#technique

PoC showcasing new DarkGate Install Script retrieval technique via DNS TXT Record

https://github.com/knight0x07/DarkGate-Install-Script-via-DNS-TXT-Record

#technique

Data Bouncing is a technique for transmitting data between two endpoints using DNS lookups and HTTP header manipulation. This PowerShell version encapsulates core functionalities of data bouncing, including reconnaissance, data exfiltration, and file reassembly, based on a proof of concept (PoC) by John and Dave.

https://github.com/Unit-259/DataBouncing

Bulk Analysis of Cobalt Strike's Beacon Configurations

https://www.archcloudlabs.com/projects/bulk-cs-analysis/

#ParsedReport #CompletenessHigh
18-12-2023

Lets Open(Dir) Some Presents: An Analysis of a Persistent Actors Activity. Lets Open(Dir) Some Presents: An Analysis of a Persistent Actor s Activity

https://thedfirreport.com/2023/12/18/lets-opendir-some-presents-an-analysis-of-a-persistent-actors-activity

Report completeness: High

Threats:
Metasploit_tool
Sliver_c2_tool
Opendir
Meterpreter_tool
Ghostcat_vuln
Beacon
Sharpersist_tool
Xmrig_miner
Linpeas_tool
Credential_dumping_technique
Dcsync_technique
Golden_ticket_technique
Powerview
Sysrv-hello
Netstat_tool
Cobalt_strike
Netcat_tool
Mimikatz_tool

Victims:
Indian and israeli governments and defense contractors, manufacturers of defense-related items, banks and financial institutions, escort service websites, hizb ut tahrir, baloch republican party, sindhudesh movement, sindhudesh revolutionary army (sra), tehreek-e-jafaria, umar media, federalpress, new izvestia, tabloid (novaya gazeta), freedom house, michigan state university, massachusetts institute of technology, harvard, lomonosov moscow state university, hse university, grameenphone, teletalk, jazz, bezeq, and cellcom

Industry:
Government, Telco, Financial, Aerospace, Military, Education

Geo:
Pakistan, India, Bangladesh, Russian, Israel

CVEs:
CVE-2022-42475 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- fortinet fortios (le5.6.14, le5.4.13, le5.2.15, le5.0.14, le6.2.11, le6.0.15, le6.4.10, le7.2.2, le7.0.8, le6.0.14, le6.4.9, le7.0.7)
- fortinet fortiproxy (le1.0.7, le1.1.6, le1.2.13, 7.2.0, le7.0.7, le2.0.11)

CVE-2021-21972 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- vmware vcenter server (6.5, 6.7, 7.0)
- vmware cloud foundation (<3.10.1.2, <4.2)

CVE-2020-14882 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- oracle weblogic server (12.1.3.0.0, 10.3.6.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0)

CVE-2021-26855 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.1
X-Force: Patch: Official fix
Soft:
- microsoft exchange server (2016, 2013, 2019)

CVE-2019-9978 [Vulners]
CVSS V3.1: 6.1,
Vulners: Exploitation: True
X-Force: Risk: 5.4
X-Force: Patch: Official fix
Soft:
- warfareplugins social warfare (<3.5.3)
- warfareplugins social warfare pro (<3.5.3)

CVE-2021-4034 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- polkit project polkit (<121)
- redhat enterprise linux desktop (7.0)
- redhat enterprise linux workstation (7.0)
- redhat enterprise linux for scientific computing (7.0)
- redhat enterprise linux server (7.0, 6.0)
have more...

TTPs:
Tactics: 9
Technics: 38

IOCs:
Domain: 5
IP: 9
Email: 3
File: 27
Path: 3
Command: 10
Registry: 3
Url: 1
Hash: 86

Soft:
Telegram, WordPress, Apache Struts, JBoss, Windows service, Unix, Microsoft Defender, WhatsApp

Crypto:
monero

Algorithms:
md5

Languages:
python, php, powershell

Platforms:
intel, x64

Links:
https://github.com/mazen160/struts-pwn
https://github.com/rapid7/metasploit-framework/blob/1ee32a2d8ed6f1eb5073af2e9ceb263348ea2703/documentation/modules/exploit/linux/local/cve\_2021\_4034\_pwnkit\_lpe\_pkexec.md
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Угрожающий субъект полагался исключительно на инструменты и фреймворки с открытым исходным кодом и использовал различные тактики и приемы для эксплуатации своих жертв, такие как маскировка имен, обратные оболочки PowerShell, portfwd и netcat. Временная шкала кластерной активности показала, что угрозы были совершены в период с января 2023 года по октябрь 2023 года.
-----

Наблюдаемая деятельность угрожающих субъектов была направлена в основном на правительства и оборонные подрядчики, с ограниченным финансово мотивированным поведением, таким как развертывание криптомайнеров и нападение на финансовые сайты. При составлении отчета использовалась модель Diamond (жертва, возможности, противник, инфраструктура). Было установлено, что угрожающий субъект использовал исключительно инструменты и фреймворки с открытым исходным кодом, такие как sqlmap, ghauri, Metasploit и Sliver. Был составлен график сгруппированной активности на основе целей, который показал, что угрозы были совершены в период с января 2023 года по октябрь 2023 года.

Анализ артефактов показал, что угрожающий агент использовал различные тактики и техники для эксплуатации своих жертв. База данных Sliver содержала имена и токены операторов сервера Sliver. Сканирование Nuclei выявило критические уязвимости, и угрожающий агент использовал subfinder для выявления поддоменов своих целей перед проведением дальнейшего сканирования. Amass использовался для разведки целей, а Shodan - для поиска CVE-2022-42475. Инструмент OWASP Meterpreter использовался для генерации различных полезных нагрузок, а LinPEAS - для обнаружения путей повышения привилегий.

Угрожающий агент также использовал маскировочные соглашения об именах, чтобы слиться с системами, и certutil для загрузки PowerView и выполнения различных команд обнаружения. Они использовали Invoke-adPEAS и net user /domain для обнаружения общих ресурсов домена. В одном случае угроза использовала хитроумную технику самораспространения в Linux для выполнения удаленного скрипта, который был связан с ботнетом Sysrv-Hello. Meterpreter также использовался для отключения Microsoft Defender, а certutil - для загрузки и запуска PowerView.

Помимо вышеперечисленных тактик, угрожающий агент использовал обратные оболочки PowerShell, portfwd и netcat, а также загружал веб-оболочку weevely. Sliver использовался для загрузки модифицированных версий .bashrc на скомпрометированные хосты, а также для установки динамического проброса портов на прокси-хосты. История платежей XMR Monero Mining показала активность по адресу XMR, исполняемому скриптом, а в корне открытой директории был обнаружен gost. Службы Threat Intel отслеживали сервер с 2022-11-16 по 2023-02-13 и еще раз 2023-10-09. В opendir была найдена копия версии 4.7 Cobalt Strike.

#ParsedReport #CompletenessLow
18-12-2023

QR Phishing Leads to Microsoft 365 Account Compromise

https://www.secureworks.com/blog/qr-phishing-leads-to-microsoft-365-account-compromise

Report completeness: Low

Threats:
Qshing_technique

Victims:
Multinational construction and real estate company, microsoft 365 account

Geo:
Bulgarian

IOCs:
IP: 1

Languages:
php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: QR-фишинг - это метод атаки, используемый субъектами угроз для обхода традиционных мер безопасности. Организациям следует рассказать сотрудникам об опасностях QR-фишинга и использовать имеющиеся средства контроля для проверки и ограничения доступа с помощью перечисленных индикаторов.
-----

По мере того как кибератаки становятся все более изощренными, участники угроз используют методы, которые позволяют им обходить традиционные меры безопасности. Одним из примеров является QR-фишинг - тип атаки, при котором вредоносный контент размещается на шлюзе межпланетной файловой системы (IPFS). Этот метод позволяет злоумышленникам избежать затрат и усилий, связанных с размещением собственной инфраструктуры, и затрудняет правоохранительным органам уничтожение вредоносного контента.

В сентябре 2023 года специалисты по реагированию на инциденты Secureworks обнаружили взлом сети, который начался с фишингового письма, содержащего PDF-вложение с QR-кодом. При сканировании с помощью мобильного устройства код направлял жертву на URL-адрес с уникальным параметром cfg, который похищал токены сеанса и перенаправлял ее на шлюз ipfs.io, содержащий вредоносную страницу входа для сбора учетных данных учетной записи Microsoft. После первого успешного входа в учетную запись электронной почты угрожающий агент устанавливал приложение-аутентификатор для многофакторной аутентификации (MFA) и создавал правило входящих сообщений для удаления входящих писем из домена жертвы. Затем они приняли разрешение на использование приложения от Microsoft, разрешив доступ к приложению PerfectData Software, которое экспортирует почтовые ящики для резервного копирования.

Анализ Secureworks Counter Threat Unit (CTU) показал, что тот же адрес электронной почты отправил аналогичное сообщение международной компании, занимающейся строительством и недвижимостью, и это сообщение также содержало вложение со строкой "Paystubs#503" в названии файла. Вложение выдавало себя за запрос на обновление платежной ведомости и включало логотип и название компании жертвы в отказ от конфиденциальности, чтобы казаться легитимным.

Исследователи CTU заметили, что растет число фишинговых атак с использованием QR-кодов для обхода обычных фильтров электронной почты. В отличие от многих обычных фишинговых атак, QR-коды требуют от жертвы сканирования изображения с помощью мобильного устройства, что расширяет площадь атаки и повышает вероятность успеха. Кроме того, корпоративные системы безопасности могут не иметь возможности отслеживать сообщения, передаваемые через персональные устройства.

Чтобы снизить риск заражения этим видом вредоносного ПО, исследователи CTU рекомендуют организациям рассказать сотрудникам об опасностях QR-фишинга и о том, как важно проявлять осторожность перед сканированием любого QR-кода. Организациям также следует внедрить процесс сообщения о подозрительных электронных письмах и проверки того, что QR-код был отправлен из подлинного источника с законной деловой целью. Кроме того, организациям следует использовать имеющиеся средства контроля для проверки и ограничения доступа с использованием показателей, перечисленных в таблице 1. Наконец, важно помнить, что домен может содержать вредоносное содержимое, поэтому, прежде чем открывать его в браузере, подумайте о рисках.

#ParsedReport #CompletenessMedium
18-12-2023

Kasablanka. 2. Attribution Research and Judgment

https://mp-weixin-qq-com.translate.goog/s?__biz=MzUyMjk4NzExMA==&mid=2247494512&idx=1&sn=151caeb7b46c3a6a58af714a576a8442&chksm=f9c1d879ceb6516fc6f52a837ad5d8084ab4cc643ea6bbb035e979ba80b5c76bd90ecfa9bb11&scene=178&cur_album_id=1955835290309230595&_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=en&_x_tr_pto=wapp#rd

Report completeness: Medium

Actors/Campaigns:
Kasablanka (motivation: information_theft)

Threats:
Venomrat
Lodarat
S500rat
Hvnc_tool

Victims:
Units or people in the nagorno-karabakh region

Industry:
Telco

Geo:
Asia, Azerbaijan, Armenia

ChatGPT TTPs:
do not use without manual check
T1086, T1204, T1036, T1064, T1486, T1059

IOCs:
IP: 2
Hash: 5
Url: 3
File: 6

Soft:
Android, Windows kernel, Windows Event Tracing

Algorithms:
xor, base64, md5

Functions:
EtwEventWrite

Win API:
AmsiScanBuffer

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 6, chats: 1, code: 6

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Kasablanka - это APT-организация, идентифицированная компанией Cisco, которая недавно атаковала Нагорно-Карабахский регион с помощью фишинговых писем, содержащих вредоносные документы. Документы содержат код для загрузки и выполнения вредоносной программы VenomRAT, которая позволяет использовать функции кейлоггинга для кражи секретов.
-----

Kasablanka - это APT-организация, выявленная компанией Cisco и известная своими атаками на Ближний Восток, Центральную Азию, Восточную Европу и другие регионы. Недавно институт 360 Advanced Threat Research Institute обнаружил фишинговые атаки, которые могли исходить от этой группы, направленные на регион Нагорного Карабаха. Этот регион является спорной территорией между Азербайджаном и Арменией, двумя странами, которые находятся в состоянии конфликта уже много лет.

Злоумышленник использовал версию VenomRAT под названием Venom RAT + HVNC + Stealer + Grabber v6.0.3, которая основана на последнем публичном исходном коде. IP-адрес C&C связан с организацией Kasablanka, а документы-приманки и информация в теле письма написаны на армянском языке, что указывает на то, что атака, скорее всего, была направлена на подразделения или людей в регионе Нагорного Карабаха.

Злоумышленник рассылал фишинговые письма с прикрепленными вредоносными документами, которые побуждали жертву включить макросы. В версиях ниже Office 2016 код макроса удалялся из данных потока PROJECT документа, что затрудняло его обнаружение. На данный момент только три движка на VT могут обнаружить и уничтожить этот образец. Основная функция вредоносного макроса - сохранить часть кода Powershell в виде bat-файла и скрыть его выполнение. Этот код используется для загрузки вредоносной полезной нагрузки с удаленного конца и ее выполнения.

Вредоносная полезная нагрузка представляет собой исполняемый файл на языке C#, который используется для расшифровки полезной нагрузки и ее выполнения. Полезная нагрузка представляет собой VenomRAT версии v6.0.3, который создает мьютекс "ajmlxbvgoegjpkevdnz" для поддержания его работы и включает функции кейлоггинга для кражи секретов. Сервер может выпускать различные плагины, которые охватывают управление файлами, поиск файлов, удаленный рабочий стол, удаленную камеру, загрузку/выгрузку файлов, управление процессами, управление реестром, кражу паролей в браузере и антивирусное ПО.

#ParsedReport #CompletenessLow
18-12-2023

xorbot: A Stealthy Botnet Family That Defies Detection

https://nsfocusglobal.com/xorbot-a-stealthy-botnet-family-that-defies-detection

Report completeness: Low

Threats:
Xorbot
Junk_code_technique
Mirai
Udpflood_technique
Tcpflood_technique
Synflood_technique
Ackflood_technique

Victims:
European and united states countries

TTPs:
Tactics: 1
Technics: 0

IOCs:
IP: 1
Hash: 2

Soft:
crontab

Algorithms:
xor

Functions:
_libc_connect, _libc_recv

Platforms:
mips, x86, arm

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Xorbot - это новое и очень скрытное семейство ботнетов, обнаруженное системой NSFOCUS Global Threat Hunting System. Его отличает сильная скрытность и способность не поддаваться обнаружению основными антивирусными системами. Xorbot построен на совершенно новой архитектуре, и его разработчики пожертвовали эффективностью распространения ради лучшей маскировки. Вероятно, за ним стоит профессиональная атакующая группа с независимыми инструментами распространения.
-----

Xorbot - это новое семейство ботнетов, недавно обнаруженное системой NSFOCUS Global Threat Hunting System. Его отличает сильная скрытность и способность не поддаваться обнаружению основными антивирусными системами. Xorbot был создан с нуля на основе совершенно новой архитектуры, и его разработчики уделили большое внимание маскировке троянских коней, даже пожертвовав эффективностью распространения ради лучшего эффекта маскировки.

В первоначальном варианте распространения размер файла составлял около 30 КБ, но в более позднем варианте разросся до 1200 КБ за счет добавления нежелательных кодов для маскировки вредоносных ветвей. Xorbot взаимодействует с помощью функций _libc_connect() и _libc_recv() библиотеки libc, а основные функциональные блоки остаются неизменными.

Xorbot также поддерживает постоянство, добавляя crontab и маскируя имя вредоносного файла под ld-unixdev.so.6 (похожее на название системной динамической библиотеки). При взаимодействии с C&C он использует набор алгоритмов шифрования и дешифрования, заимствующих исходный код Mirai. При получении команд от сервера данные перед использованием расшифровываются этим алгоритмом.

Данные, отправляемые сервером в первый раз, генерируются случайным образом, и обычно длина пакета, возвращаемого сервером в первом раунде, составляет 0x62, 0x68, 0xAC или 0x40. Xorbot начинает DDoS-атаки различными способами в зависимости от количества подстрок, разделенных пробелами, и длины первой подстроки на основе полученных данных. Цели атак в основном выбираются из стран Европы и США.

Текущая версия Xorbot охватывает различные архитектуры процессоров, такие как x86, MIPS, Renesas SH и ARM. Хотя у него нет встроенного модуля распространения, вполне вероятно, что за ним стоит профессиональная атакующая группа, обладающая независимыми инструментами распространения. Xorbot хорошо скрыт как со стороны файлов, так и со стороны трафика, и на момент публикации процент обнаружения троянца основными антивирусными системами все еще был близок к 0. Это делает его угрозой, к которой мы должны оставаться бдительными.

#ParsedReport #CompletenessHigh
18-12-2023

#StopRansomware: Play Ransomware

https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-352a

Report completeness: High

Threats:
Playcrypt
Proxynotshell_vuln
Adfind_tool
Grixba
Gmer_tool
Iobit_tool
Powertool_tool
Systembc
Mimikatz_tool
Winpeas_tool
Bloodhound_tool
Cobalt_strike
Nltest_tool
Nekto
Process_hacker_tool
Plink_tool
Credential_dumping_technique

Victims:
Businesses and critical infrastructure in north america, south america, and europe

Industry:
Financial

Geo:
Australia, America, Australian

CVEs:
CVE-2022-41082 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- microsoft exchange server (2013, 2016, 2019)

CVE-2018-13379 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 7.5
X-Force: Patch: Official fix
Soft:
- fortinet fortios (le5.6.7, le6.0.4)

CVE-2022-41040 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: 6.5
X-Force: Patch: Official fix
Soft:
- microsoft exchange server (2013, 2016, 2019)

CVE-2020-12812 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 5.3
X-Force: Patch: Official fix
Soft:
- fortinet fortios (<6.2.4, 6.4.0, <6.0.10)


TTPs:
Tactics: 2
Technics: 15

IOCs:
File: 1
Hash: 9

Soft:
Microsoft Exchange, Active Directory, Microsoft Defender, PsExec, WinSCP, macOS, Outlook

Crypto:
bitcoin

Algorithms:
sha256

Languages:
powershell

Platforms:
cross-platform

Links:
https://github.com/cisagov/Decider/
https://github.com/cisagov/cset/releases/tag/v10.3.0.0

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Группа вымогателей Play атакует предприятия и критически важную инфраструктуру с июня 2022 года и использует двойную модель вымогательства. Организациям следует уделять первоочередное внимание устранению известных уязвимостей, использовать многофакторную аутентификацию, ставить заплатки и обновлять программное обеспечение и приложения, а также регулярно проводить оценку уязвимостей для предотвращения атак. ФБР и CISA предоставляют ресурсы для борьбы с ransomware и ищут информацию о действующих лицах, платежах и файлах-расшифровщиках.
-----

Группа вымогателей Play действует с июня 2022 года и поражает предприятия и критически важные объекты инфраструктуры по всему миру. Действующие лица Play ransomware используют модель двойного вымогательства, шифруя системы после извлечения данных. Чтобы предотвратить атаку, организациям следует в первую очередь устранять известные уязвимости, по возможности использовать многофакторную аутентификацию, регулярно ставить заплатки и обновлять программное обеспечение и приложения до последних версий, а также регулярно проводить оценку уязвимостей.

Разработчики вымогательских программ получают первоначальный доступ к сетям жертв с помощью действующих учетных записей и использования общедоступных приложений. Они используют такие внешние сервисы, как AdFind и Grixba, и такие инструменты, как PsExec и PowerTool, для бокового перемещения и выполнения файлов. Они также используют Mimikatz credential dumper для получения доступа администратора домена, Windows Privilege Escalation Awesome Scripts для поиска дополнительных путей, WinRAR для сжатия файлов и WinSCP для передачи данных. Затем файлы шифруются гибридным шифрованием AES-RSA с использованием прерывистого шифрования.

Выкуп выплачивается в криптовалюте на адреса кошельков, предоставленные актерами Play. Они также угрожают опубликовать полученные данные на своем сайте утечки в сети Tor и используют IOBit для отключения антивирусного программного обеспечения.

Stopransomware.gov - это инициатива ФБР, CISA и ASD's ACSC, которая предоставляет ресурсы и предупреждения об атаках вымогательского ПО. Ресурсы включают руководство #StopRansomware Guide, а также бесплатные услуги по кибергигиене.

ФБР также ищет информацию, которой можно поделиться, например пограничные журналы, заметки о выкупе, переписка с игроками, информация о кошельке Bitcoin, файлы-дешифраторы и/или доброкачественный образец зашифрованного файла. Однако ФБР и CISA не рекомендуют платить выкуп, поскольку оплата не гарантирует восстановления файлов жертвы и может побудить других преступников заняться распространением ransomware. Организациям следует сообщать о случаях заражения вымогательским ПО в местное отделение ФБР, в Центр жалоб на интернет-преступления ФБР или в круглосуточный оперативный центр CISA. Австралийским организациям следует обратиться в ACSC КАН или отправить сообщение на сайт cyber.gov.au.

#cyberthreattech

В канале с трендами добавили саммари на базе YandexGPT.
Теперь публикуется не просто ссылка на отчет, но и сгенерированое саммари на русском.

#ParsedReport #CompletenessMedium
18-12-2023

BianLian Ransomware: Victimology and TTPs. Malware, Toolset & TTPs

https://cyberint.com/blog/research/bianlian-ransomware-victimology-and-ttps

Report completeness: Medium

Actors/Campaigns:
Bianlian

Threats:
Bianlian_ransomware
Spear-phishing_technique
Atera_tool
Teamviewer_tool
Splashtop_tool
Anydesk_tool
Sharpshares_tool
Pingcastle_tool
Supply_chain_technique

Victims:
Businesses, government entities, healthcare institutions, and educational organizations

Industry:
Education, Healthcare, Government, Entertainment, Biotechnology, Financial

Geo:
America, Asia, Indonesia, Canada, Chinese

TTPs:
Tactics: 9
Technics: 20

IOCs:
File: 2

Soft:
Windows Defender, SoftPerfect Network Scanner, Local Security Authority, Active Directory, PsExec, Windows firewall, Android

Languages:
powershell