#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Компания Mandiant выявила вредоносную рекламную кампанию, использующую невостребованные средства в качестве темы для заманивания жертв на загрузку вредоносного ПО, и приняла меры по защите пользователей в экосистеме Google с помощью своей команды по поиску угроз Managed Defense.
-----

Компания Mandiant обнаружила вредоносную рекламную кампанию, использующую тему невостребованных средств для заманивания жертв на загрузку вредоносного ПО. Вредоносное ПО включает бэкдоры DANABOT и DARKGATE, программы-загрузчики PAPERDROP и PAPERTEAR, двоичные файлы cURL, файлы .msi, исполняемые файлы AutoIt и вредоносные скрипты AutoIt. Эти вредоносные субъекты используют гранулярный контроль, чтобы нацелиться на определенную аудиторию, и были замечены в результатах поисковых систем, сообщениях в социальных сетях, рекламных платформах Microsoft и Google.

Первая цепочка заражения начинается со сценария Visual Basic, который запускает событие выполнения процесса и создает путь к временной папке. Затем загрузчик PAPERDROP подключается к IP-адресу через порт 443 и запускает приложение msiexec. Это приложение запускает процесс установки, который, в свою очередь, выполняет команду rundll32.exe. Зараженный процесс rundll32.exe связывается с двумя IP-адресами и создает службу Windows для постоянного выполнения.

Вторая цепочка заражения начинается с загрузчика PAPERTEAR, который выполняет HTTP POST-запрос к хосту. Затем он запускает командную оболочку Windows Command Shell, используя расширенный однострочный запрос. Это приводит к развертыванию полезной нагрузки DARKGATE, которая подделывает внешний вид приложения Cisco Umbrella Roaming и Box Edit.

Google принял меры против этих вредоносных рекламодателей, удалив более аккаунтов рекламодателей в 2022 году. Компания Mandiant отреагировала на это, создав команду по поиску угроз Managed Defense, которая выявляет поведение, связанное с участниками угроз и компрометацией конечных точек. Они создали дополнительные сигнатуры, чтобы быстрее выявлять будущую активность, и предоставляют информацию о субъектах угроз и их деятельности через Mandiant Advantage.

Вредоносная реклама становится все более серьезной проблемой: компания Mandiant отмечает увеличение числа расследований, связанных с вредоносной рекламой, с 2022 по 2023 год. Поэтому важно сохранять бдительность и принимать превентивные меры для защиты пользователей в экосистеме Google. Возможности Mandiant по поиску угроз могут обеспечить своевременную и эффективную защиту от вредоносных рекламных кампаний.

#ParsedReport #CompletenessMedium
14-12-2023

Ace in the Hole: exposing GambleForce, an SQL injection gang

https://www.group-ib.com/blog/gambleforce-gang

Report completeness: Medium

Actors/Campaigns:
Gambleforce
Winnti

Threats:
Cobalt_strike
Supershell

Victims:
Companies in the apac region

Industry:
Retail, Government

Geo:
Asia-pacific, Korea, Apac, India, Thailand, Brazil, Budapest, Australia, Philippines, China, Indonesia, Chinese

CVEs:
CVE-2023-23752 [Vulners]
CVSS V3.1: 5.3,
Vulners: Exploitation: Unknown
X-Force: Risk: 7.5
X-Force: Patch: Official fix
Soft:
- joomla joomla\! (le4.2.7)


IOCs:
Url: 1
Domain: 3
IP: 2
File: 1

Soft:
Tinyproxy, Joomla

Algorithms:
base64

#ParsedReport #ExtractedSchema

Classified images:
windows: 2, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что GambleForce - это киберпреступная группа, которая атаковала более 20 веб-сайтов в Азиатско-Тихоокеанском регионе и использует набор общедоступных инструментов с открытым исходным кодом для проведения атак. Подразделение аналитики угроз Group-IB ведет мониторинг этой группы, и корпоративные команды кибербезопасности должны знать о тактике и инструментах, используемых злоумышленниками, чтобы защититься от атак с использованием SQL-инъекций.
-----

GambleForce - киберпреступная группировка, действующая с середины сентября 2023 года и атаковавшая более 20 веб-сайтов в нескольких странах Азиатско-Тихоокеанского региона. Группа успешно атаковала 6 компаний, используя базовые методы атак, такие как SQL-инъекции, и была идентифицирована подразделением аналитики угроз Group-IB.

GambleForce использует набор общедоступных инструментов с открытым исходным кодом для пентестинга, таких как dirsearch, redis-rogue-getshell, Tinyproxy, sqlmap и Cobalt Strike. В одной из атак в Бразилии они попытались использовать CVE-2023-23752, уязвимость в CMS Joomla, но не смогли извлечь никаких данных. Group-IB уничтожила C&C банды и отправила уведомления выявленным жертвам.

Sqlmap может быть особенно опасен, поскольку с его помощью можно загрузить на серверы дополнительное вредоносное ПО, что позволит злоумышленникам двигаться в боковом направлении. Эта тактика была замечена подразделением аналитики угроз Group-IB в инциденте с участием APT41. GambleForce также изменяет настройки Cobalt Strike в своих интересах, используя командный сервер и слушателей с самоподписанными SSL-сертификатами для имитации Microsec e-Szigno Root CA и Cloudflare.

Специалисты подразделения аналитики угроз Group-IB считают, что группа может восстановить свою инфраструктуру в ближайшее время, и продолжают следить за ее активностью. Корпоративным службам кибербезопасности необходимо знать об этой тактике и инструментах с открытым исходным кодом, используемых злоумышленниками, чтобы лучше защищаться от атак с использованием SQL-инъекций.

#ParsedReport #CompletenessMedium
14-12-2023

Rhadamanthys v0.5.0 a deep dive into the stealers components. IOC/Analyzed samples

https://research.checkpoint.com/2023/rhadamanthys-v0-5-0-a-deep-dive-into-the-stealers-components

Report completeness: Medium

Threats:
Rhadamanthys
Hidden_bee
Heavens_gate_technique
Process_injection_technique
Teamviewer_tool
Putty_tool
Infostealer.wins

Geo:
Chinese

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1090, T1036, T1137, T1003, T1056, T1053, T1082, T1086, T1115, T1071, have more...

IOCs:
Hash: 20
File: 40
Path: 4

Soft:
Telegram, Discord, Chrome, KeePass, WinSCP, K-Meleon, FoxMail, Internet Explorer, CoreFTP, 360Browser, have more...

Wallets:
tronlink, tokenpocket, kardiachain, terra_station, metamask, dashcore, atomicdex, atomicwallet, bitcoincore, defichain-electrum, have more...

Crypto:
binance, dogecoin, monero

Algorithms:
rc4, sha1, aes, zip

Win API:
WaitForSingleObject, CloseHandle, VirtualAlloc, VirtualFree, VirtualProtect, HeapFree, HeapDestroy, LocalAlloc, LocalFree, TlsAlloc, have more...

Languages:
dotnet, jscript, lua, powershell

Platforms:
x64, x86, amd64

Links:
https://github.com/mandiant/flare-floss
https://github.com/hayasec/360SafeBrowsergetpass/blob/main/3Bpass/Program.cs
https://github.com/hasherezade/hidden\_bee\_tools/releases/
https://gist.github.com/hasherezade/ac63c0cbe7855276780126be006f7304
https://github.com/hasherezade/hidden\_bee\_tools/blob/17ed1f325b0918fc5e6c6cf0221e7b10084f67ea/bee\_lvl2\_converter/xs\_exe.h#L86
https://gist.github.com/hasherezade/c7701821784c436d40d1442c1a623614
https://github.com/hasherezade/pe-sieve
https://github.com/DaveGamble/cJSON
https://gist.github.com/hasherezade/51cb827b101cd31ef3061543d001b190
https://gist.github.com/hasherezade/47fa641d054d82de4059ff36c7e99918
https://gist.github.com/hasherezade/fb91598f6de62bdecf06edf9606a54fb
https://github.com/ARMmbed/mbed-crypto/blob/8cc246c6d33a139914d3070c6cf630aea6806aa4/library/ecp\_curves.c#L686C48-L686C80
https://github.com/ARMmbed/mbed-crypto/blob/development/library/ecp\_curves.c#L737
https://github.com/Mbed-TLS/mbedtls
https://github.com/hasherezade/tiny\_tracer

#ParsedReport #ExtractedSchema

Classified images:
code: 37, schema: 3, dump: 9, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Rhadamanthys - это мощная и опасная вредоносная программа, продающаяся на черном рынке, которая регулярно обновляется и обладает функциями, позволяющими красть данные с зараженных машин. Он способен запускать LUA-скрипты, сценарии PowerShell и сборки .NET, а также имеет систему плагинов. Он включает в себя коллекцию встроенных похитителей и поддерживает до 100 LUA-расширений. Кроме того, он включает статически подключаемую библиотеку для SQLite и использует статически подключаемую библиотеку с эллиптическими кривыми.
-----

Rhadamanthys - это сложная и постоянно развивающаяся многоуровневая вредоносная программа, которая продается на черном рынке и часто обновляется. В недавно выпущенной версии 0.5.0 расширены возможности кражи и добавлены функции шпионажа общего назначения. Кроме того, в ней реализована система плагинов, позволяющая расширить ее возможности в соответствии с потребностями конкретного распространителя. Он способен запускать LUA-скрипты, PowerShell-скрипты и сборки .NET. Он также оснащен модулями для поддержки вторичной разработки пользовательских плагинов. В зависимости от команды, передаваемой с C2, вредоносная программа может выдавать себя за несколько приложений.

Вредоносная программа использует пользовательские форматы исполняемых файлов (XS1 и XS2) и проверяет имя исполняемого файла, чтобы убедиться, что он анализируется, и в случае положительного ответа выходит из программы. Добавляется новый раздел .textbss, который во время выполнения заполняется шеллкодом, используемым для распаковки и загрузки первого модуля из пакета. В функции инициализации сначала выделяется TLS, а значение, полученное от TlsAlloc, сохраняется в глобальной переменной. Затем вредоносная программа выделяет пользовательскую структуру с буфером и присоединяет ее к TLS. Алгоритмы, используемые для деобфускации строк, отличаются на разных этапах работы вредоносной программы.

Роль модулей, задействованных в Stage 2, не изменилась с момента выхода предыдущей версии. Операцию загрузки выполняет модуль netclient, а вредоносная программа внедряется во вновь созданный процесс. В зависимости от аргумента команды модуль может следовать одному из 4 различных путей выполнения. Вредоносная программа создает новый 64-битный процесс и использует технику Heaven's Gate для внедрения функций. Первым элементом, загружаемым из нового пакета, является шеллкод, который расшифровывает и распаковывает остальную часть загруженного пакета и извлекает главный модуль кражи. В конце концов, выполнение достигает главного модуля похитителя: coredll.bin (в формате XS2). Он координирует всю работу, собирает результаты и сообщает их C2.

Вредоносная программа поставляется с набором встроенных краж, которые могут быть включены или отключены в зависимости от конфигурации. Существуют две различные группы похитителей: пассивные и активные. Пассивные крадуны для получения сохраненных учетных данных используют чтение и разбор файлов, принадлежащих определенным приложениям. Активные похитители открывают запущенные процессы и внедряют дополнительные компоненты, такие как KeePassHax.dll, в процесс KeePass, чтобы украсть учетные данные из этого менеджера паролей с открытым исходным кодом. Кроме того, вредоносная программа поддерживает до 100 LUA-расширений, которые загружаются из пакета и используются для выполнения дополнительного набора крадников.

Помимо запуска модулей, встроенных в пакет, и отправки результатов, вредоносная программа устанавливает соединение с C2 для получения дополнительных инструкций. По запросу он может подбрасывать и запускать дополнительные исполняемые файлы или выполнять скрипты через другие модули. Содержимое, полученное от C2, передается в переменную и, в зависимости от специфики конкретной команды, может быть сохранено в файл или в именованное отображение.

#ParsedReport #CompletenessMedium
15-12-2023

PikaBot distributed via malicious search ads

https://www.malwarebytes.com/blog/threat-intelligence/2023/12/pikabot-distributed-via-malicious-ads

Report completeness: Medium

Actors/Campaigns:
Ta577

Threats:
Pikabot
Fakebat
Qakbot
Matanbuchus
Cobalt_strike
Icedid
Systembc
Darkgate
Anydesk_tool

Victims:
Businesses, victims of malspam campaigns, users tricked to download malicious javascript, users exposed to malicious ads

IOCs:
Path: 2
Url: 1
File: 1
Domain: 3
Hash: 3
IP: 9

Soft:
curl, Zoom, Slack

Algorithms:
zip

Languages:
javascript

#ParsedReport #ExtractedSchema

Classified images:
windows: 3, schema: 1, table: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Вредоносные рекламные объявления, в частности вредоносная программа PikaBot, все чаще используются для атак на предприятия через поисковые системы, что затрудняет их обнаружение и предотвращение.
-----

В последний год вредоносная реклама (malvertising) все чаще используется для распространения вредоносных программ, нацеленных на бизнес, особенно через поисковые системы. Эта форма браузерных атак очень успешна благодаря специализированным сервисам, которые помогают распространителям и филиалам вредоносного ПО обходить меры безопасности Google, создавать приманки и приобретать новых жертв. Недавно исследователи заметили, что PikaBot, новое семейство вредоносных программ, распространяется через цепочки вредоносной рекламы, ранее использовавшиеся для распространения FakeBat.

PikaBot связан с агентом угроз, известным как TA577, который был связан с распространением других полезных нагрузок, таких как QakBot, IcedID, SystemBC и Cobalt Strike, а также программ-вымогателей. Обычно он распространяется через кампании вредоносного спама и начинается с перехваченного потока сообщений электронной почты, содержащего ссылку на внешний веб-сайт. После того как пользователи переходят по ссылке, их обманом заставляют загрузить zip-архив, содержащий вредоносный JavaScript. Этот JavaScript создает произвольную структуру каталогов, в которой с помощью утилиты curl извлекает вредоносную полезную нагрузку с внешнего веб-сайта.

Загрузчик PikaBot скрывает свою инъекцию в легитимный процесс SearchProtocolHost.exe, используя косвенные вызовы системы, что делает вредоносную программу очень скрытной. Кроме того, кампания нацелена на поиск в Google удаленного приложения AnyDesk и выдает себя за бренд AnyDesk, используя поддельную личность по имени Manca Marina. Угрожающие лица с помощью JavaScript определяют, запущена ли у пользователя виртуальная машина, а затем перенаправляют его на главную целевую страницу (ложный сайт AnyDesk).

Используя поисковые системы и покупая рекламу, злоумышленники могут достигать своих целей, не требуя от них посещения взломанного сайта. Это представляет собой серьезный риск для предприятий, поскольку его трудно обнаружить и предотвратить. Чтобы защититься от таких атак, компаниям следует разрешать конечным пользователям устанавливать приложения только через собственные доверенные репозитории. Malwarebytes обнаружила вредоносные программы установки MSI, а также веб-инфраструктуру, используемую в этих рекламных кампаниях, и сообщила о вредоносной рекламе и URL-адресах загрузки в Google и Dropbox соответственно.

#ParsedReport #CompletenessHigh
15-12-2023

From Macro to Payload: Decrypting the Sidewinder Cyber Intrusion Tactics

https://www.cyfirma.com/outofband/from-macro-to-payload-decrypting-the-sidewinder-cyber-intrusion-tactics

Report completeness: High

Actors/Campaigns:
Sidewinder
Diamondback
Babyelephant

Threats:
Spear-phishing_technique
Metasploit_tool
Powershell_shell_tool
Thor

Victims:
Nepalese government officials

Industry:
Government, Telco, Education, Healthcare, Military

Geo:
Bhutan, Asia, Asian, Italy, Nepal

TTPs:
Tactics: 1
Technics: 3

IOCs:
File: 60
IP: 1
Url: 4
Hash: 4
Command: 1
Path: 1

Soft:
Microsoft Word

Algorithms:
sha256, exhibit, md5, zip

Win API:
GetObject

Languages:
swift, cscript

Platforms:
x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: В этом отчете подробно рассматривается сложная киберугроза, организованная группой Sidewinder. Атака начинается с вредоносного документа Word, который при открытии запускает сложную последовательность событий, включающую создание и выполнение различных скриптов и создание механизмов персистентности. Основной полезной нагрузкой является Conhost.exe, который служит шлюзом для несанкционированного доступа, подключаясь к командно-контрольному (C2) серверу противника. Вредоносный документ, а также бэкдор Nim в качестве конечной полезной нагрузки приписываются группе Sidewinder, и их деятельность можно проследить с 2012 года.
-----

Группа Sidewinder - это изощренный субъект киберугроз, происходящий из Южной Азии.

Группа атаковала различные государственные структуры Южной Азии, распространяя вредоносные документы, замаскированные под сообщения из офиса премьер-министра Непала.

Вредоносный документ при открытии запускает сложную последовательность событий, включающую создание и выполнение различных скриптов, а также создание механизмов персистенции.

Основной полезной нагрузкой является файл Conhost.exe, служащий шлюзом для несанкционированного доступа и подключающийся к командно-контрольному (C2) серверу противника.

Вредоносная программа имеет механизм проактивной защиты, который обнаруживает и выходит из системы при обнаружении инструментов анализа.

Группа Sidewinder действует с 2012 года и обычно совершает атаки на правительственные и военные организации.

MongoDB compromised

#ParsedReport #CompletenessLow
16-12-2023

Imperva Detects Undocumented 8220 Gang Activities

https://www.imperva.com/blog/imperva-detects-undocumented-8220-gang-activities

Report completeness: Low

Actors/Campaigns:
8220_gang

Threats:
Log4shell_vuln
Agent_tesla

Victims:
Healthcare, telecommunications, and financial services targets in the united states, south africa, spain, columbia, and mexico

Industry:
Telco, Financial, Healthcare

Geo:
Chinese, Spain, Russia, Columbia, Mexico, Africa

CVEs:
CVE-2021-26084 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- atlassian confluence server (<7.12.5, <7.4.11, <7.11.6, <6.13.23)
- atlassian confluence data center (<7.12.5, <7.11.6, <7.4.11, <6.13.23)

CVE-2019-2725 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- oracle weblogic server (12.1.3.0.0, 10.3.6.0.0)
- oracle peoplesoft enterprise peopletools (8.56, 8.57, 8.58)
- oracle agile plm (9.3.3, 9.3.4, 9.3.5)
- oracle vm virtualbox (<6.1.2, <6.0.16, <5.2.36)
- oracle tape library acsls (8.5)
have more...
CVE-2021-44228 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 10
X-Force: Patch: Official fix
Soft:
- apache log4j (2.0, <2.15.0, <2.3.1, <2.12.2)
- siemens sppa-t3000 ses3000 firmware (*)
- siemens logo\! soft comfort (*)
- siemens spectrum power 4 (4.70)
- siemens siveillance control pro (*)
have more...
CVE-2017-3506 [Vulners]
CVSS V3.1: 7.4,
Vulners: Exploitation: Unknown
X-Force: Risk: 7.4
X-Force: Patch: Official fix
Soft:
- oracle weblogic server (12.2.1.0.0, 12.1.3.0.0, 12.2.1.2.0, 10.3.6.0.0, 12.2.1.1.0)

CVE-2020-14882 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- oracle weblogic server (12.1.3.0.0, 10.3.6.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0)

CVE-2020-14883 [Vulners]
CVSS V3.1: 7.2,
Vulners: Exploitation: True
X-Force: Risk: 7.2
X-Force: Patch: Official fix
Soft:
- oracle weblogic server (12.1.3.0.0, 10.3.6.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0)

CVE-2022-26134 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- atlassian confluence data center (7.18.0, <7.17.4, <7.16.4, <7.15.2, <7.14.3, <7.13.7, <7.4.17)
- atlassian confluence server (7.18.0, <7.17.4, <7.16.4, <7.15.2, <7.14.3, <7.13.7, <7.4.17)


Soft:
Drupal, Hadoop, Apache Struts2, Confluence, Oracle WebLogic Server, cURL, Apache Log4j

Algorithms:
base64

Win Services:
WebClient

Languages:
java, powershell, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Банда 8220 - известный угрожающий агент китайского происхождения, использующий общедоступные эксплойты для уязвимостей, чтобы эксплуатировать легкие цели, и известный своими вариантами вредоносного ПО AgentTesla, rhajk и nasqa. Они были замечены в использовании двух различных цепочек гаджетов и разнообразных методов загрузки и выполнения файлов второй фазы. Атрибуция группы облегчается благодаря постоянному использованию ими IoC и TTP, а также их привычке повторно использовать IP-адреса, веб-серверы, полезную нагрузку и инструменты атаки.
-----

Банда 8220 - это известный угрожающий агент китайского происхождения, впервые выявленный Cisco Talos в 2017 году. С тех пор появилось множество обновлений о развивающихся тактиках, методах и процедурах (TTP) группы. Imperva Threat Research обнаружила ранее незадокументированную активность группы, включая эксплуатацию уязвимостей Confluence и Log4j, а также уязвимостей Oracle WebLogic CVE-2017-3506 и CVE-2020-14883. Группа, судя по всему, выбирает цели оппортунистически, без четкой тенденции по странам или отраслям, и известно, что она использует вредоносное ПО для криптоджекинга как для веб-серверов Windows, так и для Linux.

Imperva заметила, что группа использует две различные цепочки гаджетов, которые позволяют загрузить XML-файл или выполнить Java-код. Группа также использует различные методы для загрузки и выполнения файлов второй фазы, такие как cURL, wget, lwp-download и python urllib (в кодировке base64). После заражения хосты инфицируются известными вариантами вредоносного ПО AgentTesla, rhajk и nasqa.

Группу считают неискушенной, поскольку она использует простые, общедоступные эксплойты для борьбы с известными уязвимостями и эксплуатации легких целей. Однако постоянное использование ими легко отслеживаемых индикаторов компрометации (IoC) и TTP, а также их привычка повторять IP-адреса, веб-серверы, полезную нагрузку и инструменты атаки делают приписывание атак этой группе относительно простым.

#ParsedReport #CompletenessLow
16-12-2023

Toward Ending the Domain Wars: Early Detection of Malicious Stockpiled Domains

https://unit42.paloaltonetworks.com/detecting-malicious-stockpiled-domains

Report completeness: Low

Threats:
Fastflux_technique
Cloaking_technique

Industry:
Retail, Financial

ChatGPT TTPs:
do not use without manual check
T1514, T1599, T1595, T1595, T1590, T1499

IOCs:
Domain: 21
File: 1

Algorithms:
sha1

Languages:
javascript