#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Команда Lab52 выявила киберкампанию с использованием нового варианта вредоносного ПО PlugX, имеющего сходство с кампанией SmugX. Цепочка заражения включает в себя развертывание MSI-файла, содержащего легитимный исполняемый файл, вредоносную DLL, написанную на языке программирования Nim, и DAT-файл. DLL содержит две вредоносные функции, а шеллкод расшифровывает конфигурацию с помощью алгоритма RC4. Злоумышленники использовали приманку, связанную с президентскими выборами в Тайване в 2024 году. После выполнения вредоносная программа копирует содержимое в участок памяти и использует алгоритм RC4 для расшифровки DLL, содержащейся в файле NoteLogger.dat.
-----

Команда Lab52 недавно обнаружила кибер-кампанию с использованием нового варианта вредоносного ПО PlugX. Эта кампания имеет много общего с кампанией SmugX, приписываемой угрозам Red Delta и Mustang Panda, которые предположительно связаны с китайским правительством. В частности, цепочка заражения включает развертывание MSI-файла, содержащего легитимный исполняемый файл (OneNotem.exe), вредоносную DLL (msi.dll) и DAT-файл (NoteLogger.dat).

Вредоносная DLL написана на языке программирования Nim и использует собственную реализацию алгоритма RC4 для расшифровки PlugX, в отличие от своих предшественников, которые использовали Windows Cryptsp.dll. После выполнения файла он сначала обращается к www.google.com для проверки наличия интернет-соединения, а затем связывается с C2-доменами ivibers.com и meetvibersapi.com. Он также создает мьютекс, чтобы предотвратить выполнение второго экземпляра.

DLL содержит шеллкод, вызывающий единственную экспортируемую функцию. Этот шеллкод расшифровывает конфигурацию с помощью алгоритма RC4, расположенного в секции .data, как и другие образцы из кампании SmugX. Злоумышленники использовали приманку, связанную с предстоящими в январе 2024 года президентскими выборами в Тайване, на которых Терри Гоу и Лай Пейшиа объявили о выдвижении своих независимых кандидатур.

DLL содержит две вредоносные функции: функцию NimMain и функцию MsiProvideQualifiedComponentW. В результате загружаются функции, необходимые для выполнения вредоносной программы, которая затем копирует содержимое в участок памяти и использует алгоритм RC4 и ключ EtFOWV4hDJf6DA6W для расшифровки DLL, содержащейся в файле NoteLogger.dat. Эта DLL является разновидностью вредоносной программы PlugX.

#ParsedReport #CompletenessLow
11-12-2023

New Editbot Stealer Spreads Via Social Media Messages

https://cyble.com/blog/new-editbot-stealer-spreads-via-social-media-messages

Report completeness: Low

Threats:
Editbot

Victims:
Social media users

TTPs:
Tactics: 7
Technics: 7

IOCs:
File: 8
Url: 1
Path: 4
Hash: 5

Soft:
Telegram, Chrome, Opera, Brave-Browser, CocCoc, Chromium, Mozilla Firefox, ChatGPT

Algorithms:
sha1, sha256, zip, md5

Languages:
powershell, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Недавно CRIL обнаружил вредоносный RAR-файл, который является частью многоступенчатой атакующей кампании, направленной на пользователей социальных сетей и предназначенной для хищения конфиденциальной информации. Появление нового editbot Stealer вызывает серьезные опасения в текущем ландшафте угроз кибербезопасности и предполагает возможную причастность брокеров первоначального доступа.
-----

Компания Cyble Research and Intelligence Labs (CRIL) недавно обнаружила архивный файл WinRAR с минимальным количеством обнаружений на VirusTotal. Анализ показал, что он является частью многоступенчатой атакующей кампании, нацеленной на пользователей социальных сетей и предназначенной для похищения информации о процессах и данных, хранящихся в браузере, таких как пароли, куки, веб-данные и другие. Вредоносный RAR-файл содержит пакетный файл и JSON-файл, которые при выполнении используют команды PowerShell для загрузки полезных нагрузок следующего этапа с платформ обмена кодом с открытым исходным кодом, таких как Gitlab. Последняя полезная нагрузка - специфический для Windows Python-кража под названием "editbot", которая используется для сбора конфиденциальной информации, такой как пароли, cookies, веб-данные и активные системные процессы. Эта украденная информация затем передается TA через бота Telegram.

Python-скрипт "libb1.py", находящийся в распакованном каталоге C:\Users\Public\Document\, предназначен для выполнения команды tasklist для перечисления всех запущенных процессов на целевой системе. Результаты перехватываются и сохраняются в файле, расположенном в папке %temp%. Этот похититель также нацелен на извлечение конфиденциальной информации из таких веб-браузеров, как Chrome, Firefox, Edge, Opera, Brave-Browser, CocCoc и Chromium. Он извлекает такие файлы, как Cookies, Login Data, Web Data и Local State из соответствующих папок профиля браузера и расшифровывает пароли. Затем эти данные сохраняются в текстовом файле pass.txt, расположенном в каталоге, созданном крадущей программой в папке %temp%. Кроме того, похититель извлекает информацию о cookie из файла базы данных SQLite под названием Cookies. Собрав всю информацию, крадун создает ZIP-архив, содержащий TXT-файлы с похищенными данными, и сохраняет его в каталоге %temp%. Используя жестко закодированный токен бота, крадун применяет API sendDocument для отправки ZIP-файла с системы жертвы на TAs.

В июле исследователи Check Point обнаружили мошенничество, нацеленное на пользователей социальных сетей, в котором использовалась поддельная реклама ChatGPT, Google Bard и других сервисов искусственного интеллекта, обманом заставлявшая пользователей загружать вредоносное ПО. Этот инцидент стал еще одним примером, подчеркивающим постоянный характер угроз на платформах социальных сетей. Появление нового editbot Stealer, специально нацеленного на конфиденциальную информацию, связанную с платформами социальных сетей, вызывает серьезные опасения в современном ландшафте угроз кибербезопасности. Это говорит о потенциальной причастности брокеров первоначального доступа, групп или отдельных лиц, специализирующихся на приобретении и продаже доступа или учетных данных к взломанным системам.

#ParsedReport #CompletenessLow
11-12-2023

Introduction. Background

https://www.curatedintel.org/2023/12/curated-intel-threat-report-multi.html

Report completeness: Low

Threats:
Domain_fronting_technique

Industry:
Financial, E-commerce

Geo:
Hungary, Russia, Romanian, Russian, Polish

IOCs:
Domain: 5
File: 4

Algorithms:
ecc, exhibit

Languages:
javascript

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Глобальная кампания по сбору данных о кредитных картах нацелена на пользователей различных почтовых сервисов и сервисов электронной коммерции, использующих функцию чата в этих сервисах для рассылки фишинговых сообщений. Исследователи Perception Point обнаружили, что отели стали жертвами вредоносного ПО InfoStealer, которое доставлялось через фишинговые URL-адреса в электронных письмах, замаскированных под сообщения от клиентов отелей. Рекомендуется использовать онлайн-инструменты для проверки подозрительных URL-адресов или файлов, чтобы защитить себя от попыток фишинга.
-----

Компании Tas (@tas_kmanager) и Curated Intelligence недавно обнаружили глобальную кампанию по сбору данных с кредитных карт, нацеленную на пользователей различных почтовых сервисов и сервисов электронной коммерции. Для рассылки фишинговых сообщений используется функция чата этих сервисов. Сообщения приходят от официальных аккаунтов сайтов продавцов и содержат угрожающие выражения, а также детали бронирования отеля для пользователя. Сообщения также содержат вредоносную ссылку, которая ведет на поддельную страницу, копирующую законный сайт.

Чтобы понять, как злоумышленники смогли получить доступ к функциям чата, исследователи Perception Point провели расследование и выяснили, что отели стали жертвами вредоносной программы InfoStealer, доставленной через фишинговые URL-адреса в электронных письмах, замаскированных под сообщения от клиентов отеля. В результате злоумышленники смогли получить доступ к информации о клиентах, такой как полные имена, даты бронирования, информация об отеле и детали частичной оплаты.

Компания Tas использовала urlscan.io для изучения различных аспектов фишингового инструмента. Самый ранний задокументированный случай относится к октябрю 2021 года, когда угрожающий агент выдавал себя за румынский сайт электронной коммерции OLX. Для предотвращения обнаружения по IP-адресам они также используют доменное прикрытие, используя таких провайдеров, как DDOS-Guard в России.

Фишинговая страница содержит код JavaScript, который очень похож на код, используемый на легитимном сайте. Кроме того, злоумышленники используют многофакторную аутентификацию, лимиты на транзакции, минимальные суммы денег на счетах, аутентификацию 3D-Secure, блокировку геолокации и другие банки. Файлы JavaScript хранятся в необычных путях, а комментарии в начале кода имеют кириллическую кодировку.

Важно помнить, что легальные компании никогда не будут запрашивать конфиденциальную информацию по электронной почте или в сообщениях. Чтобы защитить себя от попыток фишинга, рекомендуется использовать такие онлайн-инструменты, как urlscan.io или VirusTotal, для проверки подозрительных URL-адресов или файлов. Кроме того, опасайтесь электронных писем, сообщений в чате, текстовых сообщений или всплывающей рекламы, в которых запрашивается личная или финансовая информация.

#ParsedReport #CompletenessLow
11-12-2023

The csharp-streamer RAT

https://cyber.wtf/2023/12/06/the-csharp-streamer-rat

Report completeness: Low

Threats:
Streamerrat
Amsi_bypass_technique
Dll_injection_technique
Powerkatz_stealer
Eternalblue_vuln
Sharpsploit
Cobalt_strike
Dcsync_technique
Passthehash_technique
Portscan_tool
Credential_dumping_technique
Revil
Mimikatz_tool

ChatGPT TTPs:
do not use without manual check
T1033, T1078, T1021, T1086, T1036, T1117, T1057, T1059, T1041, T1082, have more...

IOCs:
File: 6
Hash: 2

Soft:
scripting engine, PsExec, Microsoft SQL Server

Algorithms:
base64, rc4, xor

Win Services:
WebClient

Languages:
powershell

Links:
https://github.com/thewhiteninja/deobshell
https://github.com/gpailler/MegaApiClient
https://github.com/sta/websocket-sharp
https://github.com/xorrior/Random-CSharpTools/blob/master/DllLoader/DllLoader/PELoader.cs
https://github.com/TeskeVirtualSystem/MS17010Test
https://github.com/Dewera/Lunar
https://github.com/fabriciorissetto/KeystrokeAPI
https://github.com/JamesMenetrey/Bleak
https://github.com/cobbr/SharpSploit

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: В этой статье рассматривается RAT, написанная на C#, которая была использована в деле о ликвидации инцидентов в начале этого года. Она разворачивалась с помощью обфусцированного сценария PowerShell и обладала множеством возможностей, включая перехват клавиш, утечку данных и сетевую разведку. Предполагается, что его использовал оператор Gold Southfield, хотя никакой полезной нагрузки в виде выкупа не было. Его также ошибочно причисляют к вариантам SharpSploit, который представляет собой библиотеку без какого-либо поведения.
-----

В этой статье рассматривается RAT, написанная на C#, которая была использована в одном из случаев реагирования на инциденты в начале этого года. Вредоносная программа развертывалась с помощью сильно обфусцированного сценария PowerShell, который пытался загрузить замаскированный .NET PE-файл через системный прокси, а если это не удавалось, то без прокси. Затем сборка загружалась в текущий домен приложения в процессе PowerShell и обладала множеством возможностей стороннего кода, таких как кейлоггинг, загрузка дополнительного кода, утечка данных и сетевая разведка. Он подключался к серверу C2 через веб-сокеты и имел команды для выполнения различных задач, таких как запуск процессов от имени другого пользователя, сканирование портов, копирование двоичных файлов на удаленную систему и многопоточная эксфильтрация. Он также обладал некоторыми возможностями для работы в одноранговом режиме, хотя, судя по всему, эта функция так и не была должным образом протестирована или отработана.

Предполагается, что RAT использовалась оператором Gold Southfield, который управлял операцией REvil, хотя она была обнаружена до того, как была сброшена полезная нагрузка ransomware. Он также был замечен в аналогичной операции в 2022 году, но был ошибочно помечен как вариант SharpSploit. SharpSploit - это библиотека, которая сама по себе, без приложения, не проявляет никакого поведения, а csharp-streamer RAT содержит множество функций, которые значительно превосходят возможности SharpSploit.

#ParsedReport #CompletenessMedium
11-12-2023

Analysis of the activities of APT-C-28 (ScarCruft) targeting the deployment of Chinotto components in South Korea

https://mp-weixin-qq-com.translate.goog/s?__biz=MzUyMjk4NzExMA==&mid=2247494166&idx=1&sn=c88fd9344d0a8b9597260d5d80dc7fce&chksm=f9c1d91fceb6500915a0e9cc5ecdf12d4202892a0b653e348a91f9769c583bdb33a212d22c16&scene=178&cur_album_id=1955835290309230595&_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=en&_x_tr_pto=wapp#rd

Report completeness: Medium

Actors/Campaigns:
Scarcruft (motivation: cyber_espionage)

Threats:
Chinotto

Victims:
Multiple asian countries and industries, including chemical, electronics, manufacturing, aerospace, automotive, and healthcare industries

Industry:
Healthcare, Chemical, Aerospace

Geo:
Asian, Korean, Korea

IOCs:
File: 6
Hash: 17
IP: 1
Command: 2
Path: 1
Url: 7

Soft:
WeChat

Algorithms:
md5, base64, zip

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 2, code: 6

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Организация APT-C-28 - известная группировка Advanced Persistent Threat (APT) с Корейского полуострова, активно атакующая различные страны Азии и занимающаяся кибершпионажем. Институт 360 Advanced Threat Research Institute недавно обнаружил, что эта организация размещала вредоносные файлы атак на внутреннем веб-сайте, используя для передачи полезной нагрузки сжатые пакеты типа ZIP и RAR. Исследование атрибуции и суждение об атаке показывает, что организация APT-C-28 привыкла использовать большие LNK в качестве полезной нагрузки для атак и активно готовится к войне, обновляя свои полезные нагрузки.
-----

APT-C-28 (ScarCruft) - известная группа перспективных постоянных угроз (APT) с Корейского полуострова.

Организация нацелена на различные азиатские страны, такие как Южная Корея, и занимается кибершпионажем в различных отраслях.

Специалисты 360 Advanced Threat Research Institute обнаружили, что организация размещала вредоносные файлы атак на внутреннем веб-сайте с помощью сжатых пакетов типа ZIP и RAR.

По типу пакета сжатия полезные нагрузки, используемые организацией APT-C-28, делятся на ZIP-сжатие и RAR-сжатие.

Злоумышленники склоняют жертв к загрузке и открытию вредоносных файлов, рассылая фишинговые письма.

Вредоносные файлы также включают REPORT.zip, KB_20230531.rar, attachment.rar и hanacard_20230610.rar.

Троянец Chinotto выполняет операции по похищению секретов, а также увеличилось количество команд удаленного управления, загружаемых троянцем.

Организация продолжает демонстрировать нацеленность на цель и активно готовится к войне, обновляя полезную нагрузку и избегая статического обнаружения антивирусным ПО.

#ParsedReport #CompletenessHigh
11-12-2023

Cisco Talos Blog. Operation Blacksmith: Lazarus targets organizations worldwide using novel Telegram-based malware written in DLang

https://blog.talosintelligence.com/lazarus_new_rats_dlang_and_telegram

Report completeness: High

Actors/Campaigns:
Blacksmith (motivation: cyber_espionage)
Lazarus (motivation: cyber_espionage)
Andariel (motivation: cyber_espionage)

Threats:
Telegramrat
Ninerat
Dlrat
Bottomloader
Log4shell_vuln
Hazyload
Beacon
Magicrat
Credential_dumping_technique
Procdump_tool
Mimikatz_tool
Credential_harvesting_technique
Quiterat

Industry:
Government, Healthcare, Foodtech

Geo:
Korean, American, Korea

CVEs:
CVE-2021-44228 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 10
X-Force: Patch: Official fix
Soft:
- apache log4j (2.0, <2.15.0, <2.3.1, <2.12.2)
- siemens sppa-t3000 ses3000 firmware (*)
- siemens logo\! soft comfort (*)
- siemens spectrum power 4 (4.70)
- siemens siveillance control pro (*)
have more...

TTPs:
Tactics: 1
Technics: 5

IOCs:
File: 8
Command: 14
Registry: 2
Path: 3
Hash: 10
Domain: 2
IP: 5
Url: 5

Soft:
Telegram, VMWare Horizon

Algorithms:
base64

Languages:
dlang, powershell

Links:
https://github.com/Cisco-Talos/IOCs

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Компания Cisco Talos недавно обнаружила новую кампанию под названием Operation Blacksmith, проводимую северокорейской государственной группой Lazarus Group. Атака начинается с эксплуатации CVE-2021-44228, также известного как Log4Shell, на публичных серверах VMWare Horizon. Затем злоумышленники устанавливают специальные импланты и используют утилиты для дампа учетных данных, такие как ProcDump и MimiKatz. Также были обнаружены NineRAT, BottomLoader и DLRAT, которые могут использоваться для развертывания дополнительного вредоносного ПО, получения команд из C2 и их выполнения на зараженных конечных устройствах.
-----

Компания Cisco Talos недавно обнаружила новую кампанию под названием Operation Blacksmith, проводимую северокорейской государственной группировкой Lazarus Group. Группа использует несколько новых семейств вредоносных программ на базе DLang, два из которых являются троянами удаленного доступа (RAT). Одно из них использует ботов и каналы Telegram в качестве средства командно-контрольной связи (C2) и отслеживается как NineRAT; другое, не основанное на Telegram, отслеживается как DLRAT. Talos также заметила совпадение между своими находками и тактикой, методами и процедурами (TTP), соответствующими группе APT Onyx Sleet (PLUTIONIUM) или Andariel, которая считается подгруппой Lazarus.

Атака начинается с успешной эксплуатации CVE-2021-44228, также известного как Log4Shell, на публичных серверах VMWare Horizon в качестве средства первоначального доступа к уязвимым публичным серверам. Получив доступ, операторы проводят предварительную разведку, после чего устанавливают на зараженную систему специальный имплант. Это вредоносное ПО содержит жестко закодированные команды для проведения разведки системы, такие как ver, whoami и getmac. После первой инициализации и маяка в той же директории создается файл инициализации с именем SynUnst.ini. После маяка на C2 RAT публикует собранную информацию и жестко закодированную информацию о сессии.

Talos обнаружила HazyLoad, нацеленную на европейскую фирму и американский филиал южнокорейской компании, занимающейся физической безопасностью и видеонаблюдением, еще в мае 2023 года. Как только учетная запись пользователя была успешно создана, злоумышленники переключились на нее для своих действий с клавиатурой, которые включают загрузку и использование утилит для дампа учетных данных, таких как ProcDump и MimiKatz.

После того как сброс учетных данных завершен, NineRAT разворачивается на зараженных системах. NineRAT написан на языке DLang, может принимать команды от своего оператора Telegram и удалять себя из системы с помощью BAT-файла. Кроме того, были обнаружены BottomLoader, загрузчик на основе DLang, и DLRAT, загрузчик и RAT на основе DLang. BottomLoader может использоваться для развертывания дополнительного вредоносного ПО, получения команд из C2 и их выполнения на зараженных конечных устройствах. Команды, обычно выполняемые NineRAT, включают повторное снятие отпечатков пальцев с зараженных систем и сбор системной информации.

#ParsedReport #CompletenessMedium
11-12-2023

Sandman APT \| China-Based Adversaries Embrace Lua

https://www.sentinelone.com/labs/sandman-apt-china-based-adversaries-embrace-lua

Report completeness: Medium

Actors/Campaigns:
Sandman (motivation: cyber_espionage)
Winnti

Threats:
Storm-0866
Keyplug
Luadream

Industry:
Telco, Government

Geo:
Bulgaria, China, Chinese, Asian, Romanian

IOCs:
Domain: 6
IP: 13
Hash: 3

Algorithms:
rc4

Win API:
GetTickCount

Languages:
lua

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 4

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Прочные связи между APT-кластером Sandman и китайским угрожающим субъектом, использующим бэкдор KEYPLUG, показывают сложную природу китайской угрозы и указывают на то, что эти угрожающие субъекты будут продолжать сотрудничать и координировать свои действия для повышения функциональности, гибкости и скрытности своих вредоносных программ.
-----

Исследователи SentinelLabs, Microsoft и PwC выявили тесные связи между APT-кластером Sandman и базирующимся в Китае угрожающим субъектом, использующим общий бэкдор KEYPLUG STORM-0866/Red Dev 40. Этот кластер в основном нацелен на организации на Ближнем Востоке и Южно-Азиатском субконтиненте. Совпадение уникальных методов контроля и управления инфраструктурой, выбора хостинг-провайдеров и соглашений об именовании доменов позволяет предположить, что кластеры APT Sandman и STORM-0866/Red Dev 40 связаны между собой.

SSL-сертификат, присвоенный домену ssl.explorecell . com компании LuaDream C2, использовался на серверах с IP-адресами 185.51.134 . 27 и 45.80.148 . 151. Dan.det-ploshadka . com и ssl.e-novauto . com использовались как серверы KEYPLUG C2, приписанные к STORM-0866/Red Dev 40. Хотя образцы не имеют прямых признаков, которые позволили бы с уверенностью классифицировать их как тесно связанные, есть признаки общей практики разработки и некоторые совпадения в функциональных возможностях и дизайне, что позволяет предположить наличие общих функциональных требований со стороны операторов.

LuaDream и KEYPLUG - это отдельные штаммы вредоносного ПО, реализованные на C++ и Lua соответственно. LuaDream и KEYPLUG имеют модульный и многопротокольный дизайн, реализуя поддержку протоколов HTTP, TCP, WebSocket и QUIC для C2-коммуникаций. Порядок, в котором они оценивают настроенный протокол, одинаков, а сочетание QUIC и WebSocket - относительно редкая особенность, которая может быть результатом общих функциональных требований операторов.

Они собирают и передают системную и пользовательскую информацию, такую как MAC-адрес, версия ОС, IP-адрес, имя компьютера и имя пользователя. Они создают потоки для отправки и получения данных C2, устанавливают соединение с сервером C2, обрабатывают команды бэкдора и управляют плагинами. Они оба генерируют одноразовые целочисленные значения, основанные на времени работы системы.

Тесные связи между APT-кластером Sandman и базирующимся в Китае угрожающим субъектом, использующим бэкдор KEYPLUG, свидетельствуют о сложной природе китайского ландшафта угроз. Вполне вероятно, что эти угрожающие субъекты продолжат сотрудничать и координировать свои действия, изучая новые подходы к повышению функциональности, гибкости и скрытности своих вредоносных программ. Принятие парадигмы разработки Lua является убедительной иллюстрацией этого.