#ParsedReport #CompletenessMedium
08-12-2023

DanaBot's Latest Move: Deploying IcedID

https://www.esentire.com/blog/danabots-latest-move-deploying-icedid

Report completeness: Medium

Threats:
Danabot
Icedid
Hvnc_tool
Egregor
Maze
Conti
Idat_loader
Process_doppelganging_technique

Industry:
Financial

Geo:
Apac, Russian, Africa, America, Emea

TTPs:

ChatGPT TTPs:
do not use without manual check
T1547.001, T1497, T1059, T1053, T1059

IOCs:
File: 3
Hash: 7
Command: 7
Path: 9
IP: 3

Algorithms:
md5, crc-32, base64, xor

Win API:
decompress, GetVolumeInformationW, NtDelayExecution, HttpOpenRequestA, InternetOpenW, HttpSendRequestA, CreateToolhelp32Snapshot, Process32First, Process32Next

Languages:
python

Platforms:
x86

Links:
https://github.com/esThreatIntelligence/RussianPanda\_tools/blob/main/IcedID\_IDAPython\_string\_decryption.py
https://github.com/esThreatIntelligence/iocs/blob/main/IcedID/icedid\_decrypted\_strings.txt

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что подразделение eSentire Threat Response Unit (TRU) обнаружила и отреагировала на DanaBot и IcedID - две вредоносные программы, распространяемые с помощью "попутных" загрузок.
-----

Недавно TRU выявила и приняла меры по борьбе с DanaBot, банковским троянцем, известным своей способностью похищать финансовую и личную информацию, и IcedID, разновидностью вредоносного ПО, связанного с атаками вымогателей с 2020 года. Первоначальное заражение обеими вредоносными программами происходило путем загрузки с диска, в которой использовались методы побочной загрузки, позволяющие избежать обнаружения.

После успешного заражения IcedID создавал свою копию в папке AppData и выполнял разведывательные команды на зараженном хосте. Полезная нагрузка использовала алгоритм хэширования CRC-32 для вычисления хэшей используемых API, а чтобы избежать множественных заражений на одной машине, вредонос создавал жестко закодированный мьютекс и вводил бесконечный цикл, если такой мьютекс уже существовал.

В ответ на эти угрозы кибер-аналитики круглосуточного SOC выявили вредоносные сетевые подключения, изолировали пострадавший компьютер и проинформировали об этом клиента.

Этот инцидент наглядно демонстрирует эффективность загрузки вредоносных программ по принципу drive-by, передовые методы, используемые злоумышленниками, чтобы избежать обнаружения, важность мониторинга активности командной строки на конечных устройствах и риск, связанный с непроверенными загрузками. Он также подчеркивает важность наличия опытной команды охотников за угрозами и исследователей, призванных обеспечить безопасность организаций от злоумышленников.

#ParsedReport #CompletenessMedium
08-12-2023

Star Blizzard increases sophistication and evasion in ongoing attacks

https://www.microsoft.com/en-us/security/blog/2023/12/07/star-blizzard-increases-sophistication-and-evasion-in-ongoing-attacks

Report completeness: Medium

Actors/Campaigns:
Seaborgium (motivation: cyber_espionage)

Threats:
Spear-phishing_technique
Evilginx_tool
Lockdown

Victims:
Individuals and organizations involved in international affairs, defense and logistics support to ukraine, as well as academia, information security companies, and other entities aligning with russian state interests

Industry:
Government, Logistic, Telco

Geo:
Russia, Russian, Ukraine

TTPs:
Tactics: 1
Technics: 0

IOCs:
Domain: 249

Soft:
Microsoft Defender, Microsoft Defender for Endpoint, Selenium, PhantomJS, HubSpot, MailerLite, Microsoft OneDrive, Office 365, Microsoft Edge, Microsoft 365 Defender, have more...

Functions:
pluginsEmpty, isAutomationTool, eval

Languages:
javascript

#ParsedReport #ExtractedSchema

Classified images:
code: 3, table: 1, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея этого текста заключается в том, что Microsoft обнаружила пять новых методов уклонения от Star Blizzard, используемых российским агентом, спонсируемым государством, и что этот агент продолжает атаковать лиц и организации, связанные с правительством или дипломатией.
-----

Microsoft выявила пять новых методов обхода, используемых группой Star Blizzard, которые включают использование скриптов на стороне сервера для предотвращения автоматического сканирования инфраструктуры злоумышленников, использование услуг платформы маркетинга электронной почты для сокрытия истинных адресов отправителей электронной почты, использование DNS-провайдера для сокрытия IP-адресов, использование защищенных паролем PDF-приманок и изменение алгоритма генерации доменов (DGA) для зарегистрированных группой доменов на более рандомизированный.

Star Blizzard - это российская спонсируемая государством группа, которая с 2022 года постоянно совершенствует свои возможности по уклонению от обнаружения.

Star Blizzard нацелена на людей и организации, связанные с правительством или дипломатией (как действующие, так и бывшие).

Microsoft Defender для Office предлагает усовершенствованные решения для блокирования и выявления вредоносных писем.

Группа использует два разных сервиса, HubSpot и MailerLite, для создания почтовой кампании с выделенными поддоменами и URL-адресами.

#ParsedReport #CompletenessLow
09-12-2023

Russian-Backed Hackers Target High-Value US, European Entities

https://www.proofpoint.com/us/newsroom/news/russian-backed-hackers-target-high-value-us-european-entities

Report completeness: Low

Actors/Campaigns:
Fancy_bear
Forest_blizzard

Threats:
Beacon

Victims:
Us and european organizations in government, aerospace, technology, manufacturing, higher education, construction, and consulting sectors

Industry:
Aerospace, Iot, Financial, Ics, Education, Government, Military

Geo:
Polish, China, India, Ukraine, America, Russia, Brazil, Africa

CVEs:
CVE-2023-23397 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- microsoft outlook (2016, 2013)
- microsoft office (2019, 2021)
- microsoft 365 apps (-)

CVE-2023-32231 [Vulners]
CVSS V3.1: 9.9,
Vulners: Exploitation: Unknown
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- vasion printerlogic client (<25.0.0.818)

CVE-2023-38831 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- rarlab winrar (<6.23)


Soft:
Microsoft Outlook, Outlook, Mockbin, InfinityFree

Algorithms:
base64, zip

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Военная разведка России запустила фишинговую кампанию, направленную на американские и европейские организации в различных секторах, таких как правительство, аэрокосмическая промышленность и финансы. Кампания использовала уязвимость в Microsoft Outlook и рассылала вредоносные письма с вредоносными ZIP-архивами для кражи NTLM-хэшей и получения доступа к учетным записям электронной почты. Microsoft рекомендовала пользователям установить исправления для Outlook и убедиться, что права доступа к папкам не изменены.
-----

В последние месяцы хакеры, связанные с российской военной разведкой, запустили масштабную фишинговую кампанию, направленную на американские и европейские организации в различных секторах, таких как правительство, аэрокосмическая промышленность и финансы, по всей Северной Америке и Европе. Эта кампания была проведена группой постоянных угроз (advanced persistent threat, APT), известной как Fancy Bear или APT28, а также под другими псевдонимами, такими как TA422, Forest Blizzard, Pawn Storm и BlueDelta.

По данным исследователей из компании Proofpoint, занимающейся вопросами кибербезопасности, с августа по ноябрь Fancy Bear разослал более 10 000 фишинговых писем от одного провайдера электронной почты, используя недостаток в Microsoft Outlook, который отслеживается как CVE-2023-23397. Это позволяет хакеру получить повышенные привилегии. Письма были отправлены представителям оборонной, аэрокосмической, технологической, правительственной и производственной отраслей, а также организациям, работающим в сфере высшего образования, строительства и консалтинга.

В марте Fancy Bear уже была замечена в рассылке небольшого количества фишинговых писем, использующих ту же уязвимость. Таким образом, Proofpoint подозревает, что эти организации являются приоритетными целями, и угрожающий субъект пытался получить доступ с помощью широких кампаний, не требующих больших усилий.

Fancy Bear начала эксплуатировать дефект CVE-2023-23397 в прошлом году и использовала его для получения первоначального доступа к целевым системам. Группа была обнаружена в апреле 2022 года для атак на организации в Украине, а затем распространила свое использование на Европу. Microsoft исправила уязвимость в марте, но хакеры продолжали использовать ее против непропатченных систем.

Помимо использования этого недостатка, Fancy Bear также атаковал американские и европейские организации с помощью писем, подделывающихся под геополитические организации, используя саммит БРИКС (Бразилия, Россия, Индия, Китай и Южная Африка) в ЮАР и заседание Европейского парламента в качестве приманки, чтобы заставить пользователей открыть сообщения. Вредоносные письма содержали вредоносные ZIP-архивы, в которых находились файлы .cmd. Целью этих атак был захват NTLM-хэшей, которые используются для аутентификации личности пользователя.

Microsoft обновила свое мартовское руководство, сообщив, что Fancy Bear продолжает эксплуатировать CVE-2023-23397 для получения доступа к учетным записям электронной почты на серверах Exchange, и призвала пользователей убедиться, что Outlook исправлен. По данным Польского киберкомандования, которое расследовало атаки совместно с Microsoft, разрешения папок были изменены в почтовых ящиках, которые являлись для противника ценными информационными целями.

#technique

PoCs for Kernelmode rootkit techniques research or education. Currently focusing on Windows OS. All modules support 64bit OS only.

https://github.com/daem0nc0re/VectorKernel

#technique

A collection of fully-undetectable process injection techniques abusing Windows Thread Pools. Presented at Black Hat EU 2023 Briefings under the title - The Pool Party You Will Never Forget: New Process Injection Techniques Using Windows Thread Pools

https://github.com/SafeBreach-Labs/PoolParty

#technique

Azure DevOps Services Attack Toolkit - ADOKit is a toolkit that can be used to attack Azure DevOps Services by taking advantage of the available REST API.

https://github.com/xforcered/ADOKit

#ParsedReport #CompletenessLow
11-12-2023

APT-C-56OLECrimsonRAT. 1. Analysis of attack activities

https://mp-weixin-qq-com.translate.goog/s?__biz=MzUyMjk4NzExMA==&mid=2247494347&idx=1&sn=97dbf6f1183201798f8ce08a9f51d313&chksm=f9c1d9c2ceb650d4ceeb271d96e2a3bd26fb8de01beec1bd26baed8e5c9ace5eea4a248e17c6&scene=178&cur_album_id=1955835290309230595&_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=en&_x_tr_pto=wapp#rd

Report completeness: Low

Actors/Campaigns:
Transparenttribe
Sidecopy

Threats:
Crimson_rat
Harpoon

Victims:
India defense, finance, universities and other units

Industry:
Financial, Education

Geo:
India, Indian, Asian

IOCs:
Hash: 22
File: 8
IP: 1

Algorithms:
md5

Win API:
decompress

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: The Transparent Tribe (APT-C-56) - это APT-организация южноазиатского происхождения, которая с начала года атакует Индию и соседние страны, используя методы социальной инженерии, такие как фишинг, для доставки вредоносных документов и разрабатывая собственный троянец CrimsonRAT. Для защиты пользователей от подобных атак компания 360 Juneng запустила облако 360 Security Cloud, а пользователям рекомендуется повысить уровень осведомленности о безопасности.
-----

Transparent Tribe (APT-C-56) - это APT-организация южноазиатского происхождения, которая с начала года атакует Индию и соседние с ней страны. Она использует методы социальной инженерии, такие как фишинг, для доставки вредоносных документов в форматах .doc, .ppam и .xls, содержащих макросы, и разработала собственный троянец CrimsonRAT. Кроме того, было обнаружено, что ее инфраструктура частично совпадает с инфраструктурой организации SideCopy.

Компания 360 Advanced Threat Research Institute обнаружила партию образцов атак, направленных на индийские оборонные, финансовые, университетские и другие подразделения. Когда жертвы открывают эти документы-приманки, вредоносные файлы выпускают вредоносную полезную нагрузку из своих встроенных объектов OLE (Object Linking and Embedding). Этой полезной нагрузкой является программа дистанционного управления CrimsonRAT, разработанная исключительно для организации Transparent Tribe. По сравнению с предыдущими атаками, теперь организация предпочитает выпускать вредоносную полезную нагрузку через объекты OLE, а не встраивать данные вредоносной нагрузки непосредственно в макрокоды.

Процесс атаки выглядит следующим образом: когда пользователь открывает документ-приманку, вредоносные файлы распаковывают встроенный объект OLE, получают троянскую программу удаленного управления CrimsonRAT и запускают ее на выполнение, тем самым запуская операцию похищения секрета. Следует отметить, что вредоносная программа сначала определяет имя текущего компьютера и использует алгоритм HASH для вычисления и проверки управляющих инструкций.

Чтобы защитить пользователей от подобных атак, компания 360 Juneng запустила облако 360 Security Cloud для обеспечения цифровой безопасности тысяч отраслей. Кроме того, пользователям настоятельно рекомендуется повысить уровень своей осведомленности о безопасности и никогда не выполнять неизвестные образцы и не переходить по ссылкам из неизвестных источников.

#ParsedReport #CompletenessMedium
11-12-2023

Mustang Pandas PlugX new variant targetting Taiwanese government and diplomats. Mustang Panda s PlugX new variant targetting Taiwanese government and diplomats

https://lab52.io/blog/mustang-pandas-plugx-new-variant-targetting-taiwanese-government-and-diplomats

Report completeness: Medium

Actors/Campaigns:
Red_delta (motivation: cyber_espionage)
Smugx (motivation: cyber_espionage)

Threats:
Plugx_rat
Dll_sideloading_technique

Industry:
Government, Semiconductor_industry

Geo:
Taiwanese, Chinese, China, Japan, Taiwan

IOCs:
File: 8
Path: 5
Domain: 2
Hash: 5

Algorithms:
rc4

Win API:
MsiProvideQualifiedComponentW, CreateFileW, EnumSystemGeoID

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 2, code: 2, dump: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Команда Lab52 выявила киберкампанию с использованием нового варианта вредоносного ПО PlugX, имеющего сходство с кампанией SmugX. Цепочка заражения включает в себя развертывание MSI-файла, содержащего легитимный исполняемый файл, вредоносную DLL, написанную на языке программирования Nim, и DAT-файл. DLL содержит две вредоносные функции, а шеллкод расшифровывает конфигурацию с помощью алгоритма RC4. Злоумышленники использовали приманку, связанную с президентскими выборами в Тайване в 2024 году. После выполнения вредоносная программа копирует содержимое в участок памяти и использует алгоритм RC4 для расшифровки DLL, содержащейся в файле NoteLogger.dat.
-----

Команда Lab52 недавно обнаружила кибер-кампанию с использованием нового варианта вредоносного ПО PlugX. Эта кампания имеет много общего с кампанией SmugX, приписываемой угрозам Red Delta и Mustang Panda, которые предположительно связаны с китайским правительством. В частности, цепочка заражения включает развертывание MSI-файла, содержащего легитимный исполняемый файл (OneNotem.exe), вредоносную DLL (msi.dll) и DAT-файл (NoteLogger.dat).

Вредоносная DLL написана на языке программирования Nim и использует собственную реализацию алгоритма RC4 для расшифровки PlugX, в отличие от своих предшественников, которые использовали Windows Cryptsp.dll. После выполнения файла он сначала обращается к www.google.com для проверки наличия интернет-соединения, а затем связывается с C2-доменами ivibers.com и meetvibersapi.com. Он также создает мьютекс, чтобы предотвратить выполнение второго экземпляра.

DLL содержит шеллкод, вызывающий единственную экспортируемую функцию. Этот шеллкод расшифровывает конфигурацию с помощью алгоритма RC4, расположенного в секции .data, как и другие образцы из кампании SmugX. Злоумышленники использовали приманку, связанную с предстоящими в январе 2024 года президентскими выборами в Тайване, на которых Терри Гоу и Лай Пейшиа объявили о выдвижении своих независимых кандидатур.

DLL содержит две вредоносные функции: функцию NimMain и функцию MsiProvideQualifiedComponentW. В результате загружаются функции, необходимые для выполнения вредоносной программы, которая затем копирует содержимое в участок памяти и использует алгоритм RC4 и ключ EtFOWV4hDJf6DA6W для расшифровки DLL, содержащейся в файле NoteLogger.dat. Эта DLL является разновидностью вредоносной программы PlugX.

#ParsedReport #CompletenessLow
11-12-2023

New Editbot Stealer Spreads Via Social Media Messages

https://cyble.com/blog/new-editbot-stealer-spreads-via-social-media-messages

Report completeness: Low

Threats:
Editbot

Victims:
Social media users

TTPs:
Tactics: 7
Technics: 7

IOCs:
File: 8
Url: 1
Path: 4
Hash: 5

Soft:
Telegram, Chrome, Opera, Brave-Browser, CocCoc, Chromium, Mozilla Firefox, ChatGPT

Algorithms:
sha1, sha256, zip, md5

Languages:
powershell, python