#technique

PoCs for Kernelmode rootkit techniques research or education. Currently focusing on Windows OS. All modules support 64bit OS only.

https://github.com/daem0nc0re/VectorKernel

#technique

A collection of fully-undetectable process injection techniques abusing Windows Thread Pools. Presented at Black Hat EU 2023 Briefings under the title - The Pool Party You Will Never Forget: New Process Injection Techniques Using Windows Thread Pools

https://github.com/SafeBreach-Labs/PoolParty

#technique

Azure DevOps Services Attack Toolkit - ADOKit is a toolkit that can be used to attack Azure DevOps Services by taking advantage of the available REST API.

https://github.com/xforcered/ADOKit

#ParsedReport #CompletenessLow
11-12-2023

APT-C-56OLECrimsonRAT. 1. Analysis of attack activities

https://mp-weixin-qq-com.translate.goog/s?__biz=MzUyMjk4NzExMA==&mid=2247494347&idx=1&sn=97dbf6f1183201798f8ce08a9f51d313&chksm=f9c1d9c2ceb650d4ceeb271d96e2a3bd26fb8de01beec1bd26baed8e5c9ace5eea4a248e17c6&scene=178&cur_album_id=1955835290309230595&_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=en&_x_tr_pto=wapp#rd

Report completeness: Low

Actors/Campaigns:
Transparenttribe
Sidecopy

Threats:
Crimson_rat
Harpoon

Victims:
India defense, finance, universities and other units

Industry:
Financial, Education

Geo:
India, Indian, Asian

IOCs:
Hash: 22
File: 8
IP: 1

Algorithms:
md5

Win API:
decompress

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: The Transparent Tribe (APT-C-56) - это APT-организация южноазиатского происхождения, которая с начала года атакует Индию и соседние страны, используя методы социальной инженерии, такие как фишинг, для доставки вредоносных документов и разрабатывая собственный троянец CrimsonRAT. Для защиты пользователей от подобных атак компания 360 Juneng запустила облако 360 Security Cloud, а пользователям рекомендуется повысить уровень осведомленности о безопасности.
-----

Transparent Tribe (APT-C-56) - это APT-организация южноазиатского происхождения, которая с начала года атакует Индию и соседние с ней страны. Она использует методы социальной инженерии, такие как фишинг, для доставки вредоносных документов в форматах .doc, .ppam и .xls, содержащих макросы, и разработала собственный троянец CrimsonRAT. Кроме того, было обнаружено, что ее инфраструктура частично совпадает с инфраструктурой организации SideCopy.

Компания 360 Advanced Threat Research Institute обнаружила партию образцов атак, направленных на индийские оборонные, финансовые, университетские и другие подразделения. Когда жертвы открывают эти документы-приманки, вредоносные файлы выпускают вредоносную полезную нагрузку из своих встроенных объектов OLE (Object Linking and Embedding). Этой полезной нагрузкой является программа дистанционного управления CrimsonRAT, разработанная исключительно для организации Transparent Tribe. По сравнению с предыдущими атаками, теперь организация предпочитает выпускать вредоносную полезную нагрузку через объекты OLE, а не встраивать данные вредоносной нагрузки непосредственно в макрокоды.

Процесс атаки выглядит следующим образом: когда пользователь открывает документ-приманку, вредоносные файлы распаковывают встроенный объект OLE, получают троянскую программу удаленного управления CrimsonRAT и запускают ее на выполнение, тем самым запуская операцию похищения секрета. Следует отметить, что вредоносная программа сначала определяет имя текущего компьютера и использует алгоритм HASH для вычисления и проверки управляющих инструкций.

Чтобы защитить пользователей от подобных атак, компания 360 Juneng запустила облако 360 Security Cloud для обеспечения цифровой безопасности тысяч отраслей. Кроме того, пользователям настоятельно рекомендуется повысить уровень своей осведомленности о безопасности и никогда не выполнять неизвестные образцы и не переходить по ссылкам из неизвестных источников.

#ParsedReport #CompletenessMedium
11-12-2023

Mustang Pandas PlugX new variant targetting Taiwanese government and diplomats. Mustang Panda s PlugX new variant targetting Taiwanese government and diplomats

https://lab52.io/blog/mustang-pandas-plugx-new-variant-targetting-taiwanese-government-and-diplomats

Report completeness: Medium

Actors/Campaigns:
Red_delta (motivation: cyber_espionage)
Smugx (motivation: cyber_espionage)

Threats:
Plugx_rat
Dll_sideloading_technique

Industry:
Government, Semiconductor_industry

Geo:
Taiwanese, Chinese, China, Japan, Taiwan

IOCs:
File: 8
Path: 5
Domain: 2
Hash: 5

Algorithms:
rc4

Win API:
MsiProvideQualifiedComponentW, CreateFileW, EnumSystemGeoID

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 2, code: 2, dump: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Команда Lab52 выявила киберкампанию с использованием нового варианта вредоносного ПО PlugX, имеющего сходство с кампанией SmugX. Цепочка заражения включает в себя развертывание MSI-файла, содержащего легитимный исполняемый файл, вредоносную DLL, написанную на языке программирования Nim, и DAT-файл. DLL содержит две вредоносные функции, а шеллкод расшифровывает конфигурацию с помощью алгоритма RC4. Злоумышленники использовали приманку, связанную с президентскими выборами в Тайване в 2024 году. После выполнения вредоносная программа копирует содержимое в участок памяти и использует алгоритм RC4 для расшифровки DLL, содержащейся в файле NoteLogger.dat.
-----

Команда Lab52 недавно обнаружила кибер-кампанию с использованием нового варианта вредоносного ПО PlugX. Эта кампания имеет много общего с кампанией SmugX, приписываемой угрозам Red Delta и Mustang Panda, которые предположительно связаны с китайским правительством. В частности, цепочка заражения включает развертывание MSI-файла, содержащего легитимный исполняемый файл (OneNotem.exe), вредоносную DLL (msi.dll) и DAT-файл (NoteLogger.dat).

Вредоносная DLL написана на языке программирования Nim и использует собственную реализацию алгоритма RC4 для расшифровки PlugX, в отличие от своих предшественников, которые использовали Windows Cryptsp.dll. После выполнения файла он сначала обращается к www.google.com для проверки наличия интернет-соединения, а затем связывается с C2-доменами ivibers.com и meetvibersapi.com. Он также создает мьютекс, чтобы предотвратить выполнение второго экземпляра.

DLL содержит шеллкод, вызывающий единственную экспортируемую функцию. Этот шеллкод расшифровывает конфигурацию с помощью алгоритма RC4, расположенного в секции .data, как и другие образцы из кампании SmugX. Злоумышленники использовали приманку, связанную с предстоящими в январе 2024 года президентскими выборами в Тайване, на которых Терри Гоу и Лай Пейшиа объявили о выдвижении своих независимых кандидатур.

DLL содержит две вредоносные функции: функцию NimMain и функцию MsiProvideQualifiedComponentW. В результате загружаются функции, необходимые для выполнения вредоносной программы, которая затем копирует содержимое в участок памяти и использует алгоритм RC4 и ключ EtFOWV4hDJf6DA6W для расшифровки DLL, содержащейся в файле NoteLogger.dat. Эта DLL является разновидностью вредоносной программы PlugX.

#ParsedReport #CompletenessLow
11-12-2023

New Editbot Stealer Spreads Via Social Media Messages

https://cyble.com/blog/new-editbot-stealer-spreads-via-social-media-messages

Report completeness: Low

Threats:
Editbot

Victims:
Social media users

TTPs:
Tactics: 7
Technics: 7

IOCs:
File: 8
Url: 1
Path: 4
Hash: 5

Soft:
Telegram, Chrome, Opera, Brave-Browser, CocCoc, Chromium, Mozilla Firefox, ChatGPT

Algorithms:
sha1, sha256, zip, md5

Languages:
powershell, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Недавно CRIL обнаружил вредоносный RAR-файл, который является частью многоступенчатой атакующей кампании, направленной на пользователей социальных сетей и предназначенной для хищения конфиденциальной информации. Появление нового editbot Stealer вызывает серьезные опасения в текущем ландшафте угроз кибербезопасности и предполагает возможную причастность брокеров первоначального доступа.
-----

Компания Cyble Research and Intelligence Labs (CRIL) недавно обнаружила архивный файл WinRAR с минимальным количеством обнаружений на VirusTotal. Анализ показал, что он является частью многоступенчатой атакующей кампании, нацеленной на пользователей социальных сетей и предназначенной для похищения информации о процессах и данных, хранящихся в браузере, таких как пароли, куки, веб-данные и другие. Вредоносный RAR-файл содержит пакетный файл и JSON-файл, которые при выполнении используют команды PowerShell для загрузки полезных нагрузок следующего этапа с платформ обмена кодом с открытым исходным кодом, таких как Gitlab. Последняя полезная нагрузка - специфический для Windows Python-кража под названием "editbot", которая используется для сбора конфиденциальной информации, такой как пароли, cookies, веб-данные и активные системные процессы. Эта украденная информация затем передается TA через бота Telegram.

Python-скрипт "libb1.py", находящийся в распакованном каталоге C:\Users\Public\Document\, предназначен для выполнения команды tasklist для перечисления всех запущенных процессов на целевой системе. Результаты перехватываются и сохраняются в файле, расположенном в папке %temp%. Этот похититель также нацелен на извлечение конфиденциальной информации из таких веб-браузеров, как Chrome, Firefox, Edge, Opera, Brave-Browser, CocCoc и Chromium. Он извлекает такие файлы, как Cookies, Login Data, Web Data и Local State из соответствующих папок профиля браузера и расшифровывает пароли. Затем эти данные сохраняются в текстовом файле pass.txt, расположенном в каталоге, созданном крадущей программой в папке %temp%. Кроме того, похититель извлекает информацию о cookie из файла базы данных SQLite под названием Cookies. Собрав всю информацию, крадун создает ZIP-архив, содержащий TXT-файлы с похищенными данными, и сохраняет его в каталоге %temp%. Используя жестко закодированный токен бота, крадун применяет API sendDocument для отправки ZIP-файла с системы жертвы на TAs.

В июле исследователи Check Point обнаружили мошенничество, нацеленное на пользователей социальных сетей, в котором использовалась поддельная реклама ChatGPT, Google Bard и других сервисов искусственного интеллекта, обманом заставлявшая пользователей загружать вредоносное ПО. Этот инцидент стал еще одним примером, подчеркивающим постоянный характер угроз на платформах социальных сетей. Появление нового editbot Stealer, специально нацеленного на конфиденциальную информацию, связанную с платформами социальных сетей, вызывает серьезные опасения в современном ландшафте угроз кибербезопасности. Это говорит о потенциальной причастности брокеров первоначального доступа, групп или отдельных лиц, специализирующихся на приобретении и продаже доступа или учетных данных к взломанным системам.

#ParsedReport #CompletenessLow
11-12-2023

Introduction. Background

https://www.curatedintel.org/2023/12/curated-intel-threat-report-multi.html

Report completeness: Low

Threats:
Domain_fronting_technique

Industry:
Financial, E-commerce

Geo:
Hungary, Russia, Romanian, Russian, Polish

IOCs:
Domain: 5
File: 4

Algorithms:
ecc, exhibit

Languages:
javascript

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Глобальная кампания по сбору данных о кредитных картах нацелена на пользователей различных почтовых сервисов и сервисов электронной коммерции, использующих функцию чата в этих сервисах для рассылки фишинговых сообщений. Исследователи Perception Point обнаружили, что отели стали жертвами вредоносного ПО InfoStealer, которое доставлялось через фишинговые URL-адреса в электронных письмах, замаскированных под сообщения от клиентов отелей. Рекомендуется использовать онлайн-инструменты для проверки подозрительных URL-адресов или файлов, чтобы защитить себя от попыток фишинга.
-----

Компании Tas (@tas_kmanager) и Curated Intelligence недавно обнаружили глобальную кампанию по сбору данных с кредитных карт, нацеленную на пользователей различных почтовых сервисов и сервисов электронной коммерции. Для рассылки фишинговых сообщений используется функция чата этих сервисов. Сообщения приходят от официальных аккаунтов сайтов продавцов и содержат угрожающие выражения, а также детали бронирования отеля для пользователя. Сообщения также содержат вредоносную ссылку, которая ведет на поддельную страницу, копирующую законный сайт.

Чтобы понять, как злоумышленники смогли получить доступ к функциям чата, исследователи Perception Point провели расследование и выяснили, что отели стали жертвами вредоносной программы InfoStealer, доставленной через фишинговые URL-адреса в электронных письмах, замаскированных под сообщения от клиентов отеля. В результате злоумышленники смогли получить доступ к информации о клиентах, такой как полные имена, даты бронирования, информация об отеле и детали частичной оплаты.

Компания Tas использовала urlscan.io для изучения различных аспектов фишингового инструмента. Самый ранний задокументированный случай относится к октябрю 2021 года, когда угрожающий агент выдавал себя за румынский сайт электронной коммерции OLX. Для предотвращения обнаружения по IP-адресам они также используют доменное прикрытие, используя таких провайдеров, как DDOS-Guard в России.

Фишинговая страница содержит код JavaScript, который очень похож на код, используемый на легитимном сайте. Кроме того, злоумышленники используют многофакторную аутентификацию, лимиты на транзакции, минимальные суммы денег на счетах, аутентификацию 3D-Secure, блокировку геолокации и другие банки. Файлы JavaScript хранятся в необычных путях, а комментарии в начале кода имеют кириллическую кодировку.

Важно помнить, что легальные компании никогда не будут запрашивать конфиденциальную информацию по электронной почте или в сообщениях. Чтобы защитить себя от попыток фишинга, рекомендуется использовать такие онлайн-инструменты, как urlscan.io или VirusTotal, для проверки подозрительных URL-адресов или файлов. Кроме того, опасайтесь электронных писем, сообщений в чате, текстовых сообщений или всплывающей рекламы, в которых запрашивается личная или финансовая информация.

#ParsedReport #CompletenessLow
11-12-2023

The csharp-streamer RAT

https://cyber.wtf/2023/12/06/the-csharp-streamer-rat

Report completeness: Low

Threats:
Streamerrat
Amsi_bypass_technique
Dll_injection_technique
Powerkatz_stealer
Eternalblue_vuln
Sharpsploit
Cobalt_strike
Dcsync_technique
Passthehash_technique
Portscan_tool
Credential_dumping_technique
Revil
Mimikatz_tool

ChatGPT TTPs:
do not use without manual check
T1033, T1078, T1021, T1086, T1036, T1117, T1057, T1059, T1041, T1082, have more...

IOCs:
File: 6
Hash: 2

Soft:
scripting engine, PsExec, Microsoft SQL Server

Algorithms:
base64, rc4, xor

Win Services:
WebClient

Languages:
powershell

Links:
https://github.com/thewhiteninja/deobshell
https://github.com/gpailler/MegaApiClient
https://github.com/sta/websocket-sharp
https://github.com/xorrior/Random-CSharpTools/blob/master/DllLoader/DllLoader/PELoader.cs
https://github.com/TeskeVirtualSystem/MS17010Test
https://github.com/Dewera/Lunar
https://github.com/fabriciorissetto/KeystrokeAPI
https://github.com/JamesMenetrey/Bleak
https://github.com/cobbr/SharpSploit

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: В этой статье рассматривается RAT, написанная на C#, которая была использована в деле о ликвидации инцидентов в начале этого года. Она разворачивалась с помощью обфусцированного сценария PowerShell и обладала множеством возможностей, включая перехват клавиш, утечку данных и сетевую разведку. Предполагается, что его использовал оператор Gold Southfield, хотя никакой полезной нагрузки в виде выкупа не было. Его также ошибочно причисляют к вариантам SharpSploit, который представляет собой библиотеку без какого-либо поведения.
-----

В этой статье рассматривается RAT, написанная на C#, которая была использована в одном из случаев реагирования на инциденты в начале этого года. Вредоносная программа развертывалась с помощью сильно обфусцированного сценария PowerShell, который пытался загрузить замаскированный .NET PE-файл через системный прокси, а если это не удавалось, то без прокси. Затем сборка загружалась в текущий домен приложения в процессе PowerShell и обладала множеством возможностей стороннего кода, таких как кейлоггинг, загрузка дополнительного кода, утечка данных и сетевая разведка. Он подключался к серверу C2 через веб-сокеты и имел команды для выполнения различных задач, таких как запуск процессов от имени другого пользователя, сканирование портов, копирование двоичных файлов на удаленную систему и многопоточная эксфильтрация. Он также обладал некоторыми возможностями для работы в одноранговом режиме, хотя, судя по всему, эта функция так и не была должным образом протестирована или отработана.

Предполагается, что RAT использовалась оператором Gold Southfield, который управлял операцией REvil, хотя она была обнаружена до того, как была сброшена полезная нагрузка ransomware. Он также был замечен в аналогичной операции в 2022 году, но был ошибочно помечен как вариант SharpSploit. SharpSploit - это библиотека, которая сама по себе, без приложения, не проявляет никакого поведения, а csharp-streamer RAT содержит множество функций, которые значительно превосходят возможности SharpSploit.

#ParsedReport #CompletenessMedium
11-12-2023

Analysis of the activities of APT-C-28 (ScarCruft) targeting the deployment of Chinotto components in South Korea

https://mp-weixin-qq-com.translate.goog/s?__biz=MzUyMjk4NzExMA==&mid=2247494166&idx=1&sn=c88fd9344d0a8b9597260d5d80dc7fce&chksm=f9c1d91fceb6500915a0e9cc5ecdf12d4202892a0b653e348a91f9769c583bdb33a212d22c16&scene=178&cur_album_id=1955835290309230595&_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=en&_x_tr_pto=wapp#rd

Report completeness: Medium

Actors/Campaigns:
Scarcruft (motivation: cyber_espionage)

Threats:
Chinotto

Victims:
Multiple asian countries and industries, including chemical, electronics, manufacturing, aerospace, automotive, and healthcare industries

Industry:
Healthcare, Chemical, Aerospace

Geo:
Asian, Korean, Korea

IOCs:
File: 6
Hash: 17
IP: 1
Command: 2
Path: 1
Url: 7

Soft:
WeChat

Algorithms:
md5, base64, zip

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 2, code: 6