#ParsedReport #CompletenessMedium
06-12-2023

Getting gooey with GULOADER: deobfuscating the downloader

https://www.elastic.co/security-labs/getting-gooey-with-guloader-downloader

Report completeness: Medium

Threats:
Cloudeye
Process_injection_technique

ChatGPT TTPs:
do not use without manual check
T1145, T1036, T1497, T1543.003, T1546.003, T1486, T1499

IOCs:
File: 2
IP: 1
Url: 1
Hash: 2

Algorithms:
sha256, xor

Win API:
ReadFile, CreateRemoteThread, WriteProcessMemory, EnumResourceTypesA, CallWindowProcW, RtlAddVectoredExceptionHandler

Platforms:
intel

Links:
https://github.com/hasherezade/tiny\_tracer
https://github.com/cea-sec/miasm
https://github.com/elastic/labs-releases/tree/main/tools/guloader/guloader\_FixCFG.py
https://github.com/elastic/labs-releases/tree/main/indicators/guloader
https://github.com/elastic/protections-artifacts/blob/main/yara/rules/Windows\_Trojan\_Guloader.yar

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: GULOADER - это загрузчик шелл-кода, использующий Vectored Exception Handler (VEH) для обфускации потока управления. В этом посте рассматриваются методы распаковки исходного шелл-кода, поиска точки входа расшифрованного шелл-кода и анализа обновлений VEH GULOADER.
-----

Лаборатория Elastic Security Labs уже несколько лет следит за GULOADER, программой для загрузки шелл-кода, известной также как CloudEyE, поскольку она постоянно находится в стадии разработки. Основная функциональность GULOADER не претерпела серьезных изменений за последние несколько лет, но его методы обфускации стали более сложными. В этой заметке мы обсудим методы борьбы с GULOADER и расскажем о том, как распаковать исходный шелл-код, найти точку входа расшифрованного шелл-кода и проанализировать обновления Vectored Exception Handler (VEH) GULOADER, который обфусцирует поток управления.

GULOADER часто поставляется в виде предустановленного инсталлятора NSIS (Nullsoft Scriptable Install System). Основными компонентами программы установки являются файл System.dll, который находится в каталоге $PLUGINSDir и помещается во временную папку для выделения/исполнения шеллкода GULOADER, и сам зашифрованный шеллкод, спрятанный во вложенной папке. Простой способ определить файл, в котором находится шеллкод, - использовать SysInternal's Process Monitor для мониторинга событий ReadFile после запуска GULOADER.

GULOADER выполняет шеллкод через обратные вызовы, используя различные функции Windows API, такие как EnumResourceTypesA и CallWindowProcW. Изучив документацию MSDN по EnumResourceTypesA, можно увидеть, что второй параметр ожидает указатель на функцию обратного вызова. В нашем примере именно туда помещается только что выделенный шелл-код. Чтобы отследить начальный поток управления, можно использовать фреймворк для реверс-инжиниринга Miasm, который позволит разобрать инструкции и проследить за потоком.

Отличительной особенностью GULOADER является возможность Vectored Exception Handling (VEH), которая позволяет приложениям Windows перехватывать и обрабатывать исключения до того, как они будут направлены через стандартный процесс обработки исключений. GULOADER начинает этот процесс с добавления VEH с помощью RtlAddVectoredExceptionHandler. На протяжении всего выполнения шелл-кода GULOADER присутствует код, специально размещенный для запуска этих различных исключений. Когда эти исключения срабатывают, VEH проверяет наличие аппаратных точек останова. Если они не найдены, GULOADER модифицирует EIP непосредственно через структуру CONTEXT, используя однобайтовый ключ XOR (меняется на выборку) с однобайтовым смещением от места возникновения исключения.

В последних образцах GULOADER увеличил сложность начального шеллкода, включив в него множество различных нежелательных инструкций и переходов. Это затрудняет поиск фактического начала основного шеллкода GULOADER. Поскольку в GULOADER добавляются новые исключения, это может привести к поломке инструментария, используемого для ускорения процесса анализа для исследователей.

Чтобы облегчить слежение за потоком управления, аналитик может обойти VEH, отследив выполнение, записав в журнал исключения и исправив шеллкод с помощью рассмотренного ранее алгоритма модификации EIP. Это позволит аналитику встать на правильный путь, приближающий его к доступу к основной функциональности GULOADER.

Elastic Security создала различные правила YARA для выявления активности GULOADER. Эти правила можно использовать для обнаружения GULOADER, а сценарий IDAPython из этого поста можно найти здесь. Для получения дополнительной информации о последних исследованиях угроз посетите раздел анализа вредоносного ПО, проводимого командой Elastic Security Labs.

#ParsedReport #CompletenessMedium
07-12-2023

Russian FSB Cyber Actor Star Blizzard Continues Worldwide Spear-phishing Campaigns

https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-341a

Report completeness: Medium

Actors/Campaigns:
0ktapus
Seaborgium
Coldriver
Tag-53

Threats:
Spear-phishing_technique
Evilginx_tool
Credential_stealing_technique

Industry:
Ngo, Energy

Geo:
Australian, Russian, Canadian, Russia

TTPs:
Tactics: 6
Technics: 13

Soft:
Outlook, Office 365

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что Star Blizzard - это базирующийся в России агент, который успешно использует фишинговые атаки на организации и частных лиц для сбора информации и, по оценкам, почти наверняка подчиняется Центру 18 Федеральной службы безопасности (ФСБ) России.
-----

Star Blizzard - российский агент, успешно использующий атаки типа "spear-phishing" для сбора информации об организациях и частных лицах. Spear-phishing - это техника, использующая наборы онлайн-данных и ресурсы с открытым исходным кодом для сбора информации о своих целях, например, создание учетных записей электронной почты, выдающих себя за известные контакты своих целей, чтобы казаться законными, и создание поддельных профилей в социальных сетях и медиа. Страны, наиболее пострадавшие от деятельности Star Blizzard, - Великобритания, США, другие страны НАТО и соседние с Россией государства. Star Blizzard использовала вредоносные ссылки в электронных письмах или документах, чтобы предложить жертвам ввести учетные данные и обойти двухфакторную аутентификацию, а также была замечена в использовании скомпрометированных учетных записей электронной почты жертв для проведения spear-phishing активности против контактов первоначальной жертвы.

Национальный центр кибербезопасности Великобритании (NCSC), Агентство кибербезопасности и безопасности инфраструктуры США (CISA), Федеральное бюро расследований США (FBI), Агентство национальной безопасности США (NSA), Национальные силы кибернетической миссии США (CNMF), Австралийский центр кибербезопасности Австралийского управления связи (ASD ACSC), Канадский центр кибербезопасности (CCCS) и Новозеландский национальный центр кибербезопасности (NCSC-NZ) считают, что Star Blizzard почти наверняка подчиняется Центру 18 ФСБ России.

#ParsedReport #CompletenessHigh
07-12-2023

Threat Actors Exploit Adobe ColdFusion CVE-2023-26360 for Initial Access to Government Servers

https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-339a

Report completeness: High

Actors/Campaigns:
0ktapus

Threats:
Rhysida
Nltest_tool
Credential_dumping_technique

Industry:
Government

CVEs:
CVE-2023-26360 [Vulners]
CVSS V3.1: 8.6,
Vulners: Exploitation: True
X-Force: Risk: 8.6
X-Force: Patch: Official fix
Soft:
- adobe coldfusion (2018, 2021)


TTPs:
Tactics: 5
Technics: 21

IOCs:
IP: 2
File: 26
Hash: 4
Path: 1

Soft:
Adobe ColdFusion, ColdFusion, Microsoft Defender for Endpoint, Microsoft Edge, local security authority

Algorithms:
sha1

Languages:
javascript, java

Links:
https://github.com/Tas9er/ByPassGodzilla
https://github.com/cisagov/Decider/

#ParsedReport #CompletenessMedium
07-12-2023

Beware of predatory fin(tech): Loan sharks use Android apps to reach new depths

https://www.welivesecurity.com/en/eset-research/beware-predatory-fintech-loan-sharks-use-android-apps-reach-new-depths

Report completeness: Medium

Threats:
Spyloan

Industry:
Financial

Geo:
Ukraine, Indian, Philippines, Pakistan, Egypt, Vietnam, Colombia, Nigeria, Usa, Indonesian, America, American, Singapore, India, Asia, Egyptian, Canada, Spanish, Kenya, Thailand, Peru, Africa, Indonesia, Mexico

TTPs:
Tactics: 5
Technics: 7

IOCs:
Hash: 17
Domain: 17
IP: 17

Soft:
Android, Flutter

Algorithms:
aes

Platforms:
apple, cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Вредоносные кредитные приложения были загружены более 12 миллионов раз и могут обманывать и мошенничать с пользователями. Важно знать о признаках вредоносного кредитного приложения и проявлять осторожность при обращении за финансовыми услугами в Интернете.
-----

Легальные кредитные приложения становятся все более популярными благодаря своему привлекательному внешнему виду и возможности получения кредитов под высокие проценты. Однако существует и скрытый риск - вредоносные кредитные приложения могут обманывать и мошенничать с пользователями. Компания ESET Research обнаружила 18 приложений SpyLoan, которые были загружены из Google Play более 12 миллионов раз. В основном эти приложения нацелены на пользователей из Юго-Восточной Азии, Африки и Латинской Америки.

Когда пользователь загружает приложение SpyLoan, ему предлагается принять условия обслуживания и предоставить широкие полномочия для доступа к конфиденциальным данным, хранящимся на устройстве. Приложение запрашивает личную информацию, такую как адресные данные, контактная информация, подтверждение дохода, информация о банковском счете и даже фотографии лицевой и оборотной сторон удостоверения личности и селфи. Затем эти данные отправляются на серверы злоумышленников, где используются для преследования и шантажа пользователей с целью совершения платежей.

За последние три года компания Google ввела новые требования к приложениям для персональных займов в нескольких регионах и удалила вредоносные приложения для займов после того, как ESET уведомила их об этом. Однако в январе 2023 года количество обнаружений SpyLoan снова начало расти, поскольку злоумышленники продвигают вредоносные приложения с помощью SMS-сообщений и в социальных сетях, таких как Twitter, Facebook и YouTube. Некоторые приложения SpyLoan даже выдают себя за авторитетных поставщиков кредитов и финансовых услуг.

Важно знать о признаках вредоносного кредитного приложения и проявлять осторожность при поиске финансовых услуг в Интернете. Следует полагаться на законные источники и обращать пристальное внимание на отзывы пользователей при загрузке приложений из Google Play. Жертвы цифровых ростовщиков должны сообщать о случившемся в правоохранительные или соответствующие юридические органы своей страны и обращаться в органы по защите прав потребителей. Оставаясь информированными и бдительными, пользователи смогут лучше защитить себя от того, чтобы стать жертвой подобных обманных схем.

#ParsedReport #CompletenessMedium
07-12-2023

Fighting Ursa Aka APT28: Illuminating a Covert Campaign

https://unit42.paloaltonetworks.com/russian-apt-fighting-ursa-exploits-cve-2023-233397

Report completeness: Medium

Actors/Campaigns:
Fancy_bear
Forest_blizzard

Threats:
Wildfire

Victims:
Organizations and nations using microsoft outlook

Industry:
Telco, Government, Transport, Chemical, Energy, Military

Geo:
Russian, Germany, France, Russia, Ukraine, Ukrainian, Jordan, Emirates

CVEs:
CVE-2023-23397 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- microsoft outlook (2016, 2013)
- microsoft office (2019, 2021)
- microsoft 365 apps (-)


IOCs:
Domain: 1
Hash: 1
IP: 14

Soft:
Microsoft Outlook, Outlook

Algorithms:
sha256

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Группа Fighting Ursa, связанная с российской военной разведкой, использует уязвимости в Microsoft Outlook для получения доступа к конфиденциальной информации, нацеливаясь на организации, представляющие очевидную разведывательную ценность для российских военных. Правительствам и поставщикам критически важной инфраструктуры следует принять меры для защиты своих систем от подобных атак.
-----

Fighting Ursa - группа, связанная с российской военной разведкой и приписанная к 85-му центру спецслужб ГРУ (ГЦСС), подразделение военной разведки 26165. В течение последних 20 месяцев они использовали эксплойт нулевого дня в Microsoft Outlook, известный как CVE-2023-23397. Целями группы стали по меньшей мере 30 организаций в 14 странах, все из которых являются членами НАТО, за исключением Украины, Иордании и ОАЭ. Эксплойт позволяет провести ретрансляционную атаку с использованием Windows (New Technology) NT LAN Manager (NTLM) и таким образом получить доступ к системам жертвы.

Группа впервые использовала эксплойт вскоре после вторжения России в Украину и продолжила использовать его даже после того, как украинские исследователи кибербезопасности обнаружили его. Судя по всему, их целью являются организации, представляющие очевидную разведывательную ценность для российских военных, например, связанные с энергетикой, транспортом, телекоммуникациями, информационными технологиями и военно-промышленной базой.

Очевидно, что Fighting Ursa умело использует уязвимости Microsoft Outlook для получения доступа к конфиденциальной информации. Поэтому правительствам и поставщикам критически важной инфраструктуры следует незамедлительно принять меры по защите своих систем от подобных атак. Соблюдая необходимые меры предосторожности, организации могут защитить себя от того, чтобы стать жертвами вредоносных кампаний Fighting Ursa.

#ParsedReport #CompletenessMedium
07-12-2023

Star Blizzard increases sophistication and evasion in ongoing attacks

https://www.microsoft.com/en-us/security/blog/2023/12/07/star-blizzard-increases-sophistication-and-evasion-in-ongoing-attacks

Report completeness: Medium

Actors/Campaigns:
Seaborgium (motivation: cyber_espionage)

Threats:
Spear-phishing_technique
Evilginx_tool
Lockdown

Victims:
Defense and government entities, Academic institutions, Think tanks, Research organizations

Industry:
Telco, Logistic, Government

Geo:
Russian, Ukraine, Russia

TTPs:
Tactics: 1
Technics: 0

IOCs:
Domain: 249

Soft:
Microsoft Defender, Microsoft Defender for Endpoint, Selenium, PhantomJS, HubSpot, MailerLite, Microsoft OneDrive, Office 365, Microsoft Edge, Microsoft 365 Defender, have more...

Functions:
pluginsEmpty, isAutomationTool, eval

Languages:
javascript

#ParsedReport #ExtractedSchema

Classified images:
code: 3, table: 1, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Компания Microsoft выявила серию атак, совершенных российским государственным агентом Star Blizzard, и приняла меры по снижению угрозы, в частности, напрямую уведомила клиентов и предоставила им необходимую информацию для защиты своих учетных записей. Пользователям важно знать об угрозе, исходящей от Star Blizzard, и принимать дополнительные меры предосторожности, а также использовать Microsoft Defender для Office и Microsoft 365 Defender для усиления защиты.
-----

Специалисты Microsoft Threat Intelligence выявили серию целенаправленных социально-инженерных атак, проведенных российским агентом угроз Star Blizzard, спонсируемым государством. В ходе этих атак использовались фишинговые заманухи для кражи учетных данных, рассылаемые угрожающим агентом, которого Microsoft относит к отдельному угрожающему агенту, отслеживаемому как Cadet Blizzard и Storm-0978. Microsoft выявила пять различных методов, которые Star Blizzard использовал для уклонения от обнаружения, например, использование скриптов на стороне сервера, платформ маркетинга электронной почты и DNS-провайдеров для сокрытия истинных адресов отправителей электронной почты. Угрожающий агент также был замечен в отправке защищенных паролем PDF-приманок или ссылок на облачные файлообменные платформы, где размещаются PDF-приманки, а также в переходе на более рандомизированный алгоритм генерации доменов (DGA) для зарегистрированных агентом доменов.

Star Blizzard обычно атакует академические институты, аналитические центры и другие исследовательские организации, пытаясь получить учетные данные для американского портала управления грантами. Письма обычно представляются письмами от легитимных контактов и могут быть отправлены с любого бесплатного почтового провайдера. Когда пользователь нажимает на кнопку в PDF-приманке, открывается сессия браузера, после чего следует цепочка переадресации, которая заканчивается на контролируемом актером сервере Evilginx, настроенном на фишлет для целевого провайдера электронной почты. Если процесс аутентификации завершен, значит, учетные данные были успешно скомпрометированы Star Blizzard.

Microsoft предприняла шаги по снижению угрозы, исходящей от Star Blizzard, в частности, напрямую уведомила клиентов, подвергшихся атаке или взлому, предоставила им необходимую информацию для защиты своих учетных записей, приостановила работу учетных записей, обнаруженных при использовании платформы Microsoft для фишинга, и внедрила обнаружение вредоносных доменов с помощью защиты Network. Клиенты Microsoft также могут использовать отчеты в продуктах Microsoft, чтобы получить самую свежую информацию о субъекте угрозы, вредоносной активности и рекомендуемых действиях по предотвращению, смягчению и реагированию на связанные угрозы.

Пользователям корпоративной и потребительской электронной почты важно помнить об угрозе, исходящей от Star Blizzard, и обращать внимание на письма от известных контактов, которые могут быть вредоносными. Лицам и организациям, связанным с правительством или дипломатией, исследованиями в области оборонной политики или международных отношений, когда речь идет о России, а также с оказанием помощи Украине в связи с продолжающимся конфликтом с Россией, следует принять дополнительные меры предосторожности. Microsoft Defender для Office и Microsoft 365 Defender предлагают расширенные решения для блокировки и выявления вредоносных писем.

#technique

Abusing WSUS with MITM to perform ADCS ESC8 attack

https://j4s0nmo0n.github.io/belettetimoree.github.io/2023-12-01-WSUS-to-ESC8.html

#ParsedReport #CompletenessMedium
08-12-2023

ITG05 operations leverage Israel-Hamas conflict lures to deliver Headlace malware

https://securityintelligence.com/x-force/itg05-ops-leverage-israel-hamas-conflict-lures-to-deliver-headlace-malware

Report completeness: Medium

Actors/Campaigns:
Fancy_bear
Forest_blizzard
Steal-it

Threats:
Headlace
Dll_hijacking_technique
Spear-phishing_technique
Nishang_tool
Graphite

Victims:
Organizations in hungary, turkey, australia, poland, belgium, ukraine, germany, azerbaijan, saudi arabia, kazakhstan, italy, latvia and romania

Industry:
Energy, Ngo, Financial, Education, Government

Geo:
Russian, Romania, Kazakhstan, Ukrainian, Italy, Poland, Latvia, Belarus, Azerbaijan, Israel, Austria, Russia, Belgium, Hungary, Germany, Israeli, French, Palestinian, Ukraine, Turkish, Australia, Turkey

CVEs:
CVE-2023-38831 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- rarlab winrar (<6.23)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1190, T1193, T1190, T1204, T1036, T1210, T1003, T1098

IOCs:
File: 6
Url: 9
Hash: 36

Soft:
Mockbin

Algorithms:
sha256, sha1, zip, md5

Functions:
URL

Languages:
visual_basic, javascript, php

Links:
https://github.com/samratashok/nishang/blob/master/Utility/Start-CaptureServer.ps1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: IBM X-Force обнаружила целенаправленную кампанию ITG05, вероятно, спонсируемой российским государством группы, использующей продолжающуюся войну между Израилем и Хамасом в качестве приманки для доставки эксклюзивного бэкдора Headlace в 13 стран мира. Headlace - это многокомпонентное вредоносное ПО, и было замечено, что угрожающий субъект использует коммерческие хостинги для размещения вредоносной полезной нагрузки. После закрепления в системе несколько последующих полезных нагрузок используются для захвата учетных данных NTLM или хэшей SMB учетных записей пользователей и попытки их утечки через сеть TOR.
-----

IBM X-Force обнаружила целенаправленную кампанию ITG05, вероятно, спонсируемой российским государством группы, использующей продолжающуюся войну между Израилем и Хамасом в качестве приманки для доставки своего эксклюзивного бэкдора Headlace. Кампания направлена на цели в 13 странах мира, включая Венгрию, Турцию, Австралию, Польшу, Бельгию, Украину, Германию, Азербайджан, Саудовскую Аравию, Казахстан, Италию, Латвию и Румынию. Все страны, кроме одной, указанные в геолокационных периметрах для загрузки Headlace, являются членами Совета ООН по правам человека.

Приманки, используемые ITG05, содержат контент, предназначенный для уникальной аудитории, заинтересованной в исследованиях и разработке политики. В них использованы документы Организации Объединенных Наций, Банка Израиля, Исследовательской службы Конгресса США, Европейского парламента, украинского аналитического центра и Межправительственной комиссии Азербайджана и Белоруссии. По наблюдениям X-Force, развертывание Headlace и вторичных полезных нагрузок было направлено именно на эти страны.

Headlace - это многокомпонентная вредоносная программа, включающая дроппер, VBS-запускатор и бэкдор, использующий MSEdge в режиме headless для постоянной загрузки вторичной полезной нагрузки, которая, вероятно, предназначена для утечки учетных данных и конфиденциальной информации. Угрожающий агент использовал коммерческие хостинги, включая API Mocky и Mockbin, а также сервис Infinityfreeapp, для размещения вредоносной полезной нагрузки. X-Force выявила три возможные цепочки выполнения, реализованные ITG05 для запуска вредоносной программы Headlace.

После того как система закрепилась, несколько последующих полезных нагрузок используются для захвата учетных данных NTLM или хэшей SMB учетных записей пользователей и попытки их эксфильтрации через сеть TOR. По оценке X-Force, ITG05 будет продолжать использовать атаки на дипломатические и академические центры, чтобы предоставить противнику расширенное понимание возникающих политических решений, используя публичные CVE и коммерчески доступную инфраструктуру.