#ParsedReport #CompletenessLow
16-12-2023

Toward Ending the Domain Wars: Early Detection of Malicious Stockpiled Domains

https://unit42.paloaltonetworks.com/detecting-malicious-stockpiled-domains

Report completeness: Low

Threats:
Fastflux_technique
Cloaking_technique

Industry:
Retail, Financial

ChatGPT TTPs:
do not use without manual check
T1514, T1599, T1595, T1595, T1590, T1499

IOCs:
Domain: 21
File: 1

Algorithms:
sha1

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Исследователи разработали детектор для выявления вредоносных доменов, который использует данные из журналов прозрачности сертификатов и данные pDNS для выявления фишинговых и других вредоносных доменов, зарегистрированных в массовом порядке.
-----

В последнее время злоумышленники все чаще приобретают большое количество доменных имен и создают свою инфраструктуру в автоматическом режиме, что затрудняет защитникам безопасности обнаружение и реагирование на их кампании. Чтобы противостоять этому, исследователи Palo Alto Networks создали детектор для выявления вредоносных доменов, который использует более 300 функций для обработки терабайтов данных и миллиардов пассивных записей DNS (pDNS) и сертификатов. По состоянию на июль 2023 года конвейер обнаружения выявил 1 114 499 уникальных корневых доменных имен, включая 45 862 вредоносных, 8 989 фишинговых и 844 C2-домена.

Детектор использовал данные из журналов прозрачности сертификатов и данные pDNS для выявления фишинговых и других вредоносных доменов, зарегистрированных в массовом порядке. Для обучения классификатора машинного обучения Random Forest он использовал такие характеристики, как случайность доменного имени, количество слов, кодировка TLD и оценки репутации, извлеченные из данных. Классификатор показал точность 99 % при 48 % запоминания.

Клиенты Palo Alto Networks получают защиту от накопленных доменов благодаря использованию автоматизированного классификатора в нескольких облачных сервисах безопасности. Модель обнаружения смогла выявить вредоносные домены в среднем на 32,3 дня раньше, чем их смогли обнаружить поставщики VirusTotal.

Борьба с доменными войнами - дело рук глобального сообщества. Исследователи показали, что данные pDNS и строки доменных имен могут быть использованы для обнаружения вредоносных доменов. Объединение нескольких наборов данных, таких как pDNS и журналы сертификатов, позволяет обнаруживать накопленные домены независимо от времени регистрации, что дает возможность защитникам безопасности раньше обнаруживать вредоносные кампании.

#ParsedReport #CompletenessLow
18-12-2023

Hiring? New scam campaign means resume downloads may contain malware

https://www.proofpoint.com/us/newsroom/news/hiring-new-scam-campaign-means-resume-downloads-may-contain-malware

Report completeness: Low

Actors/Campaigns:
Magecart
Venom_spider
Cobalt
Evilnum

Threats:
Spear-phishing_technique
More_eggs
Typosquatting_technique

Victims:
Hiring managers and recruiters

Geo:
French, Romanian, Russia, Russian

IOCs:
Domain: 2
File: 3

Algorithms:
zip, rc4

Win API:
NtQueryInformationProcess

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: TA4557 - киберпреступная группировка, нацелившаяся на рекрутеров и менеджеров по подбору персонала в рамках новой фишинговой кампании с использованием вредоносной программы-бэкдора more_eggs, которая способна облегчить целый ряд дальнейших атак. Организациям следует сохранять бдительность в отношении этой угрозы и принимать меры по защите.
-----

Киберпреступная группировка, известная как TA4557, начала атаковать рекрутеров и менеджеров по подбору персонала в рамках новой фишинговой кампании. Угрожающие лица используют сложную социальную инженерию и инфраструктуру для рассылки электронных писем от якобы ищущих работу людей, а для заманивания жертв используют вредоносные загрузки резюме. Чтобы обойти защищенные почтовые шлюзы, злоумышленники предлагают жертвам обратиться к доменному имени своего адреса электронной почты, чтобы получить доступ к портфолио. Когда жертва нажимает на ссылку, она попадает в ZIP-файл, содержащий LNK-файл, замаскированный под резюме, который при выполнении запускает установку вредоносной программы-бэкдора more_eggs.

More_eggs - это разновидность вредоносного ПО как услуги (MaaS), широко используемого такими кибербандами, как FIN6 и Cobalt Group. Он перехватывает функции легитимного программного обеспечения для создания бэкдора и получения дополнительной информации о системе жертвы. Кроме того, он использует функцию NtQueryInformationProcess для постоянной проверки отладки, а также использует WMI для инициирования создания процесса MSXSL перед удалением. После успешной установки вредоносная программа может быть использована для целого ряда дальнейших атак.

Личность угрожающего субъекта неясна, поскольку его деятельность пересекается с деятельностью других групп, использующих more_eggs. Однако TA4557 заметно отличается от них благодаря уникальному использованию инструментов и вредоносных программ, направленности кампаний, использованию приманок на тему кандидатов на работу, изощренным мерам уклонения, применяемым для предотвращения обнаружения, отдельным цепочкам атак и контролируемой агентом инфраструктуре. Поэтому организациям следует сохранять бдительность в отношении этой угрозы и принимать меры по защите себя и своих сотрудников.

#ParsedReport #CompletenessLow
18-12-2023

New malware is using direct emails to hunt the head-hunters

https://www.proofpoint.com/us/newsroom/news/new-malware-using-direct-emails-hunt-head-hunters

Report completeness: Low

Actors/Campaigns:
Magecart (motivation: financially_motivated)

Threats:
More_eggs
Lolbin_technique
Ransomboggs

Victims:
Recruiters

IOCs:
File: 2

Algorithms:
zip

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея этого текста заключается в том, что TA4557 - это угрожающий агент, который начал использовать новую технику, направленную на рекрутеров с помощью вредоносных писем, используя More_Eggs в качестве дроппера вредоносного ПО. Организации должны знать о тактике TA4557, чтобы защититься от этого злоумышленника и научить своих сотрудников распознавать вредоносные письма.
-----

С 2018 года TA4557 был известен тем, что использовал загрузчик More_Eggs в качестве дроппера вредоносного ПО. Однако в октябре 2023 года было замечено, что этот агент начал использовать новую технику, направленную на рекрутеров с помощью прямых электронных писем, которые в конечном итоге приводят к доставке вредоносного ПО. Эта новая техника включает в себя отправку письма рекрутеру с запросом о вакансии, и когда получатель отвечает на первое письмо, актер отправляет в ответ URL-ссылку на контролируемый TA4557 веб-сайт, выдавая его за резюме кандидата. Сайт содержит скрипт, который расшифровывает и сбрасывает в папку %APPDATA%\Microsoft DLL, использующую для обхода техники анти-песочницы и анти-анализа и сбрасывающую бэкдор More_Eggs.

More_eggs - это бэкдор на Javascript, используемый для установления персистентности, профилирования машины и сброса дополнительной полезной нагрузки. Кроме того, угрожающий агент подавал заявки на вакансии, размещенные на публичных досках объявлений или в LinkedIn, и вставлял вредоносные URL-адреса в приложение, что превращало атаку в двустороннюю.

Proofpoint отмечает, что в последнее время участились случаи, когда угрожающие субъекты используют доброкачественные сообщения для установления доверия и взаимодействия с целью перед отправкой вредоносного контента. Поэтому организации, использующие сторонние объявления о работе, должны знать о тактике, методах и процедурах (TTP) TA4557, чтобы защититься от этого вредоносного агента. Организациям рекомендуется обучать своих сотрудников тому, как распознать вредоносную электронную почту, и следить за тем, чтобы все меры безопасности были актуальными.

#ParsedReport #CompletenessLow
18-12-2023

Luring with love, a network of pig butchering mining scams robbed millions from victims wallets

https://news.sophos.com/en-us/2023/12/18/luring-with-love-defi-mining-scam-indepth

Report completeness: Low

Threats:
Pig_butchering

Industry:
Financial

Geo:
Singapore, Germany, Chinese, Poland

ChatGPT TTPs:
do not use without manual check
T1545, T1541, T1560, T1573, T1593

IOCs:
Domain: 313
Coin: 9
File: 1
IP: 1

Soft:
WhatsApp

Crypto:
tether, binance

Languages:
javascript

Links:
https://github.com/sophoslabs/IoCs/blob/master/defi-mining-scams-iocs.csv

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, chart: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что организованные преступные группировки в Китае используют все более изощренные методы для обворовывания жертв, и что осведомленность и здоровый скептицизм - лучшая защита от этих мошенников. Биржи и разработчики кошельков совместно работают над блокировкой мошенничества, а пострадавшие должны предпринять определенные шаги, например, вывести средства и обратиться в правоохранительные органы. Список активных доменов, связанных с мошенничеством, можно найти на GitHub.
-----

Организованные преступные группировки в Китае использовали все более изощренные методы, чтобы похитить до 3 миллионов долларов у 90 жертв в период с июня по август. Предполагается, что для аферы использовались приложения для знакомств и социальные сети, генеративный искусственный интеллект для написания сообщений и поддельные мобильные приложения для торговли криптовалютой. Было выявлено пять кошельков с контролирующими контрактами, а из кошельков жертв была выведена криптовалюта Tether (USDT) на сумму более 1,22 миллиона долларов.

С помощью того же набора было обнаружено 60 мошеннических сайтов, а также еще 350 сайтов, зарегистрированных в домене верхнего уровня .top. Еще около 100 сайтов были обнаружены с использованием другого набора для мошенничества в сфере майнинга. Некоторые сайты используют API от WalletConnect, чтобы скрыть адрес контрактного кошелька.

Биржи и разработчики кошельков совместно работают над блокировкой мошенничества на уровне приложений, а разработчики инструментов для мошенничества принимают меры по блокировке сбора данных об узлах контрактов и ограничению кошельков, которые могут быть использованы для мошенничества.

Лучшая защита от этих постоянно развивающихся мошенничеств - информированность населения и здоровый скептицизм. Пострадавшие должны немедленно вывести все средства с кошелька, связанного с мошенническим сайтом, задокументировать все, что связано с аферой, и обратиться в правоохранительные органы. Сеть поддержки киберпреступности может помочь сообщить о преступлении и справиться с последствиями. Список активных доменов, связанных с этими аферами, можно найти на GitHub.

#technique

A beacon object file implementation of PoolParty Process Injection Technique.

https://github.com/0xEr3bus/PoolPartyBof

#technique

PoC showcasing new DarkGate Install Script retrieval technique via DNS TXT Record

https://github.com/knight0x07/DarkGate-Install-Script-via-DNS-TXT-Record

#technique

Data Bouncing is a technique for transmitting data between two endpoints using DNS lookups and HTTP header manipulation. This PowerShell version encapsulates core functionalities of data bouncing, including reconnaissance, data exfiltration, and file reassembly, based on a proof of concept (PoC) by John and Dave.

https://github.com/Unit-259/DataBouncing

Bulk Analysis of Cobalt Strike's Beacon Configurations

https://www.archcloudlabs.com/projects/bulk-cs-analysis/

#ParsedReport #CompletenessHigh
18-12-2023

Lets Open(Dir) Some Presents: An Analysis of a Persistent Actors Activity. Lets Open(Dir) Some Presents: An Analysis of a Persistent Actor s Activity

https://thedfirreport.com/2023/12/18/lets-opendir-some-presents-an-analysis-of-a-persistent-actors-activity

Report completeness: High

Threats:
Metasploit_tool
Sliver_c2_tool
Opendir
Meterpreter_tool
Ghostcat_vuln
Beacon
Sharpersist_tool
Xmrig_miner
Linpeas_tool
Credential_dumping_technique
Dcsync_technique
Golden_ticket_technique
Powerview
Sysrv-hello
Netstat_tool
Cobalt_strike
Netcat_tool
Mimikatz_tool

Victims:
Indian and israeli governments and defense contractors, manufacturers of defense-related items, banks and financial institutions, escort service websites, hizb ut tahrir, baloch republican party, sindhudesh movement, sindhudesh revolutionary army (sra), tehreek-e-jafaria, umar media, federalpress, new izvestia, tabloid (novaya gazeta), freedom house, michigan state university, massachusetts institute of technology, harvard, lomonosov moscow state university, hse university, grameenphone, teletalk, jazz, bezeq, and cellcom

Industry:
Government, Telco, Financial, Aerospace, Military, Education

Geo:
Pakistan, India, Bangladesh, Russian, Israel

CVEs:
CVE-2022-42475 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- fortinet fortios (le5.6.14, le5.4.13, le5.2.15, le5.0.14, le6.2.11, le6.0.15, le6.4.10, le7.2.2, le7.0.8, le6.0.14, le6.4.9, le7.0.7)
- fortinet fortiproxy (le1.0.7, le1.1.6, le1.2.13, 7.2.0, le7.0.7, le2.0.11)

CVE-2021-21972 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- vmware vcenter server (6.5, 6.7, 7.0)
- vmware cloud foundation (<3.10.1.2, <4.2)

CVE-2020-14882 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- oracle weblogic server (12.1.3.0.0, 10.3.6.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0)

CVE-2021-26855 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.1
X-Force: Patch: Official fix
Soft:
- microsoft exchange server (2016, 2013, 2019)

CVE-2019-9978 [Vulners]
CVSS V3.1: 6.1,
Vulners: Exploitation: True
X-Force: Risk: 5.4
X-Force: Patch: Official fix
Soft:
- warfareplugins social warfare (<3.5.3)
- warfareplugins social warfare pro (<3.5.3)

CVE-2021-4034 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- polkit project polkit (<121)
- redhat enterprise linux desktop (7.0)
- redhat enterprise linux workstation (7.0)
- redhat enterprise linux for scientific computing (7.0)
- redhat enterprise linux server (7.0, 6.0)
have more...

TTPs:
Tactics: 9
Technics: 38

IOCs:
Domain: 5
IP: 9
Email: 3
File: 27
Path: 3
Command: 10
Registry: 3
Url: 1
Hash: 86

Soft:
Telegram, WordPress, Apache Struts, JBoss, Windows service, Unix, Microsoft Defender, WhatsApp

Crypto:
monero

Algorithms:
md5

Languages:
python, php, powershell

Platforms:
intel, x64

Links:
https://github.com/mazen160/struts-pwn
https://github.com/rapid7/metasploit-framework/blob/1ee32a2d8ed6f1eb5073af2e9ceb263348ea2703/documentation/modules/exploit/linux/local/cve\_2021\_4034\_pwnkit\_lpe\_pkexec.md
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Угрожающий субъект полагался исключительно на инструменты и фреймворки с открытым исходным кодом и использовал различные тактики и приемы для эксплуатации своих жертв, такие как маскировка имен, обратные оболочки PowerShell, portfwd и netcat. Временная шкала кластерной активности показала, что угрозы были совершены в период с января 2023 года по октябрь 2023 года.
-----

Наблюдаемая деятельность угрожающих субъектов была направлена в основном на правительства и оборонные подрядчики, с ограниченным финансово мотивированным поведением, таким как развертывание криптомайнеров и нападение на финансовые сайты. При составлении отчета использовалась модель Diamond (жертва, возможности, противник, инфраструктура). Было установлено, что угрожающий субъект использовал исключительно инструменты и фреймворки с открытым исходным кодом, такие как sqlmap, ghauri, Metasploit и Sliver. Был составлен график сгруппированной активности на основе целей, который показал, что угрозы были совершены в период с января 2023 года по октябрь 2023 года.

Анализ артефактов показал, что угрожающий агент использовал различные тактики и техники для эксплуатации своих жертв. База данных Sliver содержала имена и токены операторов сервера Sliver. Сканирование Nuclei выявило критические уязвимости, и угрожающий агент использовал subfinder для выявления поддоменов своих целей перед проведением дальнейшего сканирования. Amass использовался для разведки целей, а Shodan - для поиска CVE-2022-42475. Инструмент OWASP Meterpreter использовался для генерации различных полезных нагрузок, а LinPEAS - для обнаружения путей повышения привилегий.

Угрожающий агент также использовал маскировочные соглашения об именах, чтобы слиться с системами, и certutil для загрузки PowerView и выполнения различных команд обнаружения. Они использовали Invoke-adPEAS и net user /domain для обнаружения общих ресурсов домена. В одном случае угроза использовала хитроумную технику самораспространения в Linux для выполнения удаленного скрипта, который был связан с ботнетом Sysrv-Hello. Meterpreter также использовался для отключения Microsoft Defender, а certutil - для загрузки и запуска PowerView.

Помимо вышеперечисленных тактик, угрожающий агент использовал обратные оболочки PowerShell, portfwd и netcat, а также загружал веб-оболочку weevely. Sliver использовался для загрузки модифицированных версий .bashrc на скомпрометированные хосты, а также для установки динамического проброса портов на прокси-хосты. История платежей XMR Monero Mining показала активность по адресу XMR, исполняемому скриптом, а в корне открытой директории был обнаружен gost. Службы Threat Intel отслеживали сервер с 2022-11-16 по 2023-02-13 и еще раз 2023-10-09. В opendir была найдена копия версии 4.7 Cobalt Strike.

#ParsedReport #CompletenessLow
18-12-2023

QR Phishing Leads to Microsoft 365 Account Compromise

https://www.secureworks.com/blog/qr-phishing-leads-to-microsoft-365-account-compromise

Report completeness: Low

Threats:
Qshing_technique

Victims:
Multinational construction and real estate company, microsoft 365 account

Geo:
Bulgarian

IOCs:
IP: 1

Languages:
php