#ParsedReport #CompletenessHigh
12-01-2024

CVE-2023-36025 Exploited for Defense Evasion in Phemedrone Stealer Campaign

https://www.trendmicro.com/en_us/research/24/a/cve-2023-36025-exploited-for-defense-evasion-in-phemedrone-steal.html

Report completeness: High

Threats:
Phemedrone
Dll_sideloading_technique
Vmprotect_tool
Donut

Industry:
Entertainment

CVEs:
CVE-2023-36025 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- microsoft windows server 2008 (r2, -)
- microsoft windows server 2012 (r2, -)
- microsoft windows server 2016 (-)
- microsoft windows server 2019 (-)
- microsoft windows server 2022 (-)
have more...

TTPs:

ChatGPT TTPs:
do not use without manual check
T1298, T1547, T1078, T1043, T1213, T1027, T1073, T1548, T1218.017, T1055, have more...

IOCs:
File: 16
Path: 3
Hash: 45
Url: 31
IP: 1

Soft:
Windows Defender SmartScreen, Telegram, Discord, Microsoft Windows Defender SmartScreen, Windows PowerShell, LastPass, KeePass, Telegram.Telegram

Wallets:
jaxx, electrum, guarda_wallet

Algorithms:
crc-32, lznt1, zip, base64, xor, rc4

Win API:
GetModuleHandleExW, GetModuleFileNameW, GetProcAddress, LoadLibraryA, lstrcatW, CreateDirectoryW, CreateFileW, GetFileSize, LocalAlloc, ReadFile, have more...

Languages:
jscript, powershell

Links:
https://github.com/TheWover/donut

#ParsedReport #ExtractedSchema

Classified images:
windows: 22, schema: 1, code: 10, dump: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - описание кампании Phemedrone Stealer, угрозы кибербезопасности, использующей уязвимость CVE-2023-36025. Этот похититель нацелен на веб-браузеры, криптовалютные кошельки и приложения для обмена сообщениями, делая снимки экрана и собирая системную информацию, которая затем отправляется злоумышленникам. Phemedrone Stealer - это инструмент с открытым исходным кодом, доступный на GitHub и Telegram, что делает его широко доступным для злоумышленников. Несмотря на то, что уязвимость была исправлена, она по-прежнему используется различными вредоносными кампаниями. В статье подчеркивается важность использования комплексных решений для обеспечения безопасности и многоуровневой стратегии защиты для снижения этих рисков кибербезопасности.
-----

Важные факты из текста:.

Кампания по краже Phemedrone использует уязвимость CVE-2023-36025.

Уязвимость позволяет обходить предупреждения и проверки в SmartScreen Защитника Windows.

Компания Trend Micro обнаружила свидетельства активного использования этой уязвимости.

Phemedrone Stealer нацелен на веб-браузеры, криптовалютные кошельки и приложения для обмена сообщениями.

Он делает снимки экрана, собирает системную информацию и отправляет украденные данные злоумышленникам.

Phemedrone Stealer - это программа для кражи данных с открытым исходным кодом, поддерживаемая на GitHub и Telegram.

Корпорация Майкрософт исправила эту уязвимость, но она все еще используется.

Вектор атаки включает размещение вредоносных файлов быстрого доступа к Интернету на таких платформах, как Discord или облачные сервисы, и обман пользователей с целью их открытия.

Загрузчик запутывается и загружает ZIP-файл с GitHub для выполнения следующего этапа атаки.

Файл wer.dll имеет решающее значение для функциональности загрузчика и упакован и защищен, чтобы избежать обнаружения.

Второй этап загрузки включает в себя расшифровку защищенного pdf-файла и использование загрузчика второго этапа под названием Donut.

Phemedrone Stealer нацелен на множество приложений и служб, собирая конфиденциальную информацию и отправляя ее злоумышленникам.

Несмотря на то, что уязвимость была исправлена, злоумышленники продолжают использовать ее в различных кампаниях вредоносного ПО.

Организациям рекомендуется использовать комплексные решения для обеспечения безопасности и многоуровневую стратегию защиты для снижения киберрисков.

#ParsedReport #CompletenessLow
12-01-2024

"Kyivstar debt", "SBU request": new UAC-0050 attack using RemcosRAT (CERT-UA#8338)

https://cert.gov.ua/article/6276824

Report completeness: Low

Actors/Campaigns:
Uac-0050

Threats:
Remcos_rat

Victims:
Kyivstar subscribers, Ukrainian government organizations

Industry:
Government

Geo:
Malaysian, Ukraine

ChatGPT TTPs:
do not use without manual check
T1566, T1566.001, T1059.001, T1106, T1204, T1560, T1219, T1021, T1021.002

IOCs:
File: 16
Hash: 59
IP: 16
Registry: 4
Path: 3
Command: 11

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что киберпреступники используют фишинговые электронные письма для распространения программы дистанционного управления RemcosRAT. Эти электронные письма имеют разные темы, такие как ссылки на долги или запросы СБУ, чтобы обманом заставить получателей открыть вредоносные вложения. После активации вредоносная программа позволяет злоумышленникам получить несанкционированный доступ к зараженным компьютерам. Пользователям следует проявлять осторожность при открытии вложений электронной почты, использовать решения для фильтрации электронной почты и обновлять системы с помощью исправлений безопасности. Отслеживание и мониторинг действий злоумышленников может помочь идентифицировать их инфраструктуру и предотвратить будущие атаки.
-----

21.12.2023 Правительственная группа реагирования на компьютерные чрезвычайные ситуации Украины (CERT-UA) обнаружила крупномасштабную кампанию по электронной почте, включающую сообщения под названием "Долги по контракту Киевстар". Эти электронные письма содержали вложение с именем "Абонент debt.zip". При активации код макроса во вложении загружал и выполнял файл с именем "GB.exe", используя протокол SMB и проводник Windows (explorer.exe).

Файл "GB.exe", архив SFX, содержал пакетный скрипт, который был разработан для загрузки файла из сервиса bitbucket и запуска запутанного исполняемого файла под названием "wsuscr.exe". Этот исполняемый файл, защищенный с помощью SmartAssembly .NET, предназначен для расшифровки и запуска программы удаленного управления RemcosRAT. Идентификатор лицензии для этой конкретной версии RemcosRAT - 5639D40461DCDD07011A2B87AD3C9EDD.

В другой рассылке, за которой наблюдал CERT-UA, содержались строки темы, указывающие на запрос СБУ (Службы безопасности Украины). Эти электронные письма содержали вложение с именем "Documents.zip". Этот архив был защищен паролем и разделен на три RAR-архива, один из которых назывался "Request.rar". Внутри "Request.rar" находился исполняемый файл под названием "Request.exe". Открытие этого архива и запуск исполняемых файлов внутри потенциально может привести к заражению компьютера той же программой RemcosRAT, идентифицированной по идентификатору лицензии 5639D40461DCDD07011A2B87AD3C9EDD.

В дополнение к типичному расположению серверов управления RemcosRAT на техническом сайте малазийского хостинг-провайдера Shinjiru (AS44477), они также были обнаружены в автономной системе AS44477, принадлежащей STARK INDUSTRIES SOLUTIONS LTD.

Анализируя предоставленную информацию, становится очевидным, что киберпреступники используют фишинговые электронные письма для распространения вредоносных вложений, содержащих программу дистанционного управления RemcosRAT. Использование различных строк темы, таких как ссылки на долги или запросы СБУ, направлено на то, чтобы заманить ничего не подозревающих получателей к открытию этих вложений. После активации вредоносная программа устанавливает возможности удаленного управления, позволяя злоумышленникам получить несанкционированный доступ к зараженным компьютерам.

Пользователям крайне важно проявлять осторожность при открытии вложений электронной почты, особенно из неизвестных источников или с подозрительными строками темы. Использование решений для фильтрации электронной почты и информирование пользователей о методах фишинга может значительно снизить риск стать жертвой таких атак. Кроме того, обеспечение того, чтобы системы были обновлены с помощью последних исправлений безопасности, имеет важное значение для снижения эффективности таких угроз.

Кроме того, отслеживание и мониторинг деятельности злоумышленников, участвующих в распространении и эксплуатации вредоносного ПО RemcosRAT, может помочь в выявлении их инфраструктуры, предотвращении будущих атак и потенциальном сотрудничестве с правоохранительными органами для дальнейшего расследования и судебного преследования.

#ParsedReport #CompletenessLow
10-01-2024

Atomic Stealer rings in the new year with updated version

https://www.malwarebytes.com/blog/threat-intelligence/2024/01/atomic-stealer-rings-in-the-new-year-with-updated-version

Report completeness: Low

Threats:
Amos_stealer
Fakebat

Victims:
Mac users

ChatGPT TTPs:
do not use without manual check
T1078, T1041

IOCs:
Domain: 4
Hash: 2
IP: 1

Soft:
Telegram, MacOs, Slack

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что в последнее время были проведены кампании по распространению вредоносного ПО, нацеленные на пользователей Mac, в частности, через вредоносную рекламу и скомпрометированные веб-сайты. В центре внимания этих кампаний находится вредоносная программа под названием Atomic Stealer (AMOS), которая постоянно обновляется и имеет высокую арендную плату в размере 3000 долларов в месяц. Разработчики Atomic Stealer внесли обновления, позволяющие избежать обнаружения, такие как шифрование полезной нагрузки и скрытие определенных строк, используемых для обнаружения. Вредоносное ПО распространяется через программные взломы и вредоносную рекламу, а недавняя кампания по вредоносной рекламе нацелена на пользователей Mac. Вредоносная программа запрашивает у пользователей системный пароль, что позволяет ей собирать пароли и конфиденциальные файлы. Разработчики также уделяют особое внимание краже файлов cookie браузера для несанкционированного доступа к учетным записям. Соответствующие стороны были уведомлены о вредоносной рекламе и инфраструктуре, связанной с Atomic Stealer.
-----

В прошлом году было проведено множество кампаний по распространению вредоносных программ, нацеленных на пользователей Mac с помощью вредоносной рекламы и скомпрометированных веб-сайтов. Одна из популярных распространяемых вредоносных программ называется Atomic Stealer (AMOS). Разработчики этого stealer постоянно обновляли его и добавляли новые функции, чтобы оправдать его высокую арендную плату в размере 3000 долларов в месяц.

Примерно в декабре 2023 года Atomic Stealer был обновлен с помощью шифрования полезной нагрузки, чтобы избежать обнаружения. Некоторые образцы обновленной версии были найдены на VirusTotal, после чего в январе 2024 года была замечена кампания по вредоносной рекламе. Цель этого поста в блоге - рассмотреть последние изменения в Atomic Stealer и его распространение с помощью вредоносной рекламы в поисковой системе Google.

В декабре разработчики Atomic Stealer предложили специальную праздничную скидку на свой Telegram-канал, снизив стоимость подписки до 2000 долларов до 31 декабря. Примерно 17 декабря код Atomic Stealer был изменен, чтобы скрыть определенные строки, которые ранее использовались для обнаружения и идентификации его сервера управления.

Существует два основных канала распространения Atomic Stealer: программные взломы и вредоносная реклама. Клиенты, использующие программные взломы, потенциально имели ранний доступ к обновленной версии Atomic Stealer. Во время праздничных каникул активность недобросовестной рекламы снизилась, включая кампании, проводимые с помощью поисковой рекламы Google. Однако 8 января была выявлена вредоносная рекламная кампания, нацеленная на пользователей Mac с обновленной версией Atomic Stealer, использующая аналогичную тактику, наблюдавшуюся в предыдущих кампаниях по распространению FakeBat.

Вредоносный файл DMG, связанный с Atomic Stealer, содержит инструкции для пользователей по открытию файла и предлагает им ввести свой системный пароль. Это позволяет Atomic Stealer собирать пароли и другие конфиденциальные файлы в обход ограничений доступа. Код Atomic Stealer был запутан, что затрудняет идентификацию определенных строк, раскрывающих природу полезной нагрузки и сервера управления.

Кража файлов cookie браузера также находится в центре внимания разработчиков Atomic Stealer, поскольку это может обеспечить несанкционированный доступ к учетным записям с помощью токенов сеанса, что может быть более ценным, чем просто кража паролей. Разработчики анонсировали функцию файлов cookie в канун Рождества.

О вредоносной рекламе и инфраструктуре, связанных с Atomic Stealer, было сообщено соответствующим сторонам для устранения последствий.

#ParsedReport #CompletenessLow
12-01-2024

Cutting Edge: Suspected APT Targets Ivanti Connect Secure VPN in New Zero-Day Exploitation. Prepare for 2024's cybersecurity landscape.

https://www.mandiant.com/resources/blog/suspected-apt-targets-ivanti-zero-day

Report completeness: Low

Industry:
Government

CVEs:
CVE-2024-21887 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: 9.1
X-Force: Patch: Official fix

CVE-2023-46805 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: 8.2
X-Force: Patch: Official fix


ChatGPT TTPs:
do not use without manual check
T1078, T1208, T1106, T1059, T1005, T1203, T1071, T1043, T1022, T1041, have more...

IOCs:
File: 5
Url: 1
Domain: 1
Hash: 4

Algorithms:
md5, rc4, sha256, base64, aes

Functions:
accept, btoa

Win API:
decompress

Languages:
perl, javascript, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что устройства Ivanti Connect Secure VPN и Policy Secure подвержены влиянию двух уязвимостей: CVE-2023-46805 и CVE-2024-21887. Эти уязвимости, которые могут привести к обходу аутентификации и внедрению команд, активно эксплуатировались злоумышленником, известным как UNC5221, с декабря 2023 года. Ivanti сотрудничает с различными сторонами для устранения уязвимостей и предоставляет меры по смягчению последствий и информацию, чтобы помочь пострадавшим пользователям. Компания Mandiant выявила несколько семейств вредоносных программ, связанных с эксплуатацией устройств Ivanti, включая ZIPLINE, THINSPOOL, LIGHTWIRE, WIREFIRE и WARPWIRE. Эти семейства вредоносных программ обеспечивают доступ через черный ход, внедрение веб-оболочки, выполнение команд и сбор учетных данных. Источник угрозы, стоящий за этими действиями, не был идентифицирован, но нацеливание на уязвимости нулевого дня в пограничной инфраструктуре предполагает шпионаж в качестве мотивации.
-----

Важные факты из текста:.

Компания Ivanti раскрыла две уязвимости, CVE-2023-46805 и CVE-2024-21887, влияющие на их устройства Connect Secure VPN и Policy Secure.

Эти уязвимости могут привести к обходу аутентификации и внедрению команд, создавая риск для сетей-жертв.

Уязвимости активно эксплуатировались с декабря 2023 года злоумышленником, известным как UNC5221, подозреваемым в шпионской деятельности.

Ivanti сотрудничает с Mandiant, пострадавшими клиентами, правительственными партнерами и Volexity для устранения уязвимостей.

Компания Ivanti опубликовала меры по смягчению последствий и запись в блоге, чтобы помочь пользователям определить, были ли затронуты их системы, и в настоящее время разрабатываются исправления.

Компания Mandiant выявила пять семейств вредоносных программ, связанных с эксплуатацией устройств Ivanti, включая ZIPLINE, THINSPOOL, LIGHTWIRE, WIREFIRE и WARPWIRE.

ZIPLINE - это пассивный бэкдор, который перехватывает сетевой трафик и выполняет вредоносные функции на основе определенных критериев.

THINSPOOL - это дроппер, который внедряет веб-оболочку LIGHTWIRE в легальные файлы, пытаясь избежать обнаружения средством проверки целостности Ivanti.

LIGHTWIRE - это веб-оболочка, которая выполняет произвольные команды путем перехвата запросов и интерпретации декодированного зашифрованного текста как Perl-кода.

WIREFIRE - это веб-оболочка, которая служит троянским компонентом, позволяющим загружать файлы и выполнять произвольные команды.

WARPWIRE - это средство сбора учетных данных, встроенное в законный файл, предназначенное для использования с незашифрованными именами пользователей и паролями, отправляемыми через HTTP GET-запросы.

Конкретная группа исполнителей угроз, ответственная за эти действия, пока не определена.

Участники шпионажа обычно используют уязвимости нулевого дня в пограничной инфраструктуре для своих операций.

Использование скомпрометированных, не поддерживаемых Cyberoam VPN-устройств предполагает, что эта кампания мотивирована шпионажем.

#technique

"Bob the Smuggler": A tool that leverages HTML Smuggling Attack and allows you to create HTML files with embedded 7z/zip archives. The tool would compress your binary (EXE/DLL) into 7z/zip file format, then XOR encrypt the archive and then hides inside PNG/GIF image file format (Image Polyglots).

https://github.com/TheCyb3rAlpha/BobTheSmuggler

#technique
Интересная работа.
Обратите внимание на авторов. Мое субъективное ощущение, что от китайских спецов появляется очень много статей по атакам на ИИ.

https://arxiv.org/html/2312.14197v1

#ParsedReport #CompletenessLow
15-01-2024

Shiz. New variant of Shiz virus emerges, multiple ways to fight against stealing information

https://mp-weixin-qq-com.translate.goog/s/LCRwbXWkzoEMReD-5YsnFg?_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=en-US&_x_tr_pto=wapp

Report completeness: Low

Threats:
Shiz
Dns_hijacking_technique

Victims:
Foreign user groups

ChatGPT TTPs:
do not use without manual check
T1110, T1497, T1027, T1055, T1001, T1179, T1213

IOCs:
File: 3

Soft:
Tinder, WeChat, Windows Firewall

Win API:
DnsQuery_A, GetClipboardData, HttpSendRequestW

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 1, code: 21, dump: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что был обнаружен новый вариант вируса Shiz, нацеленный на иностранные группы пользователей и способный красть конфиденциальную информацию. Вирус применяет контрмеры, чтобы избежать обнаружения антивирусным программным обеспечением, и использует алгоритм генерации доменных имен для генерации динамических доменных имен, что затрудняет системам защиты блокирование связи с его сервером управления. Вредоносная программа внедряет вредоносные модули в системные процессы, скрываясь внутри различных процессов и выполняя вредоносные действия, такие как перехват DNS и кража данных.
-----

Недавно система анализа угроз Tinder выявила новый вариант вируса Shiz, который быстро распространяется. Этот конкретный вариант нацелен на иностранные группы пользователей и способен красть конфиденциальную информацию с зараженных компьютеров. Кроме того, он может выполнять различные вредоносные операции, включая перехват посещения пользователем веб-сайта антивирусного программного обеспечения и перенаправление его на веб-сайт Google.

При активации вирус Shiz использует контрмеры для обнаружения сред виртуальных машин и антивирусного программного обеспечения. Он использует различные тактики, такие как выполнение шеллкода блоками и методы обфускации, такие как PUSH RET, чтобы затруднить антивирусному программному обеспечению его обнаружение и борьбу с ним. После успешного выполнения вирус внедряет вредоносные модули в системные процессы для выполнения вредоносных действий, таких как кража данных, скриншоты и перехват DNS.

Процесс выполнения вируса включает расшифровку и выполнение шеллкода несколькими последовательными блоками. Каждый блок шифруется после выполнения, а следующий блок расшифровывается и выполняется впоследствии. Основная цель шеллкода - получить внутренние модули из ресурсов, расшифровать их и загрузить в память. Как только модуль выполняет операции инициализации, шелл-код вводится в системные процессы для выполнения.

Примечательной особенностью этого варианта Shiz является использование DGA (алгоритма генерации доменных имен) для генерации динамических доменных имен. Этот механизм позволяет вредоносному ПО обходить системы защиты, полагающиеся на статические черные списки. Традиционным методам защиты, основанным на сигнатурах, может быть сложно оперативно реагировать на динамически генерируемые доменные имена, что дает вредоносному ПО возможность взаимодействовать со своим сервером управления (C&C), даже если некоторые доменные имена занесены в черный список. В ходе анализа не было обнаружено уцелевших серверов C&C.

Вредоносный модуль, внедренный вирусом, может скрываться внутри различных процессов и выполнять вредоносный код. Если он идентифицирует процесс с именем "svchost.exe", он выполняет перехват DNS, подключая функции, связанные с DNS. Это позволяет вредоносному ПО перехватывать сетевой трафик и манипулировать им. Модуль также может загружать файлы подписей и другую конфиденциальную информацию на сервер C&C, одновременно записывая и загружая учетные данные для входа и указанные данные веб-сайта. Функция "HttpSendRequestW" используется в качестве примера в предоставленном фрагменте кода.

#ParsedReport #CompletenessLow
15-01-2024

The Many Faces of Undetected macOS InfoStealers \| KeySteal, Atomic & CherryPie Continue to Adapt

https://www.sentinelone.com/blog/the-many-faces-of-undetected-macos-infostealers-keysteal-atomic-cherrypie-continue-to-adapt

Report completeness: Low

Threats:
Keysteal
Amos_stealer
Meta_stealer
Realst
Applescript
Jaskago

Victims:
Macos users, Enterprise macos users

Geo:
Usa

ChatGPT TTPs:
do not use without manual check
T1027, T1497, TA0006, T1005, T1558, T1003

IOCs:
Hash: 13
Domain: 1
IP: 1

Soft:
macOS, ChatGPT, Gatekeeper, sudo

Platforms:
apple, cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4