#ParsedReport #CompletenessLow
11-12-2023

The csharp-streamer RAT

https://cyber.wtf/2023/12/06/the-csharp-streamer-rat

Report completeness: Low

Threats:
Streamerrat
Amsi_bypass_technique
Dll_injection_technique
Powerkatz_stealer
Eternalblue_vuln
Sharpsploit
Cobalt_strike
Dcsync_technique
Passthehash_technique
Portscan_tool
Credential_dumping_technique
Revil
Mimikatz_tool

ChatGPT TTPs:
do not use without manual check
T1033, T1078, T1021, T1086, T1036, T1117, T1057, T1059, T1041, T1082, have more...

IOCs:
File: 6
Hash: 2

Soft:
scripting engine, PsExec, Microsoft SQL Server

Algorithms:
base64, rc4, xor

Win Services:
WebClient

Languages:
powershell

Links:
https://github.com/thewhiteninja/deobshell
https://github.com/gpailler/MegaApiClient
https://github.com/sta/websocket-sharp
https://github.com/xorrior/Random-CSharpTools/blob/master/DllLoader/DllLoader/PELoader.cs
https://github.com/TeskeVirtualSystem/MS17010Test
https://github.com/Dewera/Lunar
https://github.com/fabriciorissetto/KeystrokeAPI
https://github.com/JamesMenetrey/Bleak
https://github.com/cobbr/SharpSploit

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: В этой статье рассматривается RAT, написанная на C#, которая была использована в деле о ликвидации инцидентов в начале этого года. Она разворачивалась с помощью обфусцированного сценария PowerShell и обладала множеством возможностей, включая перехват клавиш, утечку данных и сетевую разведку. Предполагается, что его использовал оператор Gold Southfield, хотя никакой полезной нагрузки в виде выкупа не было. Его также ошибочно причисляют к вариантам SharpSploit, который представляет собой библиотеку без какого-либо поведения.
-----

В этой статье рассматривается RAT, написанная на C#, которая была использована в одном из случаев реагирования на инциденты в начале этого года. Вредоносная программа развертывалась с помощью сильно обфусцированного сценария PowerShell, который пытался загрузить замаскированный .NET PE-файл через системный прокси, а если это не удавалось, то без прокси. Затем сборка загружалась в текущий домен приложения в процессе PowerShell и обладала множеством возможностей стороннего кода, таких как кейлоггинг, загрузка дополнительного кода, утечка данных и сетевая разведка. Он подключался к серверу C2 через веб-сокеты и имел команды для выполнения различных задач, таких как запуск процессов от имени другого пользователя, сканирование портов, копирование двоичных файлов на удаленную систему и многопоточная эксфильтрация. Он также обладал некоторыми возможностями для работы в одноранговом режиме, хотя, судя по всему, эта функция так и не была должным образом протестирована или отработана.

Предполагается, что RAT использовалась оператором Gold Southfield, который управлял операцией REvil, хотя она была обнаружена до того, как была сброшена полезная нагрузка ransomware. Он также был замечен в аналогичной операции в 2022 году, но был ошибочно помечен как вариант SharpSploit. SharpSploit - это библиотека, которая сама по себе, без приложения, не проявляет никакого поведения, а csharp-streamer RAT содержит множество функций, которые значительно превосходят возможности SharpSploit.

#ParsedReport #CompletenessMedium
11-12-2023

Analysis of the activities of APT-C-28 (ScarCruft) targeting the deployment of Chinotto components in South Korea

https://mp-weixin-qq-com.translate.goog/s?__biz=MzUyMjk4NzExMA==&mid=2247494166&idx=1&sn=c88fd9344d0a8b9597260d5d80dc7fce&chksm=f9c1d91fceb6500915a0e9cc5ecdf12d4202892a0b653e348a91f9769c583bdb33a212d22c16&scene=178&cur_album_id=1955835290309230595&_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=en&_x_tr_pto=wapp#rd

Report completeness: Medium

Actors/Campaigns:
Scarcruft (motivation: cyber_espionage)

Threats:
Chinotto

Victims:
Multiple asian countries and industries, including chemical, electronics, manufacturing, aerospace, automotive, and healthcare industries

Industry:
Healthcare, Chemical, Aerospace

Geo:
Asian, Korean, Korea

IOCs:
File: 6
Hash: 17
IP: 1
Command: 2
Path: 1
Url: 7

Soft:
WeChat

Algorithms:
md5, base64, zip

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 2, code: 6

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Организация APT-C-28 - известная группировка Advanced Persistent Threat (APT) с Корейского полуострова, активно атакующая различные страны Азии и занимающаяся кибершпионажем. Институт 360 Advanced Threat Research Institute недавно обнаружил, что эта организация размещала вредоносные файлы атак на внутреннем веб-сайте, используя для передачи полезной нагрузки сжатые пакеты типа ZIP и RAR. Исследование атрибуции и суждение об атаке показывает, что организация APT-C-28 привыкла использовать большие LNK в качестве полезной нагрузки для атак и активно готовится к войне, обновляя свои полезные нагрузки.
-----

APT-C-28 (ScarCruft) - известная группа перспективных постоянных угроз (APT) с Корейского полуострова.

Организация нацелена на различные азиатские страны, такие как Южная Корея, и занимается кибершпионажем в различных отраслях.

Специалисты 360 Advanced Threat Research Institute обнаружили, что организация размещала вредоносные файлы атак на внутреннем веб-сайте с помощью сжатых пакетов типа ZIP и RAR.

По типу пакета сжатия полезные нагрузки, используемые организацией APT-C-28, делятся на ZIP-сжатие и RAR-сжатие.

Злоумышленники склоняют жертв к загрузке и открытию вредоносных файлов, рассылая фишинговые письма.

Вредоносные файлы также включают REPORT.zip, KB_20230531.rar, attachment.rar и hanacard_20230610.rar.

Троянец Chinotto выполняет операции по похищению секретов, а также увеличилось количество команд удаленного управления, загружаемых троянцем.

Организация продолжает демонстрировать нацеленность на цель и активно готовится к войне, обновляя полезную нагрузку и избегая статического обнаружения антивирусным ПО.

#ParsedReport #CompletenessHigh
11-12-2023

Cisco Talos Blog. Operation Blacksmith: Lazarus targets organizations worldwide using novel Telegram-based malware written in DLang

https://blog.talosintelligence.com/lazarus_new_rats_dlang_and_telegram

Report completeness: High

Actors/Campaigns:
Blacksmith (motivation: cyber_espionage)
Lazarus (motivation: cyber_espionage)
Andariel (motivation: cyber_espionage)

Threats:
Telegramrat
Ninerat
Dlrat
Bottomloader
Log4shell_vuln
Hazyload
Beacon
Magicrat
Credential_dumping_technique
Procdump_tool
Mimikatz_tool
Credential_harvesting_technique
Quiterat

Industry:
Government, Healthcare, Foodtech

Geo:
Korean, American, Korea

CVEs:
CVE-2021-44228 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 10
X-Force: Patch: Official fix
Soft:
- apache log4j (2.0, <2.15.0, <2.3.1, <2.12.2)
- siemens sppa-t3000 ses3000 firmware (*)
- siemens logo\! soft comfort (*)
- siemens spectrum power 4 (4.70)
- siemens siveillance control pro (*)
have more...

TTPs:
Tactics: 1
Technics: 5

IOCs:
File: 8
Command: 14
Registry: 2
Path: 3
Hash: 10
Domain: 2
IP: 5
Url: 5

Soft:
Telegram, VMWare Horizon

Algorithms:
base64

Languages:
dlang, powershell

Links:
https://github.com/Cisco-Talos/IOCs

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Компания Cisco Talos недавно обнаружила новую кампанию под названием Operation Blacksmith, проводимую северокорейской государственной группой Lazarus Group. Атака начинается с эксплуатации CVE-2021-44228, также известного как Log4Shell, на публичных серверах VMWare Horizon. Затем злоумышленники устанавливают специальные импланты и используют утилиты для дампа учетных данных, такие как ProcDump и MimiKatz. Также были обнаружены NineRAT, BottomLoader и DLRAT, которые могут использоваться для развертывания дополнительного вредоносного ПО, получения команд из C2 и их выполнения на зараженных конечных устройствах.
-----

Компания Cisco Talos недавно обнаружила новую кампанию под названием Operation Blacksmith, проводимую северокорейской государственной группировкой Lazarus Group. Группа использует несколько новых семейств вредоносных программ на базе DLang, два из которых являются троянами удаленного доступа (RAT). Одно из них использует ботов и каналы Telegram в качестве средства командно-контрольной связи (C2) и отслеживается как NineRAT; другое, не основанное на Telegram, отслеживается как DLRAT. Talos также заметила совпадение между своими находками и тактикой, методами и процедурами (TTP), соответствующими группе APT Onyx Sleet (PLUTIONIUM) или Andariel, которая считается подгруппой Lazarus.

Атака начинается с успешной эксплуатации CVE-2021-44228, также известного как Log4Shell, на публичных серверах VMWare Horizon в качестве средства первоначального доступа к уязвимым публичным серверам. Получив доступ, операторы проводят предварительную разведку, после чего устанавливают на зараженную систему специальный имплант. Это вредоносное ПО содержит жестко закодированные команды для проведения разведки системы, такие как ver, whoami и getmac. После первой инициализации и маяка в той же директории создается файл инициализации с именем SynUnst.ini. После маяка на C2 RAT публикует собранную информацию и жестко закодированную информацию о сессии.

Talos обнаружила HazyLoad, нацеленную на европейскую фирму и американский филиал южнокорейской компании, занимающейся физической безопасностью и видеонаблюдением, еще в мае 2023 года. Как только учетная запись пользователя была успешно создана, злоумышленники переключились на нее для своих действий с клавиатурой, которые включают загрузку и использование утилит для дампа учетных данных, таких как ProcDump и MimiKatz.

После того как сброс учетных данных завершен, NineRAT разворачивается на зараженных системах. NineRAT написан на языке DLang, может принимать команды от своего оператора Telegram и удалять себя из системы с помощью BAT-файла. Кроме того, были обнаружены BottomLoader, загрузчик на основе DLang, и DLRAT, загрузчик и RAT на основе DLang. BottomLoader может использоваться для развертывания дополнительного вредоносного ПО, получения команд из C2 и их выполнения на зараженных конечных устройствах. Команды, обычно выполняемые NineRAT, включают повторное снятие отпечатков пальцев с зараженных систем и сбор системной информации.

#ParsedReport #CompletenessMedium
11-12-2023

Sandman APT \| China-Based Adversaries Embrace Lua

https://www.sentinelone.com/labs/sandman-apt-china-based-adversaries-embrace-lua

Report completeness: Medium

Actors/Campaigns:
Sandman (motivation: cyber_espionage)
Winnti

Threats:
Storm-0866
Keyplug
Luadream

Industry:
Telco, Government

Geo:
Bulgaria, China, Chinese, Asian, Romanian

IOCs:
Domain: 6
IP: 13
Hash: 3

Algorithms:
rc4

Win API:
GetTickCount

Languages:
lua

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 4

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Прочные связи между APT-кластером Sandman и китайским угрожающим субъектом, использующим бэкдор KEYPLUG, показывают сложную природу китайской угрозы и указывают на то, что эти угрожающие субъекты будут продолжать сотрудничать и координировать свои действия для повышения функциональности, гибкости и скрытности своих вредоносных программ.
-----

Исследователи SentinelLabs, Microsoft и PwC выявили тесные связи между APT-кластером Sandman и базирующимся в Китае угрожающим субъектом, использующим общий бэкдор KEYPLUG STORM-0866/Red Dev 40. Этот кластер в основном нацелен на организации на Ближнем Востоке и Южно-Азиатском субконтиненте. Совпадение уникальных методов контроля и управления инфраструктурой, выбора хостинг-провайдеров и соглашений об именовании доменов позволяет предположить, что кластеры APT Sandman и STORM-0866/Red Dev 40 связаны между собой.

SSL-сертификат, присвоенный домену ssl.explorecell . com компании LuaDream C2, использовался на серверах с IP-адресами 185.51.134 . 27 и 45.80.148 . 151. Dan.det-ploshadka . com и ssl.e-novauto . com использовались как серверы KEYPLUG C2, приписанные к STORM-0866/Red Dev 40. Хотя образцы не имеют прямых признаков, которые позволили бы с уверенностью классифицировать их как тесно связанные, есть признаки общей практики разработки и некоторые совпадения в функциональных возможностях и дизайне, что позволяет предположить наличие общих функциональных требований со стороны операторов.

LuaDream и KEYPLUG - это отдельные штаммы вредоносного ПО, реализованные на C++ и Lua соответственно. LuaDream и KEYPLUG имеют модульный и многопротокольный дизайн, реализуя поддержку протоколов HTTP, TCP, WebSocket и QUIC для C2-коммуникаций. Порядок, в котором они оценивают настроенный протокол, одинаков, а сочетание QUIC и WebSocket - относительно редкая особенность, которая может быть результатом общих функциональных требований операторов.

Они собирают и передают системную и пользовательскую информацию, такую как MAC-адрес, версия ОС, IP-адрес, имя компьютера и имя пользователя. Они создают потоки для отправки и получения данных C2, устанавливают соединение с сервером C2, обрабатывают команды бэкдора и управляют плагинами. Они оба генерируют одноразовые целочисленные значения, основанные на времени работы системы.

Тесные связи между APT-кластером Sandman и базирующимся в Китае угрожающим субъектом, использующим бэкдор KEYPLUG, свидетельствуют о сложной природе китайского ландшафта угроз. Вполне вероятно, что эти угрожающие субъекты продолжат сотрудничать и координировать свои действия, изучая новые подходы к повышению функциональности, гибкости и скрытности своих вредоносных программ. Принятие парадигмы разработки Lua является убедительной иллюстрацией этого.

#ParsedReport #CompletenessLow
12-12-2023

Security Brief: TA4557 Targets Recruiters Directly via Email

https://www.proofpoint.com/us/blog/threat-insight/security-brief-ta4557-targets-recruiters-directly-email

Report completeness: Low

Actors/Campaigns:
Magecart (motivation: financially_motivated)
Cobalt
Evilnum

Threats:
Lolbin_technique
More_eggs

IOCs:
File: 2
Hash: 3

Algorithms:
sha256, rc4, zip

Win API:
NtQueryInformationProcess

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что TA4557 является уникальным и опасным субъектом угроз в киберпреступном мире благодаря его сложным навыкам социальной инженерии, использованию вредоносных URL-адресов, приманкам на тему кандидатов на работу и мерам уклонения, применяемым для того, чтобы затруднить обнаружение вредоносного контента. Кроме того, было замечено, что деятельность этого угрожающего субъекта частично совпадает с деятельностью других угрожающих субъектов.
-----

Компания Proofpoint отслеживает угрожающего актера TA4557 с 2018 года и идентифицирует его как опытную и финансово мотивированную группу. В октябре 2023 года группа перешла к новой тактике - отправке прямых электронных писем рекрутерам с вредоносными URL-адресами без гиперссылок. Это дополнение к старой технике подачи заявок на открытые объявления о работе. При выполнении LNK злоупотребляет функциями легитимного программного обеспечения, чтобы загрузить и выполнить скрипт. Скрипт загружает бэкдор More_Eggs вместе с исполняемым файлом MSXSL. Бэкдор способен устанавливать постоянство, профилировать машину и передавать дополнительную полезную нагрузку.

TA4557 продемонстрировали сложные навыки социальной инженерии, подстраивая свои заманухи под конкретные вакансии, размещенные в Интернете. Письма оформляются так, что создается впечатление, будто их отправил легитимный соискатель, что затрудняет обнаружение вредоносного содержимого автоматическими средствами защиты. Кроме того, злоумышленники регулярно меняют электронные адреса отправителей, домены поддельных резюме и инфраструктуру, чтобы сделать содержимое писем более убедительным и трудным для обнаружения.

Использование этой техники в сочетании с изощренными приманками и мерами уклонения, применяемыми TA4557, делает его уникальным и опасным субъектом угроз в киберпреступном мире. Они отличаются от других приоритетных угроз, отслеживаемых Proofpoint, благодаря использованию инструментов и вредоносного ПО, нацеленности на кампании, использованию приманок на тему кандидатов на работу и контролируемой агентом инфраструктуре. Кроме того, было замечено, что деятельность TA4557 частично пересекается с деятельностью FIN6, Cobalt Group и Evilnum, хотя Proofpoint отслеживает их как отдельные кластеры активности.

#ParsedReport #CompletenessMedium
12-12-2023

How one country is impacting supply chains. IOC

https://checkmarx.com/blog/how-one-country-is-impacting-supply-chains

Report completeness: Medium

Actors/Campaigns:
Lazarus
Contagious_interview

Threats:
Supply_chain_technique

Geo:
Korean, Korea

IOCs:
Url: 4
Domain: 1
IP: 9
Hash: 54
File: 6

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
windows: 3, code: 4, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Северная Корея расширяет свои стратегии кибератак, нацеливаясь на глобальные цепочки поставок с помощью вредоносных программных пакетов на платформах с открытым исходным кодом. Организациям необходимо проявлять бдительность и принимать меры для защиты своих систем от компрометации цепочек поставок.
-----

Северная Корея наращивает свои стратегии кибератак, уделяя особое внимание взлому цепочек поставок. Для этого используются пакеты с открытым исходным кодом на платформах NPM, PyPi и GitHub, чтобы проникнуть в организации и нарушить их цепочки поставок программного обеспечения. Недавно вредоносные пакеты, связанные с Crypto на NPM, были использованы для получения полезной нагрузки второго этапа из удаленного местоположения. Эта полезная нагрузка была связана с недавней деятельностью Lazarus.

Вредоносный скрипт был разработан специально для машин под управлением Windows и состоял из нескольких этапов. Он подтверждал тип операционной системы, после чего записывал два файла, preinstall.bat и preinstall.ps1. Затем он загружал файл с именем npm.mov с жестко заданного IP-адреса и сохранял его локально под именем sqlite.a. Затем он выполнил сценарий PowerShell, который установил политику выполнения на Bypass, чтобы избежать ограничений на запуск сценариев. Затем сценарий считывал все байты из файла sqlite.a в переменную с именем $bytes. Затем данные в переменной $bytes проходили через своего рода операцию расшифровки, в результате которой расшифрованные данные записывались в файл по адресу $path2 (sql.tmp). Сценарий Powershell завершался принудительным удалением исходного файла sqlite.a из системы.

Операция Contagious Interview - это недавняя операция, к которой приписывают угрозы, поддерживаемые Северной Кореей. Эта операция отличается сложной тактикой социальной инженерии, направленной на разработчиков программного обеспечения, которые выдавали себя за потенциальных работодателей. Угрожающие лица создавали несколько учетных записей для размещения нескольких репозиториев GitHub, создавая инфраструктуру, направленную на завоевание доверия своих жертв. Было обнаружено, что репозиторий, форкнутый из репозитория GitHub подставного работодателя, содержит вредоносный код, внедренный в файл NPM.

В 2023 году наблюдается всплеск северокорейской кибернетической активности, направленной на глобальные цепочки поставок. Это вызывает все большую обеспокоенность, поскольку такая деятельность может иметь серьезные последствия для безопасности нашей цифровой инфраструктуры. Организациям необходимо проявлять бдительность и принимать меры для защиты своих систем от компрометации цепочек поставок. К таким мерам относятся регулярный мониторинг компонентов цепочки поставок на предмет наличия вредоносного кода, использование безопасных методов кодирования и применение статического анализа кода для обнаружения вредоносного кода.