#ParsedReport #CompletenessLow
15-01-2024

Analyzing APT28s OCEANMAP Backdoor & Exploring its C2 Server Artifacts. Analyzing APT28 s OCEANMAP Backdoor & Exploring its C2 Server Artifacts

https://medium.com/@knight0x07/analyzing-apt28s-oceanmap-backdoor-exploring-its-c2-server-artifacts-db2c3cb4556b

Report completeness: Low

Actors/Campaigns:
Fancy_bear (motivation: cyber_espionage)

Threats:
Oceanmap
Taskkill

Victims:
State organizations

Geo:
Russian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1078, T1547.001, T1095, T1083, T1059, T1213, T1114, T1105, T1003, T1059.001, have more...

IOCs:
File: 10
Path: 6
Command: 2

Algorithms:
base64

Functions:
execute, connect, Login, change, normal, ReplaceBytes, change_time, run, create, OCEANMAP, have more...

Win API:
readfile

Languages:
python

Platforms:
x64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что кибератака на государственные организации в Украине была приписана российской группе кибершпионажа APT28. В атаке использовался новый бэкдор под названием OCEANMAP, целью которого было поддержание постоянства, связь с сервером командования и контроля и выполнение команд. Злоумышленники, стоящие за APT28, активно тестировали бэкдор на своих собственных компьютерах, что свидетельствует об их расширенных возможностях в проведении кибершпионажа.
-----

28 декабря 2023 года Команда реагирования на компьютерные чрезвычайные ситуации в Украине (CERT-UA) опубликовала рекомендацию относительно кибератаки на государственные организации, приписав ее российской группе кибершпионажа APT28, также известной как Fancy Bear. В атаке использовался новый бэкдор под названием OCEANMAP, который был написан на C#. Целью этого бэкдора было поддержание постоянства путем завершения других экземпляров самого себя, удаления определенных двоичных файлов и создания копии двоичного файла. Он установил связь с сервером командования и контроля (C2) по протоколу IMAP на порту 143 с использованием TcpClient. В случае неудачных попыток входа в систему он пробовал разные наборы учетных данных.

Дальнейший анализ показал, что злоумышленники, стоящие за APT28, протестировали бэкдор OCEANMAP на своих собственных компьютерах. Артефакты с сервера C2 показали выходные данные выполнения команд и списки каталогов с конкретными путями в их системах. Кроме того, бэкдор мог удаленно обновлять свою конфигурацию, получая команды с сервера C2. Измененный двоичный файл будет взаимодействовать с обновленным сервером C2 и учетными данными электронной почты, обеспечивая стандартную длину конфигурации во время обновлений.

Для получения команд бэкдор OCEANMAP использовал метод readfile() и подключился к серверу C2 с помощью методов connect() и login(), используя указанные конфигурации сервера и учетных данных. Затем он выполнял поиск по определенным ключевым словам в темах сообщений и извлекал соответствующую команду, закодированную в base64, из тела сообщения. После декодирования и выполнения команд сообщения были удалены. Этот процесс выполнялся в рамках бесконечного цикла, при этом бэкдор переходил в спящий режим на основе значения sleep, указанного в конфигурации.

Таким образом, бэкдор OCEANMAP использовал различные методы для поддержания постоянства, связи с сервером C2 и выполнения команд. Злоумышленники, стоящие за APT28, активно тестировали бэкдор на своих компьютерах, и у бэкдора была возможность удаленно обновлять свою конфигурацию. Эти выводы подчеркивают расширенные возможности и операции APT28 в проведении кибершпионажной деятельности.

#ParsedReport #CompletenessHigh
15-01-2024

Sneaky Azorult Back in Action and Goes Undetected

https://cyble.com/blog/sneaky-azorult-back-in-action-and-goes-undetected

Report completeness: High

Threats:
Azorult

Geo:
Ukrainian, Russian, Asia, Azerbaijani, Belarusian

TTPs:
Tactics: 5
Technics: 6

IOCs:
Command: 4
Path: 2
Url: 9
File: 8
Domain: 1
IP: 1
Hash: 18

Soft:
task scheduler, Hyper-V, Active Directory, Electrum-LTC, Mozilla Firefox, Google Chrome, Microsoft Edge, Opera, Authy, Discord, have more...

Wallets:
electrum, electron_cash, jaxx, guarda_wallet, mymonero, wassabi, blockstreamgreen, bitpay, daedalus, trezor, have more...

Crypto:
ethereum, monero

Algorithms:
xor, sha256, curve25519, zip, base64, sha1, aes, md5

Functions:
EnumDisplayDevices, ShellExecute, checkVal, putBaseCfg, systeminfo, cryptowallets

Win API:
VirtualAlloc, CreateThread, WaitForSingleObject, GetUserDefaultLangID, CryptGenRandom

Languages:
javascript, powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 5, code: 12, dump: 5

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что вредоносная программа Azorult представляет собой угрозу кражи информации, которая в настоящее время развертывается в рамках текущей кампании. Вредоносная программа использует запутанные сценарии PowerShell и выполнение на основе памяти, чтобы избежать обнаружения. Он может служить загрузчиком для других семейств вредоносных программ и широко используется в фишинговых кампаниях по электронной почте. Вредоносное ПО нацелено на конфиденциальные данные, включая историю посещенных страниц, учетные данные для входа, файлы cookie и информацию о криптовалюте. Оно также захватывает скриншоты зараженной системы и отправляет собранные артефакты на удаленный сервер. Доступность вредоносного ПО на подпольных форумах подчеркивает постоянную опасность, которую оно представляет для скомпрометированных систем.
-----

Вредоносная программа Azorult - это угроза кражи информации, впервые выявленная в 2016 году.

Он собирает такие данные, как история посещенных страниц, учетные данные для входа в систему, файлы cookie и сведения о криптовалюте.

Azorult может служить загрузчиком для других семейств вредоносных программ.

Продолжается кампания, нацеленная на ничего не подозревающих пользователей.

Кампания начинается с zip-файла, содержащего вредоносный ярлык, замаскированный под PDF-документ.

Различные этапы включают запутанные сценарии PowerShell, пакетные файлы, удаленные серверы и внедрение шелл-кода.

Все действия выполняются в памяти компьютера, чтобы избежать обнаружения и избежать следов на диске.

Azorult широко использовался в фишинговых кампаниях по электронной почте и доступен для продажи на подпольных российских форумах.

Он нацелен на крипто-кошельки, браузеры и различные приложения для сбора конфиденциальных данных.

Собранные артефакты отправляются на удаленный сервер с помощью шифрования и сжатия.

Azorult использует криптографию с эллиптической кривой Curve25519 для генерации ключей и безопасной связи.

Он может быть родом из Восточной Европы или Центральной Азии, основываясь на языковых показателях в коде.

Вредоносная программа значительно снижает вероятность обнаружения, поскольку не сохраняет файлы на диске.

Продолжающаяся кампания Azorult представляет постоянную угрозу, поскольку крадет конфиденциальные данные и способствует распространению дополнительных вредоносных программ.

#ParsedReport #CompletenessLow
15-01-2024

Remcos RAT. Remcos RAT communication model analysis and offensive and defensive technology confrontation

https://mp-weixin-qq-com.translate.goog/s/yqauQ6rtBzrLI7h1nB7zQg?_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=en&_x_tr_pto=wapp

Report completeness: Low

Threats:
Remcos_rat

ChatGPT TTPs:
do not use without manual check
T1056, T1213, T1219, T1486

IOCs:
File: 1

Soft:
WeChat

Algorithms:
rc4

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основной идеей текста является анализ коммуникационной модели версии коммерческого трояна Remcos-v4.9.3, известного как Remcos. Автор подчеркивает важность изучения методов атаки и защиты, связанных с этим трояном, поскольку он широко используется APT-организациями в целях кражи данных. В тексте обсуждаются проблемы расшифровки сообщений троянца из-за использования шифрования TLS1.3 и предлагаются альтернативные подходы, такие как моделирование и воспроизведение модели связи для эффективного анализа и отладки.
-----

В тексте обсуждается анализ коммуникационной модели версии Remcos-v4.9.3 программы удаленного управления, известной как Remcos. Этот коммерческий троян широко используется организациями APT в целях кражи данных и постоянно обновляется и поддерживается. Автор подчеркивает важность исследования методов атаки и защиты, связанных с этим трояном.

Чтобы понять историческую коммуникационную модель Remcos, автор провел исследование с различных точек зрения. Они искали исторические версии программы, но обнаружили ограниченную доступность. Они также искали аналитические отчеты в Интернете, но лишь немногие сосредоточились на сетевой коммуникационной модели. Автор, наконец, проанализировал последнюю бесплатную версию Remcos и определил две модели коммуникации, включая использование протокола TLS1.3.

Далее автор проанализировал агентский троян Remcos и обнаружил, что расшифровать его сообщения сложно из-за шифрования TLS1.3. Тем не менее, они предлагают проанализировать зашифрованные данные, чтобы обнаружить и идентифицировать коммуникационное поведение образца. Автор приходит к выводу, что в целом работа Remcos удобна для пользователя и плавна, поддерживается множество инструкций.

В процессе анализа автор заметил, что разные версии Remcos используют один и тот же метод шифрования информации о конфигурации. Они предполагают, что все исторические версии Remcos, включая самые последние, используют унифицированное шифрование информации о конфигурации.

В своем анализе версии Remcos-v4.9.3 автор заметил различия в данных связи по сравнению с обычными методами дешифрования TLS. Они отметили отсутствие данных сертификата и неиспользование алгоритма DH в данных связи. Коммуникационное поведение этой версии включало в себя основной сеанс для получения инструкций и данных о сердцебиении, а также подсеансы для передачи командных данных.

Автор предлагает альтернативный подход для быстрой сортировки инструкций ответа каждой функции в Remcos-v4.9.3. Это включает в себя моделирование и воспроизведение коммуникационной модели программы для эффективного анализа и отладки конкретных номеров команд. Они попытались смоделировать и построить управляющую часть программы дистанционного управления Remcos-v4.9.3 для целей анализа.

Подводя итог, в тексте основное внимание уделяется анализу коммуникационной модели версии коммерческого трояна Remcos-v4.9.3, используемой организациями APT. Автор рассматривает различные точки зрения, включая поиск исторических версий, изучение аналитических отчетов и анализ последней бесплатной версии Remcos. Они также обсуждают проблемы расшифровки сообщений трояна из-за использования шифрования TLS1.3. Автор предлагает моделирование и воспроизведение коммуникационной модели для эффективного анализа и отладки.

#ParsedReport #CompletenessLow
15-01-2024

LockBit ransomware is distributed as a word document disguised as a resume.

https://asec.ahnlab.com/ko/60353

Report completeness: Low

Threats:
Lockbit
Malware/win.agen.r417906
Trojan/win.generic.r629778
Ransom/mdp.event.m4194

ChatGPT TTPs:
do not use without manual check
T1566.001, T1133, T1204, T1027, T1036, T1059.001, T1486

IOCs:
File: 2
Url: 6
Hash: 14

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея из текста заключается в том, что программа-вымогатель LockBit распространяется через документы Word, которые выдают себя за резюме. Вредоносные документы содержат внешние URL-ссылки и при запуске загружают дополнительный вредоносный макрокод. Злоумышленники повторно используют ранее распространенные документы, а код макроса запутан аналогично тому, что наблюдалось в 2022 году. В конечном итоге макрос запускает PowerShell для загрузки и выполнения программы-вымогателя LockBit. Пользователям следует проявлять осторожность при работе с файлами, связанными с резюме, поскольку подобным образом распространяются и другие формы вредоносного кода.
-----

Аналитический центр безопасности AhnLab (ASEC) подтвердил, что программа-вымогатель LockBit распространяется через документы Word, выдавая себя за резюме. Этот метод распространения с использованием внешних URL-ссылок в документах Word впервые был замечен в 2022 году. Последний вредоносный документ Word содержит файл с именем \word\_rels\settings.xml.rels, который содержит внешнюю ссылку. При запуске документа с внешнего URL загружается файл документа с дополнительным вредоносным макрокодом.

При проверке свойств документа было обнаружено, что большинство из них соответствуют свойствам ранее распространявшихся документов. Это говорит о том, что злоумышленники повторно используют документы, использовавшиеся в прошлом. Документ Word содержит изображение, которое запускает выполнение вредоносного макроса VBA. При выполнении этого макроса выполняется макрос VBA загруженного файла документа.

Код этого макроса запутан аналогично макросу VBA, наблюдавшемуся в 2022 году. В конечном счете, макрос запускает PowerShell, который затем загружает и запускает программу-вымогатель LockBit. Подтвержденный URL-адрес для загрузки программы-вымогателя LockBit 3.0 приведен в тексте.

Как только программа-вымогатель LockBit 3.0 запускается на компьютере пользователя, она шифрует файлы в системе. Важно отметить, что помимо программы-вымогателя LockBit распространяются различные другие формы вредоносного кода, замаскированные под резюме. Поэтому пользователям необходимо проявлять осторожность при работе с файлами, связанными с резюме.

#ParsedReport #CompletenessLow
15-01-2024

Sneaky GPU.zip Technique Steals Sensitive Information From Your Graphics Card

https://blogs.blackberry.com/en/2023/12/sneaky-gpu-zip-technique-steals-sensitive-information-from-your-graphics-card

Report completeness: Low

Industry:
Education, Financial

Geo:
American

ChatGPT TTPs:
do not use without manual check
T1003, T1566, T1114, T1204, T1213

IOCs:
File: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что группа исследователей обнаружила метод под названием GPU.zip, который позволяет злоумышленникам получать несанкционированный доступ к визуальной информации пользователей через их видеокарты при просмотре определенных веб-сайтов. Этот эксплойт использует методы скрытого сжатия данных в современных графических процессорах и работает как атака по побочному каналу. В отличие от других атак, GPU.zip не требует прямого доступа к целевому устройству и может быть выполнена удаленно. Исследователи обеспокоены последствиями этой атаки для конфиденциальности и безопасности пользователей и представят подробный анализ на предстоящей конференции по кибербезопасности.
-----

Группа исследователей из ведущих американских университетов обнаружила вызывающий беспокойство метод, позволяющий злоумышленникам получать несанкционированный доступ к визуальной информации пользователей через их видеокарты, когда они просматривают определенные веб-сайты. Получившая название GPU.zip, эта угроза использует методы скрытого сжатия данных, используемые современными графическими процессорами, что позволяет передавать визуальные данные третьим лицам-злоумышленникам.

Атака работает как атака по побочному каналу, используя непреднамеренную утечку информации для сбора данных. Она имеет сходство с другой формой атаки, называемой "Горячие пиксели", когда злоумышленник извлекает пиксели из веб-браузера, чтобы раскрыть историю посещений пользователем.

Что отличает GPU.zip, так это то, что для этого не требуется прямой доступ к целевому устройству, что делает его особенно тревожным. Скорее всего, злоумышленники, осуществляющие целенаправленную атаку, могут удаленно заманивать пользователей на свой вредоносный веб-сайт, потенциально используя такие тактики, как фишинг электронной почты. Хотя атака может быть выполнена на различных устройствах, таких как ноутбуки, смартфоны, планшеты и настольные компьютеры по всему миру, она требует значительного времени и сложной настройки. Кроме того, веб-сайты, использующие перекрестное встраивание iframe, которое не позволяет другим веб-сайтам отображать их контент, не могут быть использованы для кражи данных с использованием GPU.zip или аналогичных методов.

Исследователи выражают обеспокоенность потенциальными последствиями этой атаки для конфиденциальности и безопасности пользователей. Использование современных графических процессоров таким образом может позволить злоумышленникам получать доступ к визуальной информации с веб-страниц и злоупотреблять ею без ведома пользователя. Подробный анализ этого типа атак будет представлен на 45-м симпозиуме IEEE по безопасности и конфиденциальности в мае 2024 года в статье, подготовленной совместно исследователями из Техасского университета в Остине, Университета Карнеги-Меллона, Вашингтонского университета и Иллинойского университета Урбана-Шампейн.

#ParsedReport #CompletenessLow
15-01-2024

You Had Me at Hi - Mirai-Based NoaBot Makes an Appearance

https://www.akamai.com/blog/security-research/2024/jan/mirai-based-noabot-crypto-mining

Report completeness: Low

Threats:
Mirai
Noabot
P2pinfect
Xmrig_miner

Victims:
Linux-based iot devices, Chinese networks

Industry:
Iot, Financial, Entertainment

Geo:
China

ChatGPT TTPs:
do not use without manual check
T1050, T1071, T1496, T1027

IOCs:
IP: 1

Soft:
crontab, Redis, Unix, Docker

Algorithms:
xor

Languages:
rust

Links:
https://github.com/akamai/akamai-security-research/tree/main/malware/noabot/credentials
https://github.com/jgamblin/Mirai-Source-Code/blob/3273043e1ef9c0bb41bd9fcdc5317f7b797a2a94/ForumPost.md
https://github.com/guardicore/monkey/releases/download/v2.3.0/InfectionMonkey-docker-v2.3.0.tgz
https://github.com/guardicore/monkey/releases/download/v2.3.0/InfectionMonkey-v2.3.0.exe
https://github.com/akamai/akamai-security-research/tree/main/malware/noabot/infection\_monkey\_noabot\_profile.conf
https://github.com/jgamblin/Mirai-Source-Code/tree/3273043e1ef9c0bb41bd9fcdc5317f7b797a2a94
https://github.com/xmrig/xmrig/blob/master/src/xmrig.cpp
https://github.com/akamai/akamai-security-research/tree/main/malware/noabot
https://github.com/guardicore/monkey/releases/download/v2.3.0/InfectionMonkey-v2.3.0.AppImage

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что существует ботнет под названием NoaBot, который специально нацелен на IoT-устройства на базе Linux для распределенных атак типа "Отказ в обслуживании" (DDoS). NoaBot впервые появился в 2023 году и с тех пор эволюционировал. Он напоминает ботнет Mirai, но имеет некоторые отличительные особенности, включая использование SSH вместо Telnet и включение текстов песен и обфускаций, препятствующих обратному проектированию. NoaBot использует другой словарь учетных данных для своего SSH-сканера и скомпилирован с uClibc для предотвращения обнаружения антивирусом. Он также включает в себя криптоминер, хотя адрес кошелька для получения платежей не был идентифицирован. Присутствие червя P2PInfect рядом с NoaBot указывает на причастность одних и тех же участников угрозы. Деятельность NoaBot особенно распространена в Китае. Для снижения риска, создаваемого NoaBot, рекомендуется ограничить доступ по SSH и использовать надежные пароли. Специалисты по безопасности могут найти индикаторы компрометации и сигнатуры обнаружения, которые помогут идентифицировать и смягчить атаки NoaBot, а для целей тестирования предоставляется файл конфигурации эмуляции. Кроме того, в тексте упоминается новая кампания по крипто-майнингу, которая использует модифицированную версию ботнета Mirai под названием NoaBot и удаляет модифицированную версию майнера XMRig. Кампания демонстрирует как профессионализм, так и незрелость в своей работе и демонстрирует некоторые связи с червем P2PInfect. В 2023 году было зафиксировано более 800 различных атакующих IP-адресов, связанных с NoaBot, равномерно распределенных по всему миру. Показатели компрометации, запросы, подписи и скрипты были распространены, чтобы помочь в идентификации и защите от кампании NoaBot.
-----

NoaBot - это ботнет, предназначенный для DDoS-атак на устройства интернета вещей на базе Linux.

Впервые он был обнаружен в 2023 году и с тех пор эволюционировал дважды.

NoaBot использует SSH вместо Telnet, аналогично ботнету Mirai.

Вредоносная программа включает в себя тексты песен и обфускации для реверс-инжиниринга.

NoaBot имеет другой словарь учетных данных для SSH-сканера и скомпилирован с помощью uClibc.

Он включает в себя криптоминер, но адрес кошелька для получения платежей неизвестен.

P2PInfect, самовоспроизводящийся червь, написанный на Rust, связан с NoaBot.

NoaBot демонстрирует сочетание профессионализма и незрелости.

Китай является важной горячей точкой для активности NoaBot, на его долю приходится почти 10% атак.

Рекомендуемые меры по смягчению последствий включают ограничение доступа по SSH и использование надежных паролей.

Для выявления и смягчения атак NoaBot доступны индикаторы компрометации и сигнатуры обнаружения.

Была раскрыта новая кампания по майнингу криптовалют, использующая модифицированную версию Mirai под названием NoaBot.

Кампания использует SSH для распространения вредоносного ПО и включает в себя самораспространяющийся вирус и бэкдор с ключом SSH.

Модифицированный майнер XMRig удаляется как часть атаки, что приводит к запутыванию его конфигурации.

NoaBot связан с червем P2PInfect.

Вредоносная программа демонстрирует высокий уровень операционной безопасности, но также обладает детскими характеристиками.

В 2023 году по всему миру было зафиксировано более 800 атакующих IP-адресов.

Для обнаружения и защиты от NoaBot были опубликованы индикаторы компрометации, запросы, подписи и скрипты.

#ParsedReport #CompletenessLow
16-01-2024

SmokeLoader is distributed targeting the Ukrainian government and companies.

https://asec.ahnlab.com/ko/60384

Report completeness: Low

Threats:
Smokeloader
Lockbit
Trojan/win.fakepdf.r626460
Dropper/win.dropperx-gen.r630443
Malware/mdp.execute.m1567

Victims:
Ukrainian government, Ukrainian ministry of justice, Ukrainian public institutions, Ukrainian insurance companies, Ukrainian medical companies, Ukrainian construction companies, Ukrainian manufacturing companies

Industry:
Healthcare, Government

Geo:
Ukrainian, Ukraine

ChatGPT TTPs:
do not use without manual check
T1193, T1486, T1064, T1047

IOCs:
File: 2
Hash: 2
Url: 10

Algorithms:
zip, md5

#ParsedReport #ExtractedSchema

Classified images:
windows: 3, dump: 1, schema: 1