#ParsedReport #CompletenessLow
14-12-2023

Routers Roasting on an Open Firewall: the KV-botnet Investigation

https://blog.lumen.com/routers-roasting-on-an-open-firewall-the-kv-botnet-investigation

Report completeness: Low

Actors/Campaigns:
Volt_typhoon (motivation: cyber_espionage)

Threats:
Kv-botnet
Beacon
Zuo_rat
Hiatusrat
Imminentmonitor_rat

Victims:
Internet service provider, two telecommunications firms, and a u.s. territorial government entity based in guam, us judicial organization and a us organization that manages a satellite-based network

Industry:
Government, Military, Energy, Telco, Iot

Geo:
Indo-pacific, Cameroon, China, Chinese, Guam, Asia

CVEs:
CVE-2022-27997 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


IOCs:
File: 2
IP: 5

Soft:
curl

Languages:
lua

Platforms:
mips, arm

Links:
https://github.com/blacklotuslabs/IOCs/blob/main/KVbotnet\_IOCs.txt

#ParsedReport #ExtractedSchema

Classified images:
schema: 4, dump: 2, chart: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: KV-botnet - это ботнет маршрутизаторов для малых и домашних офисов (SOHO), работающий на различных архитектурах, включая ARM, MIPS, MIPSEL, x86_64, i686, i486 и i386. Он связан с финансируемой государством группой угроз Volt Typhoon и был замечен в атаках на интернет-провайдера, две телекоммуникационные компании и территориальное правительственное учреждение США, расположенное на острове Гуам. Black Lotus Labs добавила IoC из этой кампании в базу данных угроз, которая используется в портфолио Lumen Connected Security.
-----

Команда Black Lotus Labs из Lumen Technologies отслеживает ботнет маршрутизаторов для малых и домашних офисов (SOHO) под названием KV-botnet. KV-ботнет активен с февраля 2022 года и связан со спонсируемой государством группой угроз Volt Typhoon, также известной как Bronze Silhouette, базирующейся в Китае. Они были замечены в атаках на интернет-провайдера, две телекоммуникационные компании и территориальное правительственное учреждение США, расположенное на острове Гуам. В августе 2023 года наблюдался заметный всплеск эксплуатации, и ботнет взаимодействовал с компанией по производству возобновляемых источников энергии, расположенной в Европе, до ноября 2023 года. К 5 декабря злоумышленник успешно заразил более 170 устройств ProSAFE.

Ботнет KV состоит из двух отдельных кластеров активности, кластеров JDY и KV. Кластер KV, по-видимому, предназначен для ручных операций против более ценных целей, отобранных компонентом JDY. Семейство вредоносных программ эффективно против целого ряда архитектур, включая ARM, MIPS, MIPSEL, x86_64, i686, i486 и i386. Он пытается замаскироваться, изменяя имя файла и название процесса, и следит за активными процессами, такими как busybox, wget, curl, tftp, telnetd и lua. Он добавляет в систему правила iptables и сигнализирует на IP и порт, указанные в начальном bash-скрипте. Всего в нем 21 команда, включая изменение имени файла, отправку информации о хосте, обновление порта прослушивания, выполнение команды и ответ с выводом, открытие оболочки bash, сброс бота с первоначально указанными IP/портом и отправку данных на другой IP и порт.

Ботнет состоит из одного восходящего узла, одного сервера обратного вызова, нескольких серверов полезной нагрузки первого этапа и нескольких прокси-серверов маршрутизаторов. Угрожающие субъекты, судя по всему, действуют в заданные временные рамки, запускают свои вредоносные двоичные файлы в памяти и удаляют все следы с диска. Lumen обнаружил исходящие соединения с серверов полезной нагрузки на маршрутизаторы Cisco по портам 443, 8080 и 8443. Зараженные боты маршрутизаторов Cisco были отмечены как интернет-сканеры. Связь между зараженными устройствами и различными C2 была замечена с использованием одних и тех же сертификатов X.509, а новый сертификат jdyfj впервые был обнаружен в данных сканирования 14 ноября. Между IP-адресами, связывающимися со старыми и новыми узлами, наблюдалось 87-процентное совпадение.

Кластер KV заразил устройства SOHO, связанные с несколькими дорогостоящими сетями, включая судебную организацию США и организацию, управляющую спутниковой сетью. В Интернете имеется большое количество устаревших и, как правило, считающихся отслужившими свой срок пограничных устройств, которые больше не могут получать исправления. Угрожающие субъекты действуют в определенные временные рамки, запускают свои вредоносные двоичные файлы в памяти и удаляют все следы с диска. Это затрудняет обнаружение, и повторные заражения происходят регулярно. Black Lotus Labs добавила IoC из этой кампании в базу данных угроз, которая служит основой для портфеля Lumen Connected Security.

5Ghoul : Unleashing Chaos on 5G Edge Devices

https://asset-group.github.io/disclosures/5ghoul/

#ParsedReport #CompletenessLow
15-12-2023

Analysis of attack cases that install scanner malware targeting Linux SSH servers

https://asec.ahnlab.com/ko/59860

Report completeness: Low

Threats:
Shellbot
Tsunami_botnet
Chinaz
Xmrig_miner
Sshbrute
Portscan_tool

Victims:
Linux ssh servers

Geo:
Japan

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1110, T1003, T1046

IOCs:
IP: 1
File: 5
Hash: 7
Url: 1

Algorithms:
md5

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Центр реагирования на чрезвычайные ситуации AhnLab Security Emergency Response Center (ASEC) недавно опубликовал в своем блоге статью с анализом вредоносных атак на неправильно управляемые серверы Linux SSH, которые включают в себя получение информации о цели, использование атак грубой силы для получения доступа, установку вредоносного ПО и продажу информации об атаках в темной паутине. Для защиты от этих атак администраторы должны использовать надежные пароли, которые часто меняются, устанавливать патчи до последней версии, использовать продукты безопасности, такие как брандмауэры, и обновлять V3 до последней версии.
-----

Центр реагирования на чрезвычайные ситуации AhnLab Security Emergency Response Center (ASEC) недавно опубликовал в своем блоге статью, в которой анализируются вредоносные атаки, направленные на неправильно управляемые серверы Linux SSH. Эти атаки предполагают получение информации о цели, такой как IP-адрес и учетные данные SSH, перед установкой вредоносного ПО, такого как DDoS-боты и CoinMiner. Для этого злоумышленники сначала сканируют IP-адрес на наличие открытого порта 22, то есть службы SSH, запущенной на сервере, а затем используют атаку грубой силы (или атаку по словарю) для получения доступа с использованием учетных данных ID/PW.

Получив доступ, злоумышленник может установить больше CoinMiner и DDoS-ботов и получить больше возможностей для добычи виртуальной валюты или проведения мощных DDoS-атак. Кроме того, IP-адрес и учетная информация цели атаки могут быть проданы в темной паутине. В таких случаях злоумышленники часто устанавливают ShellBot, DDoS Bot, XMRig Coin Miner и другие известные вредоносные программы в дополнение к сканеру портов и вредоносному ПО для атак по словарю SSH.

ID/PW, использованные в атаке, предположительно были созданы старой командой PRG, и злоумышленник немного изменил их для атаки. Для защиты от подобных атак администраторы должны использовать надежные пароли, которые часто меняются, и устанавливать патчи последних версий для предотвращения атак на уязвимости. Доступ злоумышленников также должен контролироваться с помощью таких средств безопасности, как брандмауэры для серверов, которые доступны внешнему миру. Кроме того, администраторы должны бдительно обновлять V3 до последней версии, чтобы заранее предотвратить заражение вредоносным ПО.

#ParsedReport #CompletenessMedium
15-12-2023

Opening a new front against DNS-based threats

https://decoded.avast.io/threatintel/opening-a-new-front-against-dns-based-threats

Report completeness: Medium

Threats:
Dns_tunneling_technique
Mitm_technique
Fastflux_technique
Vipersoftx
Venomsoftx
Darkgate
Dirtymoe
Crackonosh
Xmrig_miner
Disabling_antivirus_technique

Victims:
Avast users

Industry:
Telco

Geo:
Asia, Africa

ChatGPT TTPs:
do not use without manual check
T1036, T1090, T1071, T1573, T1575, T1546, T1102, T1566

IOCs:
IP: 1
Domain: 2
File: 3

Algorithms:
zip

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #CompletenessHigh
15-12-2023

OilRig s persistent attacks using cloud service-powered downloaders

https://www.welivesecurity.com/en/eset-research/oilrig-persistent-attacks-cloud-service-powered-downloaders

Report completeness: High

Actors/Campaigns:
Oilrig (motivation: cyber_espionage)
Outer_space
Siamesekitten (motivation: cyber_espionage)
Dnspionage

Threats:
Samplecheck5000
Oilbooster
Odagent
Oilcheck
Powerexchange
Danabot
Shark
Mango

Victims:
Targets in israel, specifically in the healthcare sector, a manufacturing company, a local governmental organization, and other organizations

Industry:
Government, Chemical, Energy, Telco, Healthcare, Financial

Geo:
Ukraine, Emirates, Israeli, Israel, Lebanon, Iran

TTPs:
Tactics: 7
Technics: 29

IOCs:
File: 6
Email: 3
Hash: 21
Domain: 1
IP: 1

Soft:
Outlook, Microsoft Office, Microsoft OneDrive, Office 365, Microsoft Exchange, Microsoft Office 365 Outlook, office365, OpenSSL, Microsoft Office 365

Algorithms:
xor, base64, gzip

Functions:
SetExtendedProperty, LinkSync

Win API:
ShowWindow, CreateProcessW

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, code: 8, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что OilRig, кибершпионская группировка из Ирана, переходит от протоколов на основе HTTP/DNS к использованию легитимных облачных провайдеров для C&C-коммуникаций в качестве способа скрыть вредоносные сообщения и замаскировать свою сетевую инфраструктуру.
-----

Исследователи ESET зафиксировали серию новых загрузчиков OilRig, использующих легитимных поставщиков облачных услуг для C&C-связи. Эти загрузчики нацелены на организации в сфере здравоохранения, производственную компанию, местную правительственную организацию и другие организации, расположенные в Израиле. Эти загрузчики использовались в нескольких кампаниях на протяжении 2022 года в рамках настойчивых попыток OilRig закрепиться во взломанных сетях.

OilRig - кибершпионская группа, действующая по меньшей мере с 2014 года и, как принято считать, базирующаяся в Иране. Ее целью являются правительства стран Ближнего Востока и различные бизнес-версии, включая химическую, энергетическую, финансовую и телекоммуникационную. Ранее она развернула кампании DNSpionage и HardPass в 2018-2020 годах, бэкдоры DanBot, Shark, Milan и Marlin в 2021 году, Solar и Mango в 2022-2023 годах, бэкдоры PowerExchange и MrPerfectionManager в 2023 году, а также SC5k (v1-v3), ODAgent, OilCheck и OilBooster.

В феврале 2022 года был обнаружен новый загрузчик OilRig, ODAgent. Этот загрузчик использует API Microsoft OneDrive для C&C-коммуникаций. Загрузчики используют "облачные" почтовые сервисы для C&C-коммуникаций, например загрузчик SampleCheck5000 (или SC5k), который использует API Microsoft Office EWS для взаимодействия с общей почтовой учетной записью Exchange. OilBooster, еще одна программа-загрузчик, использует Microsoft Graph API для доступа к общей учетной записи электронной почты Microsoft Office 365 Outlook и Microsoft Graph OneDrive API для доступа к общей учетной записи OneDrive для связи и эксфильтрации C&C.

OilRig переходит от протоколов на основе HTTP/DNS к использованию легитимных облачных провайдеров для сокрытия вредоносных сообщений и маскировки своей сетевой инфраструктуры. Все эти действия подтверждают постоянный переход на использование легитимных облачных провайдеров для связи с C&C, что позволяет скрыть вредоносную связь и замаскировать сетевую инфраструктуру группы. Постоянная разработка и тестирование новых вариантов, эксперименты с различными облачными сервисами и языками программирования, а также стремление снова и снова компрометировать одни и те же цели делают OilRig группой, за которой стоит следить.

#ParsedReport #CompletenessLow
14-12-2023

Unveiling NKAbuse: a new multiplatform threat abusing the NKN protocol

https://securelist.com/unveiling-nkabuse/111512

Report completeness: Low

Threats:
Nkabuse
Flooder

Industry:
Financial, Iot

Geo:
Mexico, Colombia, Vietnam

CVEs:
CVE-2017-5638 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 10
X-Force: Patch: Official fix
Soft:
- apache struts (2.3.5, 2.3.28, 2.3.20.2, 2.3.15, 2.3.25, 2.3.14, 2.3.13, 2.3.16, 2.3.24.2, 2.3.17, 2.3.24.1, 2.3.22, 2.3.9, 2.3.16.3, 2.3.23, 2.3.6, 2.3.24.3, 2.3.15.2, 2.3.29, 2.3.14.3, 2.3.19, 2.3.20.1, 2.3.8, 2.3.30, 2.3.7, 2.3.24, 2.3.28.1, 2.3.14.2, 2.3.20.3, 2.3.10, 2.3.15.1, 2.3.16.2, 2.3.26, 2.3.12, 2.3.27, 2.3.31, 2.3.21, 2.3.20, 2.3.11, 2.3.15.3, 2.3.16.1, 2.3.14.1, 2.5.9, 2.5.2, 2.5.10, 2.5.6, 2.5.1, 2.5.4, 2.5.7, 2.5, 2.5.5, 2.5.3, 2.5.8)


IOCs:
File: 1
Hash: 1

Soft:
Apache Struts2, crontab

Algorithms:
md5

Languages:
java

Platforms:
arm, mips, cross-platform, amd64

Links:
https://github.com/vulhub/vulhub/blob/master/struts2/s2-048/README.md

#ParsedReport #ExtractedSchema

Classified images:
code: 2, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Специалисты Глобальной группы реагирования на чрезвычайные ситуации Касперского (GERT) и GReAT выявили новую мультиплатформенную угрозу под названием NKAbuse, которая написана на языке Go и нацелена в первую очередь на настольные компьютеры Linux, но также может поражать IoT-устройства и MISP-системы. Она использует публичный протокол блокчейна NKN и обладает целым рядом возможностей, таких как флуд и бэкдор-доступ. Его отличительной особенностью является то, что он использует технологию blockchain для обеспечения надежности и анонимности.
-----

Специалисты Глобальной группы реагирования на чрезвычайные ситуации Касперского (GERT) и GReAT обнаружили новую мультиплатформенную угрозу под названием NKAbuse. Написанный на языке Go, зловред способен генерировать двоичные файлы, совместимые с различными архитектурами, и в первую очередь нацелен на настольные компьютеры Linux, хотя может также поражать IoT-устройства и MISP-системы. Вредоносная программа проникает в системы, загружая на хост жертвы имплант, который сохраняется с помощью задания cron и устанавливается в домашнюю папку хоста.

Анализ показывает, что это вредоносное ПО, скорее всего, использовалось для эксплуатации старой уязвимости, связанной с Struts2 (CVE-2017-5638 Apache Struts2), для атаки на финансовую организацию. Первоначальная атака осуществляется путем выполнения удаленного сценария оболочки, который загружает и выполняет содержимое сценария оболочки setup.sh, размещенного злоумышленником удаленно. Процесс установки проверяет тип ОС и загружает соответствующий вредоносный имплант для целевой архитектуры.

NKAbuse использует публичный протокол блокчейна NKN для осуществления своих атак и работы в качестве бэкдора в системах Linux. Он обладает широким спектром возможностей, таких как флуд и бэкдорный доступ к удаленному администрированию (RAT). Он также способен делать скриншоты зараженной машины и создавать файлы с определенным содержимым, удалять файлы из файловой системы и получать список файлов по определенному пути. Он может получить список процессов, запущенных в системе, и даже подробный список доступных сетевых интерфейсов. Кроме того, он может выполнять системные команды от имени текущего пользователя и отправлять результаты бот-мастеру.

Эта вредоносная программа отличается тем, что использует технологию блокчейн для обеспечения надежности и анонимности, что позволяет ей постоянно расширяться с течением времени без видимого центрального контроллера. Несмотря на отсутствие функции самораспространения, жертвы были обнаружены в Колумбии, Мексике и Вьетнаме. Все продукты Касперского обнаруживают эту угрозу как HEUR:Backdoor.Linux.NKAbuse.a, а пользователи закрытых отчетов Касперского Threat Intelligence Reports могут получить доступ к более подробному анализу последних версий NKAbuse.

#ParsedReport #CompletenessHigh
14-12-2023

TeamCity Intrusion Saga: APT29 Suspected Among the Attackers Exploiting CVE-2023-42793

https://www.fortinet.com/blog/threat-research/teamcity-intrusion-saga-apt29-suspected-exploiting-cve-2023-42793

Report completeness: High

Actors/Campaigns:
Duke
Backchannel_diplomacy
Bluebravo

Threats:
Graphicalproton
Netstat_tool
Opendir
Credential_dumping_technique
Mimikatz_tool
Ollydbg_tool
Phonzy
Anydesk_tool

Victims:
Us-based organization in the biomedical manufacturing industry

Industry:
Biotechnology, Education

CVEs:
CVE-2023-42793 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- jetbrains teamcity (<2023.05.4)


TTPs:
Tactics: 8
Technics: 22

IOCs:
File: 23
IP: 18
Command: 11
Path: 7
Url: 6
Domain: 5
Hash: 24
Registry: 3
Email: 1

Soft:
TeamCity, JetBrains TeamCity, JetBrains, curl, active directory, Microsoft Defender, Microsoft OneDrive, Windows Defender, Windows Task Scheduler

Algorithms:
sha1

Win API:
driveType, NtQueryObject

Win Services:
WebClient

Languages:
java, python, powershell

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Компания, занимающаяся производством биомедицинских изделий, была взломана в результате эксплуатации уязвимости TeamCity, при этом злоумышленники использовали Nuclei, эхо-команды и вредоносное ПО GraphicalProton. Команда безопасности жертвы смогла выполнить действия по сдерживанию и устранению последствий, чтобы остановить атаку.
-----

6 сентября 2023 года исследователи из Sonar обнаружили критическую уязвимость TeamCity On-Premises (CVE-2023-42793) с CVE-баллом 9.8. Эта уязвимость была добавлена в CISA's 'Known Exploited Vulnerabilities Catalog' 4 октября, а 27 сентября публичный эксплойт для этой уязвимости был выпущен компанией Rapid7. Это побудило команду FortiGuard Incident Response (IR) отправить вежливое уведомление организации, которая была скомпрометирована из-за этой уязвимости.

Пострадавшей организацией была американская компания по производству биомедицинских изделий, и первоначальный доступ к ней был получен в результате эксплуатации уязвимости CVE-2023-42793 TeamCity с помощью специально разработанного скрипта эксплойта, написанного на языке Python. Постэксплоит выявил наличие вредоносного ПО GraphicalProton, используемого APT29. Команда IR обнаружила шаблон Nuclei (CVE-2023-42793.yaml), предназначенный для выявления наличия уязвимости TeamCity, в официальном репозитории шаблонов Nuclei, что указывает на использование злоумышленниками сканера уязвимостей Nuclei с открытым исходным кодом.

Первым действием, приписываемым основному субъекту угрозы, было выполнение команды echo, что указывает на возможность использования Nuclei для идентификации потенциальных жертв. Последующие команды использовались для сбора информации о системе и привилегиях, а для доступа в среду второй жертвы был установлен SSH-сертификат. Основной участник угрозы также попытался загрузить вредоносный DLL-файл 'AclNumsInvertHost.dll.', который соответствовал правилу Yara для известного семейства вредоносных программ под названием 'GraphicalProton'. Злоумышленники использовали несколько легитимных программ и применяли различные техники латерального перемещения, такие как создание RDP-соединения и сброс учетных данных активной директории. Для поддержания устойчивости вредоносные файлы создавались с помощью запланированных задач.

Команда безопасности жертвы смогла выполнить действия по сдерживанию и устранению последствий, и в дальнейшем вредоносная активность не наблюдалась. Отдельный участник угрозы также попытался загрузить и выполнить исполняемый файл из ведра Amazon S3 и установил на HOST_1_TEAMCITY легитимное программное обеспечение для удаленного доступа AnyDesk с автозапуском при загрузке и включенным параметром --silent. Затем угрожающий агент установил пароль на AnyDesk и выполнил его с параметром --get-id' для получения идентификатора AnyDesk.