скорее всего, был создан тем же автором, что и XorDdos, или кем-то, имеющим доступ к исходному коду последнего. Руткит содержит 7 скомпилированных версий руткита, которые основаны на трех различных руткитах с открытым исходным кодом Linux Kernel Module.

Информация, содержащаяся в этом блоге, полезна для организаций, борющихся с киберпреступностью, и технических специалистов. Очевидно, что для того, чтобы такие вредоносные программы, как Krasue, оставались вне поля зрения, необходимы постоянная бдительность и более эффективные меры безопасности. Group-IB продолжит следить за будущей активностью Krasue, особенно если RAT распространится на другие регионы.

#ParsedReport #CompletenessMedium
06-12-2023

Getting gooey with GULOADER: deobfuscating the downloader

https://www.elastic.co/security-labs/getting-gooey-with-guloader-downloader

Report completeness: Medium

Threats:
Cloudeye
Process_injection_technique

ChatGPT TTPs:
do not use without manual check
T1145, T1036, T1497, T1543.003, T1546.003, T1486, T1499

IOCs:
File: 2
IP: 1
Url: 1
Hash: 2

Algorithms:
sha256, xor

Win API:
ReadFile, CreateRemoteThread, WriteProcessMemory, EnumResourceTypesA, CallWindowProcW, RtlAddVectoredExceptionHandler

Platforms:
intel

Links:
https://github.com/hasherezade/tiny\_tracer
https://github.com/cea-sec/miasm
https://github.com/elastic/labs-releases/tree/main/tools/guloader/guloader\_FixCFG.py
https://github.com/elastic/labs-releases/tree/main/indicators/guloader
https://github.com/elastic/protections-artifacts/blob/main/yara/rules/Windows\_Trojan\_Guloader.yar

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: GULOADER - это загрузчик шелл-кода, использующий Vectored Exception Handler (VEH) для обфускации потока управления. В этом посте рассматриваются методы распаковки исходного шелл-кода, поиска точки входа расшифрованного шелл-кода и анализа обновлений VEH GULOADER.
-----

Лаборатория Elastic Security Labs уже несколько лет следит за GULOADER, программой для загрузки шелл-кода, известной также как CloudEyE, поскольку она постоянно находится в стадии разработки. Основная функциональность GULOADER не претерпела серьезных изменений за последние несколько лет, но его методы обфускации стали более сложными. В этой заметке мы обсудим методы борьбы с GULOADER и расскажем о том, как распаковать исходный шелл-код, найти точку входа расшифрованного шелл-кода и проанализировать обновления Vectored Exception Handler (VEH) GULOADER, который обфусцирует поток управления.

GULOADER часто поставляется в виде предустановленного инсталлятора NSIS (Nullsoft Scriptable Install System). Основными компонентами программы установки являются файл System.dll, который находится в каталоге $PLUGINSDir и помещается во временную папку для выделения/исполнения шеллкода GULOADER, и сам зашифрованный шеллкод, спрятанный во вложенной папке. Простой способ определить файл, в котором находится шеллкод, - использовать SysInternal's Process Monitor для мониторинга событий ReadFile после запуска GULOADER.

GULOADER выполняет шеллкод через обратные вызовы, используя различные функции Windows API, такие как EnumResourceTypesA и CallWindowProcW. Изучив документацию MSDN по EnumResourceTypesA, можно увидеть, что второй параметр ожидает указатель на функцию обратного вызова. В нашем примере именно туда помещается только что выделенный шелл-код. Чтобы отследить начальный поток управления, можно использовать фреймворк для реверс-инжиниринга Miasm, который позволит разобрать инструкции и проследить за потоком.

Отличительной особенностью GULOADER является возможность Vectored Exception Handling (VEH), которая позволяет приложениям Windows перехватывать и обрабатывать исключения до того, как они будут направлены через стандартный процесс обработки исключений. GULOADER начинает этот процесс с добавления VEH с помощью RtlAddVectoredExceptionHandler. На протяжении всего выполнения шелл-кода GULOADER присутствует код, специально размещенный для запуска этих различных исключений. Когда эти исключения срабатывают, VEH проверяет наличие аппаратных точек останова. Если они не найдены, GULOADER модифицирует EIP непосредственно через структуру CONTEXT, используя однобайтовый ключ XOR (меняется на выборку) с однобайтовым смещением от места возникновения исключения.

В последних образцах GULOADER увеличил сложность начального шеллкода, включив в него множество различных нежелательных инструкций и переходов. Это затрудняет поиск фактического начала основного шеллкода GULOADER. Поскольку в GULOADER добавляются новые исключения, это может привести к поломке инструментария, используемого для ускорения процесса анализа для исследователей.

Чтобы облегчить слежение за потоком управления, аналитик может обойти VEH, отследив выполнение, записав в журнал исключения и исправив шеллкод с помощью рассмотренного ранее алгоритма модификации EIP. Это позволит аналитику встать на правильный путь, приближающий его к доступу к основной функциональности GULOADER.

Elastic Security создала различные правила YARA для выявления активности GULOADER. Эти правила можно использовать для обнаружения GULOADER, а сценарий IDAPython из этого поста можно найти здесь. Для получения дополнительной информации о последних исследованиях угроз посетите раздел анализа вредоносного ПО, проводимого командой Elastic Security Labs.

#ParsedReport #CompletenessMedium
07-12-2023

Russian FSB Cyber Actor Star Blizzard Continues Worldwide Spear-phishing Campaigns

https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-341a

Report completeness: Medium

Actors/Campaigns:
0ktapus
Seaborgium
Coldriver
Tag-53

Threats:
Spear-phishing_technique
Evilginx_tool
Credential_stealing_technique

Industry:
Ngo, Energy

Geo:
Australian, Russian, Canadian, Russia

TTPs:
Tactics: 6
Technics: 13

Soft:
Outlook, Office 365

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что Star Blizzard - это базирующийся в России агент, который успешно использует фишинговые атаки на организации и частных лиц для сбора информации и, по оценкам, почти наверняка подчиняется Центру 18 Федеральной службы безопасности (ФСБ) России.
-----

Star Blizzard - российский агент, успешно использующий атаки типа "spear-phishing" для сбора информации об организациях и частных лицах. Spear-phishing - это техника, использующая наборы онлайн-данных и ресурсы с открытым исходным кодом для сбора информации о своих целях, например, создание учетных записей электронной почты, выдающих себя за известные контакты своих целей, чтобы казаться законными, и создание поддельных профилей в социальных сетях и медиа. Страны, наиболее пострадавшие от деятельности Star Blizzard, - Великобритания, США, другие страны НАТО и соседние с Россией государства. Star Blizzard использовала вредоносные ссылки в электронных письмах или документах, чтобы предложить жертвам ввести учетные данные и обойти двухфакторную аутентификацию, а также была замечена в использовании скомпрометированных учетных записей электронной почты жертв для проведения spear-phishing активности против контактов первоначальной жертвы.

Национальный центр кибербезопасности Великобритании (NCSC), Агентство кибербезопасности и безопасности инфраструктуры США (CISA), Федеральное бюро расследований США (FBI), Агентство национальной безопасности США (NSA), Национальные силы кибернетической миссии США (CNMF), Австралийский центр кибербезопасности Австралийского управления связи (ASD ACSC), Канадский центр кибербезопасности (CCCS) и Новозеландский национальный центр кибербезопасности (NCSC-NZ) считают, что Star Blizzard почти наверняка подчиняется Центру 18 ФСБ России.

#ParsedReport #CompletenessHigh
07-12-2023

Threat Actors Exploit Adobe ColdFusion CVE-2023-26360 for Initial Access to Government Servers

https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-339a

Report completeness: High

Actors/Campaigns:
0ktapus

Threats:
Rhysida
Nltest_tool
Credential_dumping_technique

Industry:
Government

CVEs:
CVE-2023-26360 [Vulners]
CVSS V3.1: 8.6,
Vulners: Exploitation: True
X-Force: Risk: 8.6
X-Force: Patch: Official fix
Soft:
- adobe coldfusion (2018, 2021)


TTPs:
Tactics: 5
Technics: 21

IOCs:
IP: 2
File: 26
Hash: 4
Path: 1

Soft:
Adobe ColdFusion, ColdFusion, Microsoft Defender for Endpoint, Microsoft Edge, local security authority

Algorithms:
sha1

Languages:
javascript, java

Links:
https://github.com/Tas9er/ByPassGodzilla
https://github.com/cisagov/Decider/

#ParsedReport #CompletenessMedium
07-12-2023

Beware of predatory fin(tech): Loan sharks use Android apps to reach new depths

https://www.welivesecurity.com/en/eset-research/beware-predatory-fintech-loan-sharks-use-android-apps-reach-new-depths

Report completeness: Medium

Threats:
Spyloan

Industry:
Financial

Geo:
Ukraine, Indian, Philippines, Pakistan, Egypt, Vietnam, Colombia, Nigeria, Usa, Indonesian, America, American, Singapore, India, Asia, Egyptian, Canada, Spanish, Kenya, Thailand, Peru, Africa, Indonesia, Mexico

TTPs:
Tactics: 5
Technics: 7

IOCs:
Hash: 17
Domain: 17
IP: 17

Soft:
Android, Flutter

Algorithms:
aes

Platforms:
apple, cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Вредоносные кредитные приложения были загружены более 12 миллионов раз и могут обманывать и мошенничать с пользователями. Важно знать о признаках вредоносного кредитного приложения и проявлять осторожность при обращении за финансовыми услугами в Интернете.
-----

Легальные кредитные приложения становятся все более популярными благодаря своему привлекательному внешнему виду и возможности получения кредитов под высокие проценты. Однако существует и скрытый риск - вредоносные кредитные приложения могут обманывать и мошенничать с пользователями. Компания ESET Research обнаружила 18 приложений SpyLoan, которые были загружены из Google Play более 12 миллионов раз. В основном эти приложения нацелены на пользователей из Юго-Восточной Азии, Африки и Латинской Америки.

Когда пользователь загружает приложение SpyLoan, ему предлагается принять условия обслуживания и предоставить широкие полномочия для доступа к конфиденциальным данным, хранящимся на устройстве. Приложение запрашивает личную информацию, такую как адресные данные, контактная информация, подтверждение дохода, информация о банковском счете и даже фотографии лицевой и оборотной сторон удостоверения личности и селфи. Затем эти данные отправляются на серверы злоумышленников, где используются для преследования и шантажа пользователей с целью совершения платежей.

За последние три года компания Google ввела новые требования к приложениям для персональных займов в нескольких регионах и удалила вредоносные приложения для займов после того, как ESET уведомила их об этом. Однако в январе 2023 года количество обнаружений SpyLoan снова начало расти, поскольку злоумышленники продвигают вредоносные приложения с помощью SMS-сообщений и в социальных сетях, таких как Twitter, Facebook и YouTube. Некоторые приложения SpyLoan даже выдают себя за авторитетных поставщиков кредитов и финансовых услуг.

Важно знать о признаках вредоносного кредитного приложения и проявлять осторожность при поиске финансовых услуг в Интернете. Следует полагаться на законные источники и обращать пристальное внимание на отзывы пользователей при загрузке приложений из Google Play. Жертвы цифровых ростовщиков должны сообщать о случившемся в правоохранительные или соответствующие юридические органы своей страны и обращаться в органы по защите прав потребителей. Оставаясь информированными и бдительными, пользователи смогут лучше защитить себя от того, чтобы стать жертвой подобных обманных схем.

#ParsedReport #CompletenessMedium
07-12-2023

Fighting Ursa Aka APT28: Illuminating a Covert Campaign

https://unit42.paloaltonetworks.com/russian-apt-fighting-ursa-exploits-cve-2023-233397

Report completeness: Medium

Actors/Campaigns:
Fancy_bear
Forest_blizzard

Threats:
Wildfire

Victims:
Organizations and nations using microsoft outlook

Industry:
Telco, Government, Transport, Chemical, Energy, Military

Geo:
Russian, Germany, France, Russia, Ukraine, Ukrainian, Jordan, Emirates

CVEs:
CVE-2023-23397 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- microsoft outlook (2016, 2013)
- microsoft office (2019, 2021)
- microsoft 365 apps (-)


IOCs:
Domain: 1
Hash: 1
IP: 14

Soft:
Microsoft Outlook, Outlook

Algorithms:
sha256

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Группа Fighting Ursa, связанная с российской военной разведкой, использует уязвимости в Microsoft Outlook для получения доступа к конфиденциальной информации, нацеливаясь на организации, представляющие очевидную разведывательную ценность для российских военных. Правительствам и поставщикам критически важной инфраструктуры следует принять меры для защиты своих систем от подобных атак.
-----

Fighting Ursa - группа, связанная с российской военной разведкой и приписанная к 85-му центру спецслужб ГРУ (ГЦСС), подразделение военной разведки 26165. В течение последних 20 месяцев они использовали эксплойт нулевого дня в Microsoft Outlook, известный как CVE-2023-23397. Целями группы стали по меньшей мере 30 организаций в 14 странах, все из которых являются членами НАТО, за исключением Украины, Иордании и ОАЭ. Эксплойт позволяет провести ретрансляционную атаку с использованием Windows (New Technology) NT LAN Manager (NTLM) и таким образом получить доступ к системам жертвы.

Группа впервые использовала эксплойт вскоре после вторжения России в Украину и продолжила использовать его даже после того, как украинские исследователи кибербезопасности обнаружили его. Судя по всему, их целью являются организации, представляющие очевидную разведывательную ценность для российских военных, например, связанные с энергетикой, транспортом, телекоммуникациями, информационными технологиями и военно-промышленной базой.

Очевидно, что Fighting Ursa умело использует уязвимости Microsoft Outlook для получения доступа к конфиденциальной информации. Поэтому правительствам и поставщикам критически важной инфраструктуры следует незамедлительно принять меры по защите своих систем от подобных атак. Соблюдая необходимые меры предосторожности, организации могут защитить себя от того, чтобы стать жертвами вредоносных кампаний Fighting Ursa.