#ParsedReport #CompletenessMedium
07-12-2023

MrAnon Stealer Spreads via Email with Fake Hotel Booking PDF

https://www.fortinet.com/blog/threat-research/mranon-stealer-spreads-via-email-with-fake-hotel-booking-pdf

Report completeness: Medium

Threats:
Mranon
Hydra

Industry:
Entertainment

Geo:
Germany

ChatGPT TTPs:
do not use without manual check
T1566.001, T1170.001, T1117.001, T1059.005, T1036.003, T1036.005, T1036.006, T1106.001, T1543.003, T1003.001, have more...

IOCs:
File: 25
Path: 1
Domain: 2
Url: 3
Hash: 8

Soft:
chrome, Discord, DiscordCanary, KeePassXC, seamonkey, Telegram, opera, waterfox, 7Star, Chrome Canary, have more...

Wallets:
atomicwallet, coinomi, guarda_wallet

Crypto:
bitcoin

Algorithms:
zip

Functions:
Exec

Win API:
WinMain

Languages:
powershell, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Компания FortiGuard Labs обнаружила фишинговую кампанию, использующую обманчивую информацию о бронировании, чтобы заставить жертву нажать на вредоносный PDF-файл. Вредоносный PDF-файл содержит ссылку-загрузчик, которая загружает исполняемый файл .NET, запускающий сценарий PowerShell для получения конечного вредоносного ПО - MrAnon Stealer. Эта вредоносная полезная нагрузка похищает учетные данные, системную информацию, сессии браузера и криптовалютные расширения и загружает украденные данные на общедоступный файлообменный веб-сайт. Пользователям следует обращать внимание на фишинговые письма и неясные PDF-файлы и проверять свою систему с помощью надежного антивирусного ПО, если они подозревают, что их система была взломана.
-----

Недавно лаборатория FortiGuard Labs обнаружила фишинговую кампанию, в которой использовалась обманчивая информация о бронировании, чтобы заставить жертву нажать на вредоносный PDF-файл. Эта атака была нацелена в основном на Германию, где количество запросов по вредоносному URL значительно возросло в ноябре 2023 года. Вредоносный PDF-файл содержит скрытую в потоковом объекте ссылку-загрузчик, которая загружает исполняемый файл .NET, созданный с помощью PowerGUI. Этот исполняемый файл запускает сценарий PowerShell для получения конечного вредоносного ПО - MrAnon Stealer.

MrAnon Stealer - это похититель информации на базе Python, сжатый с помощью cx-Freeze, чтобы избежать обнаружения. Вредоносная полезная нагрузка похищает учетные данные, системную информацию, сессии браузера и криптовалютные расширения. Затем он сжимает и загружает украденные данные на общедоступный файлообменный сайт и Telegram-канал угрожающего агента.

Злоумышленник маскируется под компанию, занимающуюся бронированием гостиничных номеров, и рассылает фишинговые письма с темой December Room Availability Query. В теле письма содержатся фиктивные данные о бронировании номеров в отелях на праздничный сезон. Исполняемый файл .NET использует ScriptRunner.dll для извлечения Scripts.zip, чтобы получить сценарий PowerShell. Извлеченный файл помещается во временную папку и выполняется с помощью PowerShell.exe. Чтобы ввести пользователей в заблуждение и заставить их поверить, что вредоносная программа не была успешно выполнена, отображается окно с именем File Not Supported и сообщением о статусе Not Run: python.exe.

Вредоносная полезная нагрузка загружает и извлекает файлы из определенного домена для запуска вредоносного скрипта Python. Он извлекает чистые DLL-файлы и вредоносное ПО с именем python.exe, которое прикрывает загрузку вредоносной полезной нагрузки. Сценарий ищет определенные расширения файлов на Рабочем столе, в Документах, Загрузках, Изображениях и захватывает их.

Пользователям следует остерегаться фишинговых писем и неясных PDF-файлов. Важно знать о вредоносных кампаниях, чтобы не стать их жертвой. Если вы подозреваете, что ваша система подверглась взлому, рекомендуется проверить ее с помощью надежного антивирусного программного обеспечения.

#ParsedReport #CompletenessLow
08-12-2023

40 New Domains of Magecart Veteran ATMZOW Found in Google Tag Manager

https://blog.sucuri.net/2023/12/40-new-domains-of-magecart-veteran-atmzow-found-in-google-tag-manager.html

Report completeness: Low

Actors/Campaigns:
Magecart

Threats:
Atmzow

Victims:
Magento sites

Industry:
E-commerce

ChatGPT TTPs:
do not use without manual check
T1140, T1218

IOCs:
Domain: 45
IP: 4

Soft:
WordPress

Algorithms:
base64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Вредоносный код внедряется на сайты через Google Tag Manager, причем наиболее распространенный идентификатор контейнера - GTM-WJ6S9J6. Решения по безопасности теперь обучены обнаруживать фиктивные версии популярных аналитических сервисов, а те же банды, которые 8 лет назад стали пионерами в скимминге кредитных карт, по-прежнему активны и совершенствуют свою тактику. Если вы подозреваете, что ваш сайт заражен, ознакомьтесь с нашим руководством по очистке Magento и обратитесь за помощью к нашим высококвалифицированным аналитикам.
-----

Диспетчер тегов Google - это популярный инструмент, используемый многими веб-сайтами для управления тегами и отслеживания их эффективности. К сожалению, в последнее время он используется для установки на сайты вредоносного кода, например, скиммеров кредитных карт. За последние 11 месяцев 2023 года наш сканер удаленных сайтов SiteCheck обнаружил известные вредоносные контейнеры GTM на 327 сайтах, с наиболее распространенным идентификатором контейнера - GTM-WJ6S9J6. В октябре 2023 года этот контейнер содержал вредоносный скрипт с сайта gtm-statistlc.com, который был создан 11 июля 2023 года.

В ноябре 2023 года был обнаружен еще один контейнер, GTM-TVKQ79ZS, с новой вариацией скиммера в переменной vtp_html. Этот код был более сложным и использовал кодировку base64 для скрытия доменного имени и URL страницы, которые интересовали злоумышленников. Он также использовал знакомый стиль обфускации ATMZOW, который был связан с инфекцией Guruincsite 2015 года, поразившей тысячи сайтов Magento в начале эры Magecart.

Чтобы избежать обнаружения, вредоносный код случайным образом выбирает два из 40 недавно зарегистрированных доменов, используемых для внедрения еще одного уровня скиммера. Эти домены были зарегистрированы через Hostinger тремя партиями в ноябре 2023 года. В них используются ключевые слова, связанные с искусством, чтобы придать им более доброкачественный вид, поскольку многие решения по безопасности уже обучены определять фиктивные версии популярных аналитических сервисов.

После того как Google удалил контейнер GTM-TVKQ79ZS, злоумышленники создали новые контейнеры GTM-NTV2JTB4 и GTM-MX7L8F2M с тем же вредоносным скриптом. Интересно, что на одном из сайтов скиммер Google Tag Manager был обнаружен рядом с скиммером WebSocket lgstd . io. Это указывает на то, что те же банды, которые 8 лет назад стали пионерами скимминга кредитных карт, по-прежнему активны и совершенствуют свою тактику.

Если вы подозреваете, что ваш сайт заражен скиммером ATMZOW, ознакомьтесь с нашим руководством по очистке Magento. Обязательно проверьте все шаблоны, хранящиеся в core_config_data, так как это обычное место для клиентских скриптов скиммера. Если вы считаете, что на вашем сайте есть вредоносное ПО, наши высококвалифицированные аналитики готовы помочь вам 24 часа в сутки 7 дней в неделю.

#ParsedReport #CompletenessMedium
08-12-2023

Citrix Bleed Vulnerability: A Gateway to LockBit Ransomware

https://www.esentire.com/blog/citrix-bleed-vulnerability-a-gateway-to-lockbit-ransomware

Report completeness: Medium

Threats:
Citrix_bleed_vuln
Lockbit
Brc4_tool
Kerberoasting_technique
Screenconnect_tool
Netscan_tool
Dll_injection_technique

Victims:
Esentire

Geo:
Africa, America, Emea, Apac, Russian

CVEs:
CVE-2023-4966 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: 9.4
X-Force: Patch: Official fix
Soft:
- citrix netscaler application delivery controller (<12.1-55.300, <13.0-92.19, <13.1-37.164, <13.1-49.15, <14.1-8.50)
- citrix netscaler gateway (<13.0-92.19, <13.1-49.15, <14.1-8.50)


IOCs:
Domain: 2
File: 7
IP: 2
Url: 2
Hash: 14

Soft:
chrome

Algorithms:
zip, sha256, md5

Win Services:
bits

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #CompletenessMedium
08-12-2023

DanaBot's Latest Move: Deploying IcedID

https://www.esentire.com/blog/danabots-latest-move-deploying-icedid

Report completeness: Medium

Threats:
Danabot
Icedid
Hvnc_tool
Egregor
Maze
Conti
Idat_loader
Process_doppelganging_technique

Industry:
Financial

Geo:
Apac, Russian, Africa, America, Emea

TTPs:

ChatGPT TTPs:
do not use without manual check
T1547.001, T1497, T1059, T1053, T1059

IOCs:
File: 3
Hash: 7
Command: 7
Path: 9
IP: 3

Algorithms:
md5, crc-32, base64, xor

Win API:
decompress, GetVolumeInformationW, NtDelayExecution, HttpOpenRequestA, InternetOpenW, HttpSendRequestA, CreateToolhelp32Snapshot, Process32First, Process32Next

Languages:
python

Platforms:
x86

Links:
https://github.com/esThreatIntelligence/RussianPanda\_tools/blob/main/IcedID\_IDAPython\_string\_decryption.py
https://github.com/esThreatIntelligence/iocs/blob/main/IcedID/icedid\_decrypted\_strings.txt

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что подразделение eSentire Threat Response Unit (TRU) обнаружила и отреагировала на DanaBot и IcedID - две вредоносные программы, распространяемые с помощью "попутных" загрузок.
-----

Недавно TRU выявила и приняла меры по борьбе с DanaBot, банковским троянцем, известным своей способностью похищать финансовую и личную информацию, и IcedID, разновидностью вредоносного ПО, связанного с атаками вымогателей с 2020 года. Первоначальное заражение обеими вредоносными программами происходило путем загрузки с диска, в которой использовались методы побочной загрузки, позволяющие избежать обнаружения.

После успешного заражения IcedID создавал свою копию в папке AppData и выполнял разведывательные команды на зараженном хосте. Полезная нагрузка использовала алгоритм хэширования CRC-32 для вычисления хэшей используемых API, а чтобы избежать множественных заражений на одной машине, вредонос создавал жестко закодированный мьютекс и вводил бесконечный цикл, если такой мьютекс уже существовал.

В ответ на эти угрозы кибер-аналитики круглосуточного SOC выявили вредоносные сетевые подключения, изолировали пострадавший компьютер и проинформировали об этом клиента.

Этот инцидент наглядно демонстрирует эффективность загрузки вредоносных программ по принципу drive-by, передовые методы, используемые злоумышленниками, чтобы избежать обнаружения, важность мониторинга активности командной строки на конечных устройствах и риск, связанный с непроверенными загрузками. Он также подчеркивает важность наличия опытной команды охотников за угрозами и исследователей, призванных обеспечить безопасность организаций от злоумышленников.

#ParsedReport #CompletenessMedium
08-12-2023

Star Blizzard increases sophistication and evasion in ongoing attacks

https://www.microsoft.com/en-us/security/blog/2023/12/07/star-blizzard-increases-sophistication-and-evasion-in-ongoing-attacks

Report completeness: Medium

Actors/Campaigns:
Seaborgium (motivation: cyber_espionage)

Threats:
Spear-phishing_technique
Evilginx_tool
Lockdown

Victims:
Individuals and organizations involved in international affairs, defense and logistics support to ukraine, as well as academia, information security companies, and other entities aligning with russian state interests

Industry:
Government, Logistic, Telco

Geo:
Russia, Russian, Ukraine

TTPs:
Tactics: 1
Technics: 0

IOCs:
Domain: 249

Soft:
Microsoft Defender, Microsoft Defender for Endpoint, Selenium, PhantomJS, HubSpot, MailerLite, Microsoft OneDrive, Office 365, Microsoft Edge, Microsoft 365 Defender, have more...

Functions:
pluginsEmpty, isAutomationTool, eval

Languages:
javascript

#ParsedReport #ExtractedSchema

Classified images:
code: 3, table: 1, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея этого текста заключается в том, что Microsoft обнаружила пять новых методов уклонения от Star Blizzard, используемых российским агентом, спонсируемым государством, и что этот агент продолжает атаковать лиц и организации, связанные с правительством или дипломатией.
-----

Microsoft выявила пять новых методов обхода, используемых группой Star Blizzard, которые включают использование скриптов на стороне сервера для предотвращения автоматического сканирования инфраструктуры злоумышленников, использование услуг платформы маркетинга электронной почты для сокрытия истинных адресов отправителей электронной почты, использование DNS-провайдера для сокрытия IP-адресов, использование защищенных паролем PDF-приманок и изменение алгоритма генерации доменов (DGA) для зарегистрированных группой доменов на более рандомизированный.

Star Blizzard - это российская спонсируемая государством группа, которая с 2022 года постоянно совершенствует свои возможности по уклонению от обнаружения.

Star Blizzard нацелена на людей и организации, связанные с правительством или дипломатией (как действующие, так и бывшие).

Microsoft Defender для Office предлагает усовершенствованные решения для блокирования и выявления вредоносных писем.

Группа использует два разных сервиса, HubSpot и MailerLite, для создания почтовой кампании с выделенными поддоменами и URL-адресами.

#ParsedReport #CompletenessLow
09-12-2023

Russian-Backed Hackers Target High-Value US, European Entities

https://www.proofpoint.com/us/newsroom/news/russian-backed-hackers-target-high-value-us-european-entities

Report completeness: Low

Actors/Campaigns:
Fancy_bear
Forest_blizzard

Threats:
Beacon

Victims:
Us and european organizations in government, aerospace, technology, manufacturing, higher education, construction, and consulting sectors

Industry:
Aerospace, Iot, Financial, Ics, Education, Government, Military

Geo:
Polish, China, India, Ukraine, America, Russia, Brazil, Africa

CVEs:
CVE-2023-23397 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- microsoft outlook (2016, 2013)
- microsoft office (2019, 2021)
- microsoft 365 apps (-)

CVE-2023-32231 [Vulners]
CVSS V3.1: 9.9,
Vulners: Exploitation: Unknown
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- vasion printerlogic client (<25.0.0.818)

CVE-2023-38831 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- rarlab winrar (<6.23)


Soft:
Microsoft Outlook, Outlook, Mockbin, InfinityFree

Algorithms:
base64, zip

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Военная разведка России запустила фишинговую кампанию, направленную на американские и европейские организации в различных секторах, таких как правительство, аэрокосмическая промышленность и финансы. Кампания использовала уязвимость в Microsoft Outlook и рассылала вредоносные письма с вредоносными ZIP-архивами для кражи NTLM-хэшей и получения доступа к учетным записям электронной почты. Microsoft рекомендовала пользователям установить исправления для Outlook и убедиться, что права доступа к папкам не изменены.
-----

В последние месяцы хакеры, связанные с российской военной разведкой, запустили масштабную фишинговую кампанию, направленную на американские и европейские организации в различных секторах, таких как правительство, аэрокосмическая промышленность и финансы, по всей Северной Америке и Европе. Эта кампания была проведена группой постоянных угроз (advanced persistent threat, APT), известной как Fancy Bear или APT28, а также под другими псевдонимами, такими как TA422, Forest Blizzard, Pawn Storm и BlueDelta.

По данным исследователей из компании Proofpoint, занимающейся вопросами кибербезопасности, с августа по ноябрь Fancy Bear разослал более 10 000 фишинговых писем от одного провайдера электронной почты, используя недостаток в Microsoft Outlook, который отслеживается как CVE-2023-23397. Это позволяет хакеру получить повышенные привилегии. Письма были отправлены представителям оборонной, аэрокосмической, технологической, правительственной и производственной отраслей, а также организациям, работающим в сфере высшего образования, строительства и консалтинга.

В марте Fancy Bear уже была замечена в рассылке небольшого количества фишинговых писем, использующих ту же уязвимость. Таким образом, Proofpoint подозревает, что эти организации являются приоритетными целями, и угрожающий субъект пытался получить доступ с помощью широких кампаний, не требующих больших усилий.

Fancy Bear начала эксплуатировать дефект CVE-2023-23397 в прошлом году и использовала его для получения первоначального доступа к целевым системам. Группа была обнаружена в апреле 2022 года для атак на организации в Украине, а затем распространила свое использование на Европу. Microsoft исправила уязвимость в марте, но хакеры продолжали использовать ее против непропатченных систем.

Помимо использования этого недостатка, Fancy Bear также атаковал американские и европейские организации с помощью писем, подделывающихся под геополитические организации, используя саммит БРИКС (Бразилия, Россия, Индия, Китай и Южная Африка) в ЮАР и заседание Европейского парламента в качестве приманки, чтобы заставить пользователей открыть сообщения. Вредоносные письма содержали вредоносные ZIP-архивы, в которых находились файлы .cmd. Целью этих атак был захват NTLM-хэшей, которые используются для аутентификации личности пользователя.

Microsoft обновила свое мартовское руководство, сообщив, что Fancy Bear продолжает эксплуатировать CVE-2023-23397 для получения доступа к учетным записям электронной почты на серверах Exchange, и призвала пользователей убедиться, что Outlook исправлен. По данным Польского киберкомандования, которое расследовало атаки совместно с Microsoft, разрешения папок были изменены в почтовых ящиках, которые являлись для противника ценными информационными целями.

#technique

PoCs for Kernelmode rootkit techniques research or education. Currently focusing on Windows OS. All modules support 64bit OS only.

https://github.com/daem0nc0re/VectorKernel

#technique

A collection of fully-undetectable process injection techniques abusing Windows Thread Pools. Presented at Black Hat EU 2023 Briefings under the title - The Pool Party You Will Never Forget: New Process Injection Techniques Using Windows Thread Pools

https://github.com/SafeBreach-Labs/PoolParty

#technique

Azure DevOps Services Attack Toolkit - ADOKit is a toolkit that can be used to attack Azure DevOps Services by taking advantage of the available REST API.

https://github.com/xforcered/ADOKit