#ParsedReport #CompletenessLow
14-12-2023

Gaza Cybergang \| Unified Front Targeting Hamas Opposition

https://www.sentinelone.com/labs/gaza-cybergang-unified-front-targeting-hamas-opposition

Report completeness: Low

Actors/Campaigns:
Molerats (motivation: cyber_espionage)
Wirte
Aridviper
Bearded_barbie
Lastconn

Threats:
Pierogi
Micropsia
Vamp
Barbwire
Bigbang

Victims:
Israeli and palestinian entities

Industry:
Military, Government

Geo:
Ukrainian, Israel, Israeli, Syria, Palestinian

IOCs:
Domain: 20
Hash: 27

Soft:
curl

Algorithms:
base64, sha1

Languages:
pascal, python, powershell, delphi

Links:
https://github.com/Gcow-Sec/GcowPublic/blob/master/APT-C-23\_report.pdf
https://github.com/curl/curl/tree/master/lib

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Gaza Cybergang - это зонтик, состоящий из множества подгрупп, которые с конца 2021 года атакуют израильские и палестинские организации, уделяя особое внимание палестинским организациям и новым бэкдорам в их арсенале вредоносного ПО. SentinelLabs продолжает следить за деятельностью Gaza Cybergang для дальнейшего расширения коллективных знаний о динамике развития группы.
-----

Кибербанда Газы - это зонтик, состоящий из нескольких подгрупп, которые с конца 2021 года атакуют израильские и палестинские организации. В большинстве случаев используются разновидности вредоносного ПО семейства Micropsia, при этом документы-обманки пишутся на арабском языке и заманивают цели политическими темами. В феврале 2020 года бэкдор Pierogi и его инфраструктура были связаны с Arid Viper, а самый последний вариант Pierogi - Pierogi++, впервые замеченный в 2022 и 2023 годах.

Бэкдор Pierogi++ реализован на C++ и маскируется под артефакты Windows, встроенные в макросы или Base64-кодировку, взаимодействуя с сервером C2 с помощью библиотеки curl. Большинство C2-серверов зарегистрированы на Namecheap и размещены компанией Stark Industries Solutions LTD. Предполагается, что кластеры TA402, WIRTE и Gaza Cybergang связаны и пересекаются друг с другом. Последние данные указывают на использование бэкдора BarbWire в кампании, направленной на израильских чиновников в правоохранительных органах, армии и экстренных службах.

Анализ вредоносного ПО Gaza Cybergang выявил устойчивую направленность на борьбу с палестинскими организациями, причем с начала войны между Израилем и Хамасом динамика развития не претерпела существенных изменений. Группа продолжает обновлять свой арсенал вредоносного ПО, добавляя новые бэкдоры, трансформируя старые реализации в новые инструменты, обмениваясь ТТП, вредоносным ПО и жертвами, что позволяет предположить, что она представляет собой единый фронт борьбы с интересами ХАМАС.

Вполне вероятно, что группа проходит процесс консолидации, включающий формирование внутренних и/или внешних линий поставок вредоносного ПО и упорядочивание поставок от внешних поставщиков. SentinelLabs продолжает следить за деятельностью Gaza Cybergang, чтобы расширить коллективные знания о динамике развития группы и предоставить индикаторы, которые будут полезны командам безопасности, защищающим свои организации и частных лиц от атак.

#ParsedReport #CompletenessMedium
13-12-2023

Analyzing AsyncRAT's Code Injection into aspnet_compiler.exe Across Multiple Incident Response Cases. The pivot point

https://www.trendmicro.com/en_us/research/23/l/analyzing-asyncrat-code-injection-into-aspnetcompiler-exe.html

Report completeness: Medium

Actors/Campaigns:
Spalax

Threats:
Asyncrat
Avemaria_rat
Process_injection_technique
Trojan.vbs.runner.aoe
Trojan.bat.powrun.aa
Trojan.ps1.runner.gbt
3losh

Industry:
Education

IOCs:
File: 20
IP: 4
Path: 12
Url: 1
Hash: 8
Domain: 3

Soft:
ASP.NET, Google Chrome, Chrome, Windows Explorer, Windows Task Scheduler

Wallets:
bitcoincore, coinbase, coinomi, electrum, rabby, tronlink, boolwallet

Crypto:
binance

Algorithms:
zip, exhibit

Languages:
powershell

Links:
https://github.com/NYAN-x-CAT/AsyncRAT-C-Sharp/tree/master/AsyncRAT-C%23
https://github.com/NYAN-x-CAT/LimeLogger/blob/master/LimeLogger/LimeLogger.cs

#ParsedReport #ExtractedSchema

Classified images:
windows: 24, schema: 4, code: 12, table: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: AsyncRAT - это инструмент удаленного доступа (RAT), использовавшийся в фишинговой кампании под названием Operation Spalax. Обнаружить и блокировать вредоносную деятельность с использованием AsyncRAT сложно, поэтому важно применять проактивный мониторинг и меры безопасности, чтобы снизить риск заражения и вредоносной активности.
-----

Команда MxDR недавно занималась различными делами, связанными с AsyncRAT, средством удаленного доступа (RAT) с множеством возможностей. AsyncRAT является частью фишинговой кампании под названием Operation Spalax, которая использует HTML-вложения для доставки и рефлексивные методы загрузки. Как правило, вредоносная программа приходит через спам, а после установки создает и выполняет множество сценариев PowerShell (.ps1), VBScript (.vbs) и Batch-файлов (.bat). Кроме того, она подключается к IP-адресам 208 . 95 . 112 . 1:80 (ip-api . com ) и 45 . 141 . 215.40:4782 (httpswin10 . kozow . com ).

Бэкдор AsyncRAT имеет функции защиты от отладки и анализа, установки персистентности и кейлоггинга. Фрагмент кода проверяет, включен ли кейлоггинг во встроенной конфигурации embeddedConfig . Если да, то запускается новый поток для выполнения метода startKeylogging. Код динамически выбирает хост и порт из конфигурации, что позволяет субъектам угроз часто менять адреса серверов. В нем также есть механизмы обработки ошибок, позволяющие AsyncRAT пытаться установить альтернативные соединения или вернуться к конфигурации по умолчанию. При подключении к серверу полезная нагрузка собирает информацию о клиенте, включая имена пользователей, данные о компьютере, установленное антивирусное программное обеспечение и установленные криптовалютные кошельки.

По состоянию на начало 2023 года заражения AsyncRAT сохраняются и постоянно входят в десятку лучших еженедельных трендов вредоносного ПО. Динамические DNS-сервисы, такие как No-IP и DuckDNS, часто используются для сетевой инфраструктуры, что затрудняет обнаружение и блокировку вредоносной деятельности. В ходе недавних расследований мы обнаружили C&C-домены, зарегистрированные на No-IP и Dynu Systems, Inc, которые все разрешались на IP-адрес 185 . 150 . 25 . 181. Дальнейший анализ этого IP-адреса выявил связь с хостинг-провайдером Zap-Hosting.

Сценарий Webcentral.bat инициирует выполнение PowerShell сценария, расположенного по адресу C:\Users\Public\Webcentral.ps1 , который использует параметры -NoProfile , -WindowStyle Hidden , и -ExecutionPolicy Bypass . Hash.ps1 декодирует и загружает переносимые исполняемые файлы (PE), закодированные в msg.txt и runpe.txt, инициируя выполнение aspnet_compiler.exe. Этот код предназначен для внедрения вредоносного кода, что позволяет злоумышленникам выполнять дополнительный код в контексте легитимного процесса aspnet_compiler.exe.

Учитывая постоянный и развивающийся характер таких угроз, как AsyncRAT, важно внедрить надежные службы круглосуточного мониторинга, такие как MxDR, для проактивного обнаружения и предотвращения угроз. Кроме того, применение надежных мер защиты электронной почты может помочь в блокировании заражений AsyncRAT, доставляемых через спам. Мониторинг поведения и службы веб-репутации, а также ограничение или отключение выполнения сценариев VBScript и PowerShell для определенных пользователей - все это поможет ограничить возможности злоумышленников по использованию вредоносных сценариев. Такие меры помогут предотвратить вредоносную деятельность и минимизировать последствия заражения AsyncRAT.

#ParsedReport #CompletenessLow
14-12-2023

Routers Roasting on an Open Firewall: the KV-botnet Investigation

https://blog.lumen.com/routers-roasting-on-an-open-firewall-the-kv-botnet-investigation

Report completeness: Low

Actors/Campaigns:
Volt_typhoon (motivation: cyber_espionage)

Threats:
Kv-botnet
Beacon
Zuo_rat
Hiatusrat
Imminentmonitor_rat

Victims:
Internet service provider, two telecommunications firms, and a u.s. territorial government entity based in guam, us judicial organization and a us organization that manages a satellite-based network

Industry:
Government, Military, Energy, Telco, Iot

Geo:
Indo-pacific, Cameroon, China, Chinese, Guam, Asia

CVEs:
CVE-2022-27997 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


IOCs:
File: 2
IP: 5

Soft:
curl

Languages:
lua

Platforms:
mips, arm

Links:
https://github.com/blacklotuslabs/IOCs/blob/main/KVbotnet\_IOCs.txt

#ParsedReport #ExtractedSchema

Classified images:
schema: 4, dump: 2, chart: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: KV-botnet - это ботнет маршрутизаторов для малых и домашних офисов (SOHO), работающий на различных архитектурах, включая ARM, MIPS, MIPSEL, x86_64, i686, i486 и i386. Он связан с финансируемой государством группой угроз Volt Typhoon и был замечен в атаках на интернет-провайдера, две телекоммуникационные компании и территориальное правительственное учреждение США, расположенное на острове Гуам. Black Lotus Labs добавила IoC из этой кампании в базу данных угроз, которая используется в портфолио Lumen Connected Security.
-----

Команда Black Lotus Labs из Lumen Technologies отслеживает ботнет маршрутизаторов для малых и домашних офисов (SOHO) под названием KV-botnet. KV-ботнет активен с февраля 2022 года и связан со спонсируемой государством группой угроз Volt Typhoon, также известной как Bronze Silhouette, базирующейся в Китае. Они были замечены в атаках на интернет-провайдера, две телекоммуникационные компании и территориальное правительственное учреждение США, расположенное на острове Гуам. В августе 2023 года наблюдался заметный всплеск эксплуатации, и ботнет взаимодействовал с компанией по производству возобновляемых источников энергии, расположенной в Европе, до ноября 2023 года. К 5 декабря злоумышленник успешно заразил более 170 устройств ProSAFE.

Ботнет KV состоит из двух отдельных кластеров активности, кластеров JDY и KV. Кластер KV, по-видимому, предназначен для ручных операций против более ценных целей, отобранных компонентом JDY. Семейство вредоносных программ эффективно против целого ряда архитектур, включая ARM, MIPS, MIPSEL, x86_64, i686, i486 и i386. Он пытается замаскироваться, изменяя имя файла и название процесса, и следит за активными процессами, такими как busybox, wget, curl, tftp, telnetd и lua. Он добавляет в систему правила iptables и сигнализирует на IP и порт, указанные в начальном bash-скрипте. Всего в нем 21 команда, включая изменение имени файла, отправку информации о хосте, обновление порта прослушивания, выполнение команды и ответ с выводом, открытие оболочки bash, сброс бота с первоначально указанными IP/портом и отправку данных на другой IP и порт.

Ботнет состоит из одного восходящего узла, одного сервера обратного вызова, нескольких серверов полезной нагрузки первого этапа и нескольких прокси-серверов маршрутизаторов. Угрожающие субъекты, судя по всему, действуют в заданные временные рамки, запускают свои вредоносные двоичные файлы в памяти и удаляют все следы с диска. Lumen обнаружил исходящие соединения с серверов полезной нагрузки на маршрутизаторы Cisco по портам 443, 8080 и 8443. Зараженные боты маршрутизаторов Cisco были отмечены как интернет-сканеры. Связь между зараженными устройствами и различными C2 была замечена с использованием одних и тех же сертификатов X.509, а новый сертификат jdyfj впервые был обнаружен в данных сканирования 14 ноября. Между IP-адресами, связывающимися со старыми и новыми узлами, наблюдалось 87-процентное совпадение.

Кластер KV заразил устройства SOHO, связанные с несколькими дорогостоящими сетями, включая судебную организацию США и организацию, управляющую спутниковой сетью. В Интернете имеется большое количество устаревших и, как правило, считающихся отслужившими свой срок пограничных устройств, которые больше не могут получать исправления. Угрожающие субъекты действуют в определенные временные рамки, запускают свои вредоносные двоичные файлы в памяти и удаляют все следы с диска. Это затрудняет обнаружение, и повторные заражения происходят регулярно. Black Lotus Labs добавила IoC из этой кампании в базу данных угроз, которая служит основой для портфеля Lumen Connected Security.

5Ghoul : Unleashing Chaos on 5G Edge Devices

https://asset-group.github.io/disclosures/5ghoul/

#ParsedReport #CompletenessLow
15-12-2023

Analysis of attack cases that install scanner malware targeting Linux SSH servers

https://asec.ahnlab.com/ko/59860

Report completeness: Low

Threats:
Shellbot
Tsunami_botnet
Chinaz
Xmrig_miner
Sshbrute
Portscan_tool

Victims:
Linux ssh servers

Geo:
Japan

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1110, T1003, T1046

IOCs:
IP: 1
File: 5
Hash: 7
Url: 1

Algorithms:
md5

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Центр реагирования на чрезвычайные ситуации AhnLab Security Emergency Response Center (ASEC) недавно опубликовал в своем блоге статью с анализом вредоносных атак на неправильно управляемые серверы Linux SSH, которые включают в себя получение информации о цели, использование атак грубой силы для получения доступа, установку вредоносного ПО и продажу информации об атаках в темной паутине. Для защиты от этих атак администраторы должны использовать надежные пароли, которые часто меняются, устанавливать патчи до последней версии, использовать продукты безопасности, такие как брандмауэры, и обновлять V3 до последней версии.
-----

Центр реагирования на чрезвычайные ситуации AhnLab Security Emergency Response Center (ASEC) недавно опубликовал в своем блоге статью, в которой анализируются вредоносные атаки, направленные на неправильно управляемые серверы Linux SSH. Эти атаки предполагают получение информации о цели, такой как IP-адрес и учетные данные SSH, перед установкой вредоносного ПО, такого как DDoS-боты и CoinMiner. Для этого злоумышленники сначала сканируют IP-адрес на наличие открытого порта 22, то есть службы SSH, запущенной на сервере, а затем используют атаку грубой силы (или атаку по словарю) для получения доступа с использованием учетных данных ID/PW.

Получив доступ, злоумышленник может установить больше CoinMiner и DDoS-ботов и получить больше возможностей для добычи виртуальной валюты или проведения мощных DDoS-атак. Кроме того, IP-адрес и учетная информация цели атаки могут быть проданы в темной паутине. В таких случаях злоумышленники часто устанавливают ShellBot, DDoS Bot, XMRig Coin Miner и другие известные вредоносные программы в дополнение к сканеру портов и вредоносному ПО для атак по словарю SSH.

ID/PW, использованные в атаке, предположительно были созданы старой командой PRG, и злоумышленник немного изменил их для атаки. Для защиты от подобных атак администраторы должны использовать надежные пароли, которые часто меняются, и устанавливать патчи последних версий для предотвращения атак на уязвимости. Доступ злоумышленников также должен контролироваться с помощью таких средств безопасности, как брандмауэры для серверов, которые доступны внешнему миру. Кроме того, администраторы должны бдительно обновлять V3 до последней версии, чтобы заранее предотвратить заражение вредоносным ПО.

#ParsedReport #CompletenessMedium
15-12-2023

Opening a new front against DNS-based threats

https://decoded.avast.io/threatintel/opening-a-new-front-against-dns-based-threats

Report completeness: Medium

Threats:
Dns_tunneling_technique
Mitm_technique
Fastflux_technique
Vipersoftx
Venomsoftx
Darkgate
Dirtymoe
Crackonosh
Xmrig_miner
Disabling_antivirus_technique

Victims:
Avast users

Industry:
Telco

Geo:
Asia, Africa

ChatGPT TTPs:
do not use without manual check
T1036, T1090, T1071, T1573, T1575, T1546, T1102, T1566

IOCs:
IP: 1
Domain: 2
File: 3

Algorithms:
zip

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #CompletenessHigh
15-12-2023

OilRig s persistent attacks using cloud service-powered downloaders

https://www.welivesecurity.com/en/eset-research/oilrig-persistent-attacks-cloud-service-powered-downloaders

Report completeness: High

Actors/Campaigns:
Oilrig (motivation: cyber_espionage)
Outer_space
Siamesekitten (motivation: cyber_espionage)
Dnspionage

Threats:
Samplecheck5000
Oilbooster
Odagent
Oilcheck
Powerexchange
Danabot
Shark
Mango

Victims:
Targets in israel, specifically in the healthcare sector, a manufacturing company, a local governmental organization, and other organizations

Industry:
Government, Chemical, Energy, Telco, Healthcare, Financial

Geo:
Ukraine, Emirates, Israeli, Israel, Lebanon, Iran

TTPs:
Tactics: 7
Technics: 29

IOCs:
File: 6
Email: 3
Hash: 21
Domain: 1
IP: 1

Soft:
Outlook, Microsoft Office, Microsoft OneDrive, Office 365, Microsoft Exchange, Microsoft Office 365 Outlook, office365, OpenSSL, Microsoft Office 365

Algorithms:
xor, base64, gzip

Functions:
SetExtendedProperty, LinkSync

Win API:
ShowWindow, CreateProcessW

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, code: 8, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что OilRig, кибершпионская группировка из Ирана, переходит от протоколов на основе HTTP/DNS к использованию легитимных облачных провайдеров для C&C-коммуникаций в качестве способа скрыть вредоносные сообщения и замаскировать свою сетевую инфраструктуру.
-----

Исследователи ESET зафиксировали серию новых загрузчиков OilRig, использующих легитимных поставщиков облачных услуг для C&C-связи. Эти загрузчики нацелены на организации в сфере здравоохранения, производственную компанию, местную правительственную организацию и другие организации, расположенные в Израиле. Эти загрузчики использовались в нескольких кампаниях на протяжении 2022 года в рамках настойчивых попыток OilRig закрепиться во взломанных сетях.

OilRig - кибершпионская группа, действующая по меньшей мере с 2014 года и, как принято считать, базирующаяся в Иране. Ее целью являются правительства стран Ближнего Востока и различные бизнес-версии, включая химическую, энергетическую, финансовую и телекоммуникационную. Ранее она развернула кампании DNSpionage и HardPass в 2018-2020 годах, бэкдоры DanBot, Shark, Milan и Marlin в 2021 году, Solar и Mango в 2022-2023 годах, бэкдоры PowerExchange и MrPerfectionManager в 2023 году, а также SC5k (v1-v3), ODAgent, OilCheck и OilBooster.

В феврале 2022 года был обнаружен новый загрузчик OilRig, ODAgent. Этот загрузчик использует API Microsoft OneDrive для C&C-коммуникаций. Загрузчики используют "облачные" почтовые сервисы для C&C-коммуникаций, например загрузчик SampleCheck5000 (или SC5k), который использует API Microsoft Office EWS для взаимодействия с общей почтовой учетной записью Exchange. OilBooster, еще одна программа-загрузчик, использует Microsoft Graph API для доступа к общей учетной записи электронной почты Microsoft Office 365 Outlook и Microsoft Graph OneDrive API для доступа к общей учетной записи OneDrive для связи и эксфильтрации C&C.

OilRig переходит от протоколов на основе HTTP/DNS к использованию легитимных облачных провайдеров для сокрытия вредоносных сообщений и маскировки своей сетевой инфраструктуры. Все эти действия подтверждают постоянный переход на использование легитимных облачных провайдеров для связи с C&C, что позволяет скрыть вредоносную связь и замаскировать сетевую инфраструктуру группы. Постоянная разработка и тестирование новых вариантов, эксперименты с различными облачными сервисами и языками программирования, а также стремление снова и снова компрометировать одни и те же цели делают OilRig группой, за которой стоит следить.