CTT Report Hub
#ParsedReport #CompletenessLow 18-01-2024 Outlook Vulnerability Discovery and New Ways to Leak NTLM Hashes https://www.varonis.com/blog/outlook-vulnerability-new-ways-to-leak-ntlm-hashes Report completeness: Low Threats: Mitm_technique Industry: Ics …
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что Varonis Threat Labs обнаружила три новых метода, которые злоумышленники могут использовать для доступа к хэшированным паролям NTLM версии 2, используя уязвимости в Microsoft Outlook, Windows Performance Analyzer и Windows File Explorer. Эти уязвимости позволяют злоумышленникам запускать автономные атаки методом перебора или ретрансляции аутентификации для компрометации учетных записей пользователей и получения несанкционированного доступа. Microsoft выпустила исправление для уязвимости в Outlook.
-----
Недавно Varonis Threat Labs обнаружила три новых метода, которые злоумышленники могут использовать для доступа к хэшированным паролям NTLM версии 2, используя уязвимости в Microsoft Outlook, Windows Performance Analyzer (WPA) и Windows File Explorer. Получив доступ к этим паролям, злоумышленники могут запускать автономные атаки методом перебора или ретрансляции аутентификации, чтобы скомпрометировать учетные записи пользователей и получить несанкционированный доступ.
Одна из уязвимостей, CVE-2023-35636, нацелена на функцию общего доступа к календарю в Microsoft Outlook. Злоумышленники могут добавлять определенные заголовки в электронное письмо, заставляя Outlook предоставлять общий доступ к содержимому и связываться с указанным компьютером. Это создает возможность для злоумышленника перехватить хэш NTLM версии 2.
При автономной атаке методом перебора исполнитель угрозы генерирует все возможные пароли, используя копию хэша NTLM версии 2, и пробует их один за другим по хэшу, пока не найдет совпадение.
Чтобы воспользоваться уязвимостью в Outlook, злоумышленник отправляет жертве приглашение по электронной почте и указывает путь к файлу .ICS на контролируемом компьютере. Делая это, субъект угрозы может перехватывать пакеты, содержащие хэш, когда компьютер жертвы пытается получить файл конфигурации с компьютера злоумышленника. Хэш NTLM жертвы раскрывается в процессе аутентификации.
Уязвимость в Windows Performance Analyzer позволяет злоумышленникам отправлять электронное письмо-приманку, содержащее ссылку на вредоносный сайт. Щелчок по ссылке инициирует автоматическое перенаправление на полезную нагрузку на вредоносном сайте. Жертве предлагается нажать кнопку "Открыть WPA", которая позволяет злоумышленнику получить хэшированный пароль жертвы NTLM версии 2. Этот эксплойт может быть реализован различными способами, такими как фишинг электронной почты, поддельная реклама на веб-сайтах или в социальных сетях.
Уязвимость проводника файлов Windows связана с использованием explorer.exe для поиска файлов с расширением .search-ms. Обходя предыдущие обнаружения, эксплойт взаимодействует напрямую с explorer.exe без использования rundll32. Обнаружение этим методом аналогично обнаружению CVE-2023-23397.
Корпорация Майкрософт признала уязвимость в Outlook важной CVE с рейтингом 6,5 и выпустила исправление 12 декабря 2023 года.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что Varonis Threat Labs обнаружила три новых метода, которые злоумышленники могут использовать для доступа к хэшированным паролям NTLM версии 2, используя уязвимости в Microsoft Outlook, Windows Performance Analyzer и Windows File Explorer. Эти уязвимости позволяют злоумышленникам запускать автономные атаки методом перебора или ретрансляции аутентификации для компрометации учетных записей пользователей и получения несанкционированного доступа. Microsoft выпустила исправление для уязвимости в Outlook.
-----
Недавно Varonis Threat Labs обнаружила три новых метода, которые злоумышленники могут использовать для доступа к хэшированным паролям NTLM версии 2, используя уязвимости в Microsoft Outlook, Windows Performance Analyzer (WPA) и Windows File Explorer. Получив доступ к этим паролям, злоумышленники могут запускать автономные атаки методом перебора или ретрансляции аутентификации, чтобы скомпрометировать учетные записи пользователей и получить несанкционированный доступ.
Одна из уязвимостей, CVE-2023-35636, нацелена на функцию общего доступа к календарю в Microsoft Outlook. Злоумышленники могут добавлять определенные заголовки в электронное письмо, заставляя Outlook предоставлять общий доступ к содержимому и связываться с указанным компьютером. Это создает возможность для злоумышленника перехватить хэш NTLM версии 2.
При автономной атаке методом перебора исполнитель угрозы генерирует все возможные пароли, используя копию хэша NTLM версии 2, и пробует их один за другим по хэшу, пока не найдет совпадение.
Чтобы воспользоваться уязвимостью в Outlook, злоумышленник отправляет жертве приглашение по электронной почте и указывает путь к файлу .ICS на контролируемом компьютере. Делая это, субъект угрозы может перехватывать пакеты, содержащие хэш, когда компьютер жертвы пытается получить файл конфигурации с компьютера злоумышленника. Хэш NTLM жертвы раскрывается в процессе аутентификации.
Уязвимость в Windows Performance Analyzer позволяет злоумышленникам отправлять электронное письмо-приманку, содержащее ссылку на вредоносный сайт. Щелчок по ссылке инициирует автоматическое перенаправление на полезную нагрузку на вредоносном сайте. Жертве предлагается нажать кнопку "Открыть WPA", которая позволяет злоумышленнику получить хэшированный пароль жертвы NTLM версии 2. Этот эксплойт может быть реализован различными способами, такими как фишинг электронной почты, поддельная реклама на веб-сайтах или в социальных сетях.
Уязвимость проводника файлов Windows связана с использованием explorer.exe для поиска файлов с расширением .search-ms. Обходя предыдущие обнаружения, эксплойт взаимодействует напрямую с explorer.exe без использования rundll32. Обнаружение этим методом аналогично обнаружению CVE-2023-23397.
Корпорация Майкрософт признала уязвимость в Outlook важной CVE с рейтингом 6,5 и выпустила исправление 12 декабря 2023 года.
#ParsedReport #CompletenessMedium
18-01-2024
New TTPs observed in Mint Sandstorm campaign targeting high-profile individuals at universities and research orgs
https://www.microsoft.com/en-us/security/blog/2024/01/17/new-ttps-observed-in-mint-sandstorm-campaign-targeting-high-profile-individuals-at-universities-and-research-orgs
Report completeness: Medium
Actors/Campaigns:
Charming_kitten
Threats:
Mediapl
Mischieftut
Nircmd_tool
Eyeglass
Victims:
Universities, Research organizations
Industry:
Education, Military
Geo:
France, Iran, Tehran, Belgium, Israel
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
T1566, T1078, T1059, T1059.001, T1094.003, T1213, T1036, T1152.001, T1036.004
IOCs:
Domain: 8
File: 4
Hash: 1
Soft:
Microsoft Defender for Endpoint, Microsoft Defender, curl, Windows Media Player, Microsoft Edge
Algorithms:
sha256, aes, base64, cbc
Languages:
powershell
Platforms:
arm
18-01-2024
New TTPs observed in Mint Sandstorm campaign targeting high-profile individuals at universities and research orgs
https://www.microsoft.com/en-us/security/blog/2024/01/17/new-ttps-observed-in-mint-sandstorm-campaign-targeting-high-profile-individuals-at-universities-and-research-orgs
Report completeness: Medium
Actors/Campaigns:
Charming_kitten
Threats:
Mediapl
Mischieftut
Nircmd_tool
Eyeglass
Victims:
Universities, Research organizations
Industry:
Education, Military
Geo:
France, Iran, Tehran, Belgium, Israel
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1566, T1078, T1059, T1059.001, T1094.003, T1213, T1036, T1152.001, T1036.004
IOCs:
Domain: 8
File: 4
Hash: 1
Soft:
Microsoft Defender for Endpoint, Microsoft Defender, curl, Windows Media Player, Microsoft Edge
Algorithms:
sha256, aes, base64, cbc
Languages:
powershell
Platforms:
arm
Microsoft News
New TTPs observed in Mint Sandstorm campaign targeting high-profile individuals at universities and research orgs
A distinct subset of Mint Sandstorm targets high-profile individuals working on Middle Eastern affairs at universities and research orgs.
CTT Report Hub
#ParsedReport #CompletenessMedium 18-01-2024 New TTPs observed in Mint Sandstorm campaign targeting high-profile individuals at universities and research orgs https://www.microsoft.com/en-us/security/blog/2024/01/17/new-ttps-observed-in-mint-sandstorm-campaign…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что Microsoft выявила группу киберугроз под названием Mint Sandstorm (PHOSPHORUS), связанную с военной разведкой Ирана. Mint Sandstorm нацелена на высокопоставленных лиц, занимающихся ближневосточными делами, особенно на тех, кто может предложить идеи или повлиять на сообщества в области безопасности и политики. Группа использует пользовательские фишинговые приманки, скомпрометированные учетные записи электронной почты и тактику социальной инженерии, чтобы обманом заставить своих жертв загружать вредоносные файлы. Они внедрили пользовательский бэкдор под названием MediaPl и используют различные методы для поддержания работоспособности в скомпрометированных средах. Корпорация Майкрософт предоставляет информацию об анализе, обнаружении, поиске и защите, чтобы помочь организациям защититься от кампаний Mint Sandstorm. В статье также подробно описываются тактика, методы и процедуры группы, а также рекомендуемые действия по смягчению связанных с ними угроз.
-----
Корпорация Microsoft выявила группу киберугроз, известную как Mint Sandstorm (PHOSPHORUS), нацеленную на высокопоставленных лиц, занимающихся ближневосточными делами.
Целями Mint Sandstorm являются университеты и исследовательские организации в различных странах, включая Бельгию, Францию, Газу, Израиль, Великобританию и Соединенные Штаты.
Mint Sandstorm использует специальные фишинговые приманки, чтобы обманом заставить цели загрузить вредоносные файлы.
Mint Sandstorm продемонстрировала новые методы защиты от вторжений и представила пользовательский бэкдор под названием MediaPl.
Мятная песчаная буря ассоциируется с APT35 и Charming Kitten, разведывательными подразделениями вооруженных сил Ирана.
Кампания направлена на то, чтобы собрать мнения о войне Израиля и ХАМАСА от людей с различными идеологическими точками зрения.
Корпорация Майкрософт предоставляет аналитическую информацию и информацию о защите в своем блоге, чтобы помочь защититься от кампаний Mint Sandstorm.
Mint Sandstorm выдает себя за известных личностей и отправляет целевым пользователям безобидные электронные письма, прежде чем доставлять вредоносный контент.
Скомпрометированные учетные записи электронной почты используются для повышения доверия к Mint Sandstorm.
MIPS Sandstorm использует различные методы сохранения в скомпрометированных средах, включая использование пользовательских бэкдоров.
MediaPl - это бэкдор, который маскируется под проигрыватель Windows Media, а MischiefTut - это бэкдор на базе PowerShell.
Антивирус Microsoft Defender обнаруживает бэкдоры MediaPl и MischiefTut.
Удаленный доступ с помощью Mint Sandstorm может привести к нарушению конфиденциальности системы и юридическим/репутационным рискам для затронутых организаций.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что Microsoft выявила группу киберугроз под названием Mint Sandstorm (PHOSPHORUS), связанную с военной разведкой Ирана. Mint Sandstorm нацелена на высокопоставленных лиц, занимающихся ближневосточными делами, особенно на тех, кто может предложить идеи или повлиять на сообщества в области безопасности и политики. Группа использует пользовательские фишинговые приманки, скомпрометированные учетные записи электронной почты и тактику социальной инженерии, чтобы обманом заставить своих жертв загружать вредоносные файлы. Они внедрили пользовательский бэкдор под названием MediaPl и используют различные методы для поддержания работоспособности в скомпрометированных средах. Корпорация Майкрософт предоставляет информацию об анализе, обнаружении, поиске и защите, чтобы помочь организациям защититься от кампаний Mint Sandstorm. В статье также подробно описываются тактика, методы и процедуры группы, а также рекомендуемые действия по смягчению связанных с ними угроз.
-----
Корпорация Microsoft выявила группу киберугроз, известную как Mint Sandstorm (PHOSPHORUS), нацеленную на высокопоставленных лиц, занимающихся ближневосточными делами.
Целями Mint Sandstorm являются университеты и исследовательские организации в различных странах, включая Бельгию, Францию, Газу, Израиль, Великобританию и Соединенные Штаты.
Mint Sandstorm использует специальные фишинговые приманки, чтобы обманом заставить цели загрузить вредоносные файлы.
Mint Sandstorm продемонстрировала новые методы защиты от вторжений и представила пользовательский бэкдор под названием MediaPl.
Мятная песчаная буря ассоциируется с APT35 и Charming Kitten, разведывательными подразделениями вооруженных сил Ирана.
Кампания направлена на то, чтобы собрать мнения о войне Израиля и ХАМАСА от людей с различными идеологическими точками зрения.
Корпорация Майкрософт предоставляет аналитическую информацию и информацию о защите в своем блоге, чтобы помочь защититься от кампаний Mint Sandstorm.
Mint Sandstorm выдает себя за известных личностей и отправляет целевым пользователям безобидные электронные письма, прежде чем доставлять вредоносный контент.
Скомпрометированные учетные записи электронной почты используются для повышения доверия к Mint Sandstorm.
MIPS Sandstorm использует различные методы сохранения в скомпрометированных средах, включая использование пользовательских бэкдоров.
MediaPl - это бэкдор, который маскируется под проигрыватель Windows Media, а MischiefTut - это бэкдор на базе PowerShell.
Антивирус Microsoft Defender обнаруживает бэкдоры MediaPl и MischiefTut.
Удаленный доступ с помощью Mint Sandstorm может привести к нарушению конфиденциальности системы и юридическим/репутационным рискам для затронутых организаций.
#ParsedReport #CompletenessLow
18-01-2024
Check Point Research alerts on a new NFT airdrop campaign
https://research.checkpoint.com/2024/check-point-research-alerts-on-a-new-nft-airdrop-campaign
Report completeness: Low
Victims:
More than 200k nft investors, Famous projects
Industry:
Financial
ChatGPT TTPs:
T1566.002, T1036, T1027, T1102, T1566, T1090, T1496
IOCs:
Coin: 3
Crypto:
ethereum
Languages:
python
Platforms:
intel
18-01-2024
Check Point Research alerts on a new NFT airdrop campaign
https://research.checkpoint.com/2024/check-point-research-alerts-on-a-new-nft-airdrop-campaign
Report completeness: Low
Victims:
More than 200k nft investors, Famous projects
Industry:
Financial
ChatGPT TTPs:
do not use without manual checkT1566.002, T1036, T1027, T1102, T1566, T1090, T1496
IOCs:
Coin: 3
Crypto:
ethereum
Languages:
python
Platforms:
intel
Check Point Research
Check Point Research alerts on a new NFT airdrop campaign - Check Point Research
By Oded Vanunu, Dikla Barda, Roman Zaikin A recent investigation conducted by Check Point Research has revealed a sophisticated NFT scam campaign operating on a large scale: This campaign is unique in its methodology, employing a source spoofing technique…
CTT Report Hub
#ParsedReport #CompletenessLow 18-01-2024 Check Point Research alerts on a new NFT airdrop campaign https://research.checkpoint.com/2024/check-point-research-alerts-on-a-new-nft-airdrop-campaign Report completeness: Low Victims: More than 200k nft investors…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея из текста заключается в том, что исследование Check Point раскрыло сложную кампанию мошенничества с NFT, которая нацелена на людей с помощью поддельных AIRDROPs и фишинговых веб-сайтов, используя такие методы, как подмена, манипулирование блокчейном и запутывание. Пользователям рекомендуется проявлять осторожность, проверять законность и быть в курсе событий, чтобы защититься от подобных мошенничеств. Рекомендуются надежные исследователи блокчейна, методы безопасного просмотра и аппаратные кошельки, а Check Point предлагает блокчейн-систему Intel для предоставления информации о возникающих угрозах.
-----
Краткое содержание:.
Исследование Check Point раскрыло сложную кампанию мошенничества с использованием NFT, нацеленную на более чем 200 000 человек. Расследование выявило инфраструктуру, которая распространяла AIRDROPs, имитируя известные проекты. Мошенничество включает в себя подмену адреса отправителя в транзакциях, манипулирование исследователями блокчейна и использование прокси-контрактов для сокрытия истинной природы транзакций. Фишинговый веб-сайт обманом заставляет пользователей подписать транзакцию и крадет их средства. Мошенничество сочетает в себе поддельный AIRDROP с фишинговым веб-сайтом, что делает его многогранным подходом. Для защиты от подобных мошенничеств пользователям следует проявлять осторожность, проверять законность цифровых активов и связанных с ними веб-сайтов и быть в курсе распространенных тактик мошенничества. Рекомендуются надежные исследователи блокчейна, методы безопасного просмотра и аппаратные кошельки. Блокчейн-система Intel Threat от Check Point предоставляет ценную информацию о возникающих угрозах в криптопространстве, стремясь предоставить инвесторам знания и безопасную навигацию.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея из текста заключается в том, что исследование Check Point раскрыло сложную кампанию мошенничества с NFT, которая нацелена на людей с помощью поддельных AIRDROPs и фишинговых веб-сайтов, используя такие методы, как подмена, манипулирование блокчейном и запутывание. Пользователям рекомендуется проявлять осторожность, проверять законность и быть в курсе событий, чтобы защититься от подобных мошенничеств. Рекомендуются надежные исследователи блокчейна, методы безопасного просмотра и аппаратные кошельки, а Check Point предлагает блокчейн-систему Intel для предоставления информации о возникающих угрозах.
-----
Краткое содержание:.
Исследование Check Point раскрыло сложную кампанию мошенничества с использованием NFT, нацеленную на более чем 200 000 человек. Расследование выявило инфраструктуру, которая распространяла AIRDROPs, имитируя известные проекты. Мошенничество включает в себя подмену адреса отправителя в транзакциях, манипулирование исследователями блокчейна и использование прокси-контрактов для сокрытия истинной природы транзакций. Фишинговый веб-сайт обманом заставляет пользователей подписать транзакцию и крадет их средства. Мошенничество сочетает в себе поддельный AIRDROP с фишинговым веб-сайтом, что делает его многогранным подходом. Для защиты от подобных мошенничеств пользователям следует проявлять осторожность, проверять законность цифровых активов и связанных с ними веб-сайтов и быть в курсе распространенных тактик мошенничества. Рекомендуются надежные исследователи блокчейна, методы безопасного просмотра и аппаратные кошельки. Блокчейн-система Intel Threat от Check Point предоставляет ценную информацию о возникающих угрозах в криптопространстве, стремясь предоставить инвесторам знания и безопасную навигацию.
#ParsedReport #CompletenessMedium
19-01-2024
From Email to RAT: Deciphering a VB Script-Driven Campaign
https://www.mcafee.com/blogs/other-blogs/mcafee-labs/from-email-to-rat-deciphering-a-vb-script-driven-campaign
Report completeness: Medium
Threats:
Agent_tesla
Remcos_rat
Cloudeye
Xworm_rat
Lokibot_stealer
Junk_code_technique
Industry:
Education
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1027, T1204, T1059.001, T1059.005, T1564.001, T1005, T1105, T1133, T1547.001, T1055, have more...
IOCs:
File: 4
Url: 2
IP: 2
Hash: 3
Soft:
Internet Explorer
Algorithms:
zip, base64, xor
Functions:
Mikr9
Win API:
VirtualAlloc, CallWindowProcA, NtProtectVirtualMemory
Languages:
powershell, visual_basic
19-01-2024
From Email to RAT: Deciphering a VB Script-Driven Campaign
https://www.mcafee.com/blogs/other-blogs/mcafee-labs/from-email-to-rat-deciphering-a-vb-script-driven-campaign
Report completeness: Medium
Threats:
Agent_tesla
Remcos_rat
Cloudeye
Xworm_rat
Lokibot_stealer
Junk_code_technique
Industry:
Education
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1027, T1204, T1059.001, T1059.005, T1564.001, T1005, T1105, T1133, T1547.001, T1055, have more...
IOCs:
File: 4
Url: 2
IP: 2
Hash: 3
Soft:
Internet Explorer
Algorithms:
zip, base64, xor
Functions:
Mikr9
Win API:
VirtualAlloc, CallWindowProcA, NtProtectVirtualMemory
Languages:
powershell, visual_basic
McAfee Blog
From Email to RAT: Deciphering a VB Script-Driven Campaign | McAfee Blog
Authored by Preksha Saxena and Yashvi Shah McAfee Labs has been tracking a sophisticated VBS campaign characterized by obfuscated Visual Basic Scripting
CTT Report Hub
#ParsedReport #CompletenessMedium 19-01-2024 From Email to RAT: Deciphering a VB Script-Driven Campaign https://www.mcafee.com/blogs/other-blogs/mcafee-labs/from-email-to-rat-deciphering-a-vb-script-driven-campaign Report completeness: Medium Threats:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что McAfee Labs обнаружила сложную кампанию VBS, которая использует запутанные сценарии Visual Basic для доставки различных типов вредоносных программ. Кампания включает в себя несколько этапов, включая доставку электронной почты, выполнение PowerShell, загрузку шелл-кодов и внедрение полезной нагрузки Remcos RAT в законный процесс Windows. В тексте также подчеркивается, что Microsoft осуждает VBScript из-за его использования злоумышленниками, и рекомендуются упреждающие меры для снижения рисков безопасности.
-----
McAfee Labs обнаружила сложную кампанию VBS, которая изначально распространяла вредоносное ПО AgentTesla, но теперь эволюционировала для распространения других вредоносных программ, таких как Guloader, Remcos RAT, Xworm и Lokibot. В этой кампании используются запутанные скрипты Visual Basic (VBS) в качестве универсального механизма доставки. Процесс заражения начинается с файла VBS, доставленного по электронной почте, и проходит через этапы PowerShell, используя утилиту BitsTransfer для получения сценария PowerShell второго этапа. Шеллкод A скрывает и загружает шеллкод B, который в конечном итоге загружает зашифрованную полезную нагрузку Remcos RAT. Remcos RAT внедряется в законный процесс Windows wab.exe, обеспечивая скрытое развертывание и работу в среде Windows.
Сценарий VBS, используемый в этой кампании, сильно запутан, что затрудняет его анализ. Он включает мусорные переменные, функции-приманки, ненужные комментарии и запутанные вредоносные функции. После декодирования файла с именем mundhul.pfb обнаруживается код, похожий на изображение. Дальнейший анализ показывает конкретную инструкцию скрипта для перехода к смещению 229981 и извлечения 28050 единиц данных, что знаменует начало второго сценария PowerShell. Второй скрипт содержит комментарии и включает функцию для расшифровки строк. Скрипт PowerShell использует метод Invoke для выполнения своих команд и загружает функцию VirtualAlloc() для сохранения дескрипторов памяти в переменных. Он также содержит скрытый шеллкод, который выполняется двумя частями.
Основное действие шеллкода-A заключается в копировании шеллкода-B в память и расшифровке его с помощью операции XOR. Это позволяет расшифрованному шеллкоду выполнять предназначенные ему инструкции в памяти системы. Затем шеллкод устанавливает новый процесс с именем wab.exe и вводит расшифрованный шеллкод в его область памяти. Цель состоит в том, чтобы извлечь Remcos RAT из указанного URL-адреса и внедрить его в процесс wab.exe. Remcos RAT инициирует связь с IP-адресом через порт 2404, создает мьютекс и регистрирует данные, введенные с клавиатуры во время его работы. Сделанные скриншоты сохраняются в каталоге, а собранные данные хранятся в хранилище под названием Remcos.
В этой кампании освещается комплексный процесс заражения, инициированный файлом VBS, полученным по электронной почте. Он включает в себя несколько этапов, включая активацию скрипта VBS, выборку сценария PowerShell второго этапа, загрузку шелл-кодов, а также загрузку и внедрение окончательной полезной нагрузки Remcos RAT. Введенный wab.exe затем выполняет вредоносные действия как Remcos RAT.
В тексте также упоминается, что Microsoft осуждает VBScript из-за его использования злоумышленниками для распространения вредоносных программ. Microsoft стремится повысить безопасность, устраняя этот источник заражения и сокращая количество вредоносных кампаний, использующих функции Windows и Office. Компания рекомендует превентивные меры, такие как оперативное обновление, обучение по безопасности и постоянное информирование о жизненном цикле программного обеспечения для снижения рисков. Кроме того, применение бдительного и осторожного подхода к фишингу электронной почты может помочь предотвратить попадание в число жертв атак.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что McAfee Labs обнаружила сложную кампанию VBS, которая использует запутанные сценарии Visual Basic для доставки различных типов вредоносных программ. Кампания включает в себя несколько этапов, включая доставку электронной почты, выполнение PowerShell, загрузку шелл-кодов и внедрение полезной нагрузки Remcos RAT в законный процесс Windows. В тексте также подчеркивается, что Microsoft осуждает VBScript из-за его использования злоумышленниками, и рекомендуются упреждающие меры для снижения рисков безопасности.
-----
McAfee Labs обнаружила сложную кампанию VBS, которая изначально распространяла вредоносное ПО AgentTesla, но теперь эволюционировала для распространения других вредоносных программ, таких как Guloader, Remcos RAT, Xworm и Lokibot. В этой кампании используются запутанные скрипты Visual Basic (VBS) в качестве универсального механизма доставки. Процесс заражения начинается с файла VBS, доставленного по электронной почте, и проходит через этапы PowerShell, используя утилиту BitsTransfer для получения сценария PowerShell второго этапа. Шеллкод A скрывает и загружает шеллкод B, который в конечном итоге загружает зашифрованную полезную нагрузку Remcos RAT. Remcos RAT внедряется в законный процесс Windows wab.exe, обеспечивая скрытое развертывание и работу в среде Windows.
Сценарий VBS, используемый в этой кампании, сильно запутан, что затрудняет его анализ. Он включает мусорные переменные, функции-приманки, ненужные комментарии и запутанные вредоносные функции. После декодирования файла с именем mundhul.pfb обнаруживается код, похожий на изображение. Дальнейший анализ показывает конкретную инструкцию скрипта для перехода к смещению 229981 и извлечения 28050 единиц данных, что знаменует начало второго сценария PowerShell. Второй скрипт содержит комментарии и включает функцию для расшифровки строк. Скрипт PowerShell использует метод Invoke для выполнения своих команд и загружает функцию VirtualAlloc() для сохранения дескрипторов памяти в переменных. Он также содержит скрытый шеллкод, который выполняется двумя частями.
Основное действие шеллкода-A заключается в копировании шеллкода-B в память и расшифровке его с помощью операции XOR. Это позволяет расшифрованному шеллкоду выполнять предназначенные ему инструкции в памяти системы. Затем шеллкод устанавливает новый процесс с именем wab.exe и вводит расшифрованный шеллкод в его область памяти. Цель состоит в том, чтобы извлечь Remcos RAT из указанного URL-адреса и внедрить его в процесс wab.exe. Remcos RAT инициирует связь с IP-адресом через порт 2404, создает мьютекс и регистрирует данные, введенные с клавиатуры во время его работы. Сделанные скриншоты сохраняются в каталоге, а собранные данные хранятся в хранилище под названием Remcos.
В этой кампании освещается комплексный процесс заражения, инициированный файлом VBS, полученным по электронной почте. Он включает в себя несколько этапов, включая активацию скрипта VBS, выборку сценария PowerShell второго этапа, загрузку шелл-кодов, а также загрузку и внедрение окончательной полезной нагрузки Remcos RAT. Введенный wab.exe затем выполняет вредоносные действия как Remcos RAT.
В тексте также упоминается, что Microsoft осуждает VBScript из-за его использования злоумышленниками для распространения вредоносных программ. Microsoft стремится повысить безопасность, устраняя этот источник заражения и сокращая количество вредоносных кампаний, использующих функции Windows и Office. Компания рекомендует превентивные меры, такие как оперативное обновление, обучение по безопасности и постоянное информирование о жизненном цикле программного обеспечения для снижения рисков. Кроме того, применение бдительного и осторожного подхода к фишингу электронной почты может помочь предотвратить попадание в число жертв атак.
#ParsedReport #CompletenessLow
19-01-2024
SmartApeSG Delivering NetSupport RAT
https://www.esentire.com/blog/smartapesg-delivering-netsupport-rat
Report completeness: Low
Actors/Campaigns:
Smartapesg
Threats:
Netsupportmanager_rat
Geo:
America, Apac, Africa, Emea
TTPs:
ChatGPT TTPs:
T1078, T1486, T1485, T1562, T1059, T1027, T1560, T1112
IOCs:
Registry: 1
IP: 1
Hash: 21
Algorithms:
zip, base64
Languages:
javascript, php, powershell
Links:
19-01-2024
SmartApeSG Delivering NetSupport RAT
https://www.esentire.com/blog/smartapesg-delivering-netsupport-rat
Report completeness: Low
Actors/Campaigns:
Smartapesg
Threats:
Netsupportmanager_rat
Geo:
America, Apac, Africa, Emea
TTPs:
ChatGPT TTPs:
do not use without manual checkT1078, T1486, T1485, T1562, T1059, T1027, T1560, T1112
IOCs:
Registry: 1
IP: 1
Hash: 21
Algorithms:
zip, base64
Languages:
javascript, php, powershell
Links:
https://github.com/esThreatIntelligence/iocs/blob/main/SmartApeSG/smartapesg\_iocs\_1-11-2024.txthttps://github.com/RussianPanda95/Yara-Rules/blob/main/SmartApeSG/SmartApeSG\_JS\_dropper\_stage1.yareSentire
SmartApeSG Delivering NetSupport RAT
Learn more about the NetSupport RAT malware and get security recommendations from our Threat Response Unit (TRU) to protect your business from this cyber…
CTT Report Hub
#ParsedReport #CompletenessLow 19-01-2024 SmartApeSG Delivering NetSupport RAT https://www.esentire.com/blog/smartapesg-delivering-netsupport-rat Report completeness: Low Actors/Campaigns: Smartapesg Threats: Netsupportmanager_rat Geo: America, Apac…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что подразделение реагирования на угрозы eSentire (TRU) обнаружило субъекта угроз по имени SmartApeSG, использующего поддельные обновления браузера для распространения троянца удаленного доступа NetSupport (RAT). Команда TRU исследовала и локализовала угрозу, подчеркнув важность веб-безопасности и осторожности при загрузке файлов. Они также рассказали о методах запутывания и стратегиях развертывания, используемых участниками угроз, подчеркнув необходимость передовых мер кибербезопасности.
-----
Подразделение реагирования на угрозы eSentire (TRU) - это команда квалифицированных охотников за угрозами и исследователей, специализирующихся на повышении устойчивости к кибербезопасности.
Команда TRU обнаружила вредоносный скрипт PowerShell, выполняемый SmartApeSG, который использует поддельные обновления браузера для распространения NetSupport RAT.
Сценарий PowerShell скрывает вредоносный код в допустимых разделах кода, извлекаемых по определенному URL-адресу и загружаемых с помощью команд PowerShell.
Декодированное содержимое сохраняется в виде ZIP-файла (rtrs.zip) и извлекается для проверки наличия исполняемого файла (client32.exe).
Создается новый элемент реестра, гарантирующий, что client32.exe запускается при запуске системы.
eSentire предоставляет правила Yara для обнаружения действий SmartApeSG и использует управляемое обнаружение и реагирование (MDR) для расследования и локализации угрозы.
Поддельные обновления браузера и скомпрометированные веб-страницы - это распространенные методы социальной инженерии, используемые злоумышленниками.
Методы обфускации используются для сокрытия вредоносного контента в законных разделах кода.
Понимание стратегий, используемых субъектами угроз, таких как загрузка, декодирование, выполнение, изменение элементов реестра и использование многоуровневых методов развертывания, имеет решающее значение для эффективного обнаружения и реагирования.
Сложный характер декодирования содержимого Base64 и раскрытия ZIP-архивов подчеркивает необходимость принятия передовых мер кибербезопасности.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что подразделение реагирования на угрозы eSentire (TRU) обнаружило субъекта угроз по имени SmartApeSG, использующего поддельные обновления браузера для распространения троянца удаленного доступа NetSupport (RAT). Команда TRU исследовала и локализовала угрозу, подчеркнув важность веб-безопасности и осторожности при загрузке файлов. Они также рассказали о методах запутывания и стратегиях развертывания, используемых участниками угроз, подчеркнув необходимость передовых мер кибербезопасности.
-----
Подразделение реагирования на угрозы eSentire (TRU) - это команда квалифицированных охотников за угрозами и исследователей, специализирующихся на повышении устойчивости к кибербезопасности.
Команда TRU обнаружила вредоносный скрипт PowerShell, выполняемый SmartApeSG, который использует поддельные обновления браузера для распространения NetSupport RAT.
Сценарий PowerShell скрывает вредоносный код в допустимых разделах кода, извлекаемых по определенному URL-адресу и загружаемых с помощью команд PowerShell.
Декодированное содержимое сохраняется в виде ZIP-файла (rtrs.zip) и извлекается для проверки наличия исполняемого файла (client32.exe).
Создается новый элемент реестра, гарантирующий, что client32.exe запускается при запуске системы.
eSentire предоставляет правила Yara для обнаружения действий SmartApeSG и использует управляемое обнаружение и реагирование (MDR) для расследования и локализации угрозы.
Поддельные обновления браузера и скомпрометированные веб-страницы - это распространенные методы социальной инженерии, используемые злоумышленниками.
Методы обфускации используются для сокрытия вредоносного контента в законных разделах кода.
Понимание стратегий, используемых субъектами угроз, таких как загрузка, декодирование, выполнение, изменение элементов реестра и использование многоуровневых методов развертывания, имеет решающее значение для эффективного обнаружения и реагирования.
Сложный характер декодирования содержимого Base64 и раскрытия ZIP-архивов подчеркивает необходимость принятия передовых мер кибербезопасности.
#ParsedReport #CompletenessLow
19-01-2024
Chae$ Chronicles: Version 4.1 Dedicated to Morphisec Researchers
https://blog.morphisec.com/chaes-chronicles
Report completeness: Low
Threats:
Chaes
Victims:
Portuguese-speaking businesses
Geo:
Portuguese
ChatGPT TTPs:
T1192, T1204, T1213, T1027, T1071, T1486
IOCs:
Url: 3
File: 1
Algorithms:
base64, zip
Languages:
javascript
19-01-2024
Chae$ Chronicles: Version 4.1 Dedicated to Morphisec Researchers
https://blog.morphisec.com/chaes-chronicles
Report completeness: Low
Threats:
Chaes
Victims:
Portuguese-speaking businesses
Geo:
Portuguese
ChatGPT TTPs:
do not use without manual checkT1192, T1204, T1213, T1027, T1071, T1486
IOCs:
Url: 3
File: 1
Algorithms:
base64, zip
Languages:
javascript
Morphisec
Chae$ Chronicles: Version 4.1 Dedicated to Morphisec Researchers
Morphisec prevents the new version of Infostealer Chaes 4.1. Learn about its threat tactics, and how the threat group dedicated its source code to Morphisec researchers.
CTT Report Hub
#ParsedReport #CompletenessLow 19-01-2024 Chae$ Chronicles: Version 4.1 Dedicated to Morphisec Researchers https://blog.morphisec.com/chaes-chronicles Report completeness: Low Threats: Chaes Victims: Portuguese-speaking businesses Geo: Portuguese ChatGPT…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея из текста заключается в том, что Morphisec Threat Labs обнаружила новый вариант вредоносного ПО Chae$ под названием Chae$ 4.1. Это вредоносное ПО распространяется через фишинговое электронное письмо, которое выглядит срочным, и ссылки на веб-сайт, имитирующий сканирование системы. После активации Chae$ 4.1 отправляет данные на серверы управления, что указывает на присутствие организованной группы угроз. В тексте упоминается отчет для получения дополнительной информации о вредоносном ПО и о том, как предприятия могут защитить себя.
-----
Morphisec Threat Labs обратила свое внимание на Chae$ 4.1, обновленную версию серии Infostealer для вредоносных программ Chaes. Эта новая версия поставляется со значительными обновлениями, включая улучшенный модуль Chronod. Что делает его еще более интересным, так это то, что он содержит прямое сообщение команде Morphisec, встроенное в его исходный код.
Цепочка заражения Chae$ 4.1 начинается с электронного письма на португальском языке, которое выглядит как срочное сообщение от юриста, касающееся судебного дела. Электронное письмо создает у получателя ощущение срочности, требующее незамедлительного ответа или серьезных юридических последствий. Он содержит ссылку и пароль, которые предположительно обеспечивают доступ к документу, относящемуся к делу.
Перейдя по предоставленной ссылке, жертва попадает на веб-сайт под названием "webcamcheck.online". Этот веб-сайт утверждает, что сканирует компьютер жертвы на наличие рисков, и предлагает обновить драйвер компьютера после сканирования. Когда жертва нажимает на красную кнопку "ЗАБЛОКИРОВАТЬ", в фоновом режиме выполняется JavaScript. Этот скрипт имитирует законное сканирование системы, представляя жестко закодированный список файлов, создавая иллюзию тщательного анализа компьютера жертвы. После имитированного сканирования жертве выводится сообщение о том, что "Обнаружена угроза безопасности", и предлагается загрузить обновленный драйвер, чтобы устранить предполагаемый риск. Нажатие на кнопку загрузки запускает выполнение скрипта с именем "download.js", который декодирует сжатый двоичный объект base64 для контрабанды вредоносного установщика. Это активирует вредоносную программу Chae$ 4.1.
Как только Chae$ 4.1 успешно активирован на компьютере жертвы, он начинает фильтровать данные на серверы управления, используемые субъектом угрозы. Дальнейший анализ этих серверов выявил существование страницы входа в Chae$ team panel, указывающей на наличие хорошо организованной группы, стоящей за этим вредоносным ПО.
Чтобы узнать больше о механизме этого эволюционировавшего вредоносного ПО, его последствиях и о том, как предприятия могут защитить себя, ознакомьтесь с прилагаемым отчетом.
Примечание: Предоставленное резюме является вымышленным анализом, сгенерированным с помощью языковой модели OpenAI ChatGPT. Оно может неточно отражать события реального мира или угрозы кибербезопасности.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея из текста заключается в том, что Morphisec Threat Labs обнаружила новый вариант вредоносного ПО Chae$ под названием Chae$ 4.1. Это вредоносное ПО распространяется через фишинговое электронное письмо, которое выглядит срочным, и ссылки на веб-сайт, имитирующий сканирование системы. После активации Chae$ 4.1 отправляет данные на серверы управления, что указывает на присутствие организованной группы угроз. В тексте упоминается отчет для получения дополнительной информации о вредоносном ПО и о том, как предприятия могут защитить себя.
-----
Morphisec Threat Labs обратила свое внимание на Chae$ 4.1, обновленную версию серии Infostealer для вредоносных программ Chaes. Эта новая версия поставляется со значительными обновлениями, включая улучшенный модуль Chronod. Что делает его еще более интересным, так это то, что он содержит прямое сообщение команде Morphisec, встроенное в его исходный код.
Цепочка заражения Chae$ 4.1 начинается с электронного письма на португальском языке, которое выглядит как срочное сообщение от юриста, касающееся судебного дела. Электронное письмо создает у получателя ощущение срочности, требующее незамедлительного ответа или серьезных юридических последствий. Он содержит ссылку и пароль, которые предположительно обеспечивают доступ к документу, относящемуся к делу.
Перейдя по предоставленной ссылке, жертва попадает на веб-сайт под названием "webcamcheck.online". Этот веб-сайт утверждает, что сканирует компьютер жертвы на наличие рисков, и предлагает обновить драйвер компьютера после сканирования. Когда жертва нажимает на красную кнопку "ЗАБЛОКИРОВАТЬ", в фоновом режиме выполняется JavaScript. Этот скрипт имитирует законное сканирование системы, представляя жестко закодированный список файлов, создавая иллюзию тщательного анализа компьютера жертвы. После имитированного сканирования жертве выводится сообщение о том, что "Обнаружена угроза безопасности", и предлагается загрузить обновленный драйвер, чтобы устранить предполагаемый риск. Нажатие на кнопку загрузки запускает выполнение скрипта с именем "download.js", который декодирует сжатый двоичный объект base64 для контрабанды вредоносного установщика. Это активирует вредоносную программу Chae$ 4.1.
Как только Chae$ 4.1 успешно активирован на компьютере жертвы, он начинает фильтровать данные на серверы управления, используемые субъектом угрозы. Дальнейший анализ этих серверов выявил существование страницы входа в Chae$ team panel, указывающей на наличие хорошо организованной группы, стоящей за этим вредоносным ПО.
Чтобы узнать больше о механизме этого эволюционировавшего вредоносного ПО, его последствиях и о том, как предприятия могут защитить себя, ознакомьтесь с прилагаемым отчетом.
Примечание: Предоставленное резюме является вымышленным анализом, сгенерированным с помощью языковой модели OpenAI ChatGPT. Оно может неточно отражать события реального мира или угрозы кибербезопасности.
#ParsedReport #CompletenessLow
18-01-2024
Security Brief: TA866 Returns with a Large Email Campaign
https://www.proofpoint.com/us/blog/threat-insight/security-brief-ta866-returns-large-email-campaign
Report completeness: Low
Actors/Campaigns:
Ta866 (motivation: financially_motivated, cyber_criminal, cyber_espionage)
Ta571 (motivation: cyber_criminal)
Threats:
Wasabiseed
Rhadamanthys
Victims:
Various north american organisations
Geo:
America
ChatGPT TTPs:
T1193, T1204, T1064, T1105, T1053
IOCs:
File: 5
Url: 4
Hash: 7
Soft:
IrfanView, anView
Algorithms:
sha256
Languages:
javascript
18-01-2024
Security Brief: TA866 Returns with a Large Email Campaign
https://www.proofpoint.com/us/blog/threat-insight/security-brief-ta866-returns-large-email-campaign
Report completeness: Low
Actors/Campaigns:
Ta866 (motivation: financially_motivated, cyber_criminal, cyber_espionage)
Ta571 (motivation: cyber_criminal)
Threats:
Wasabiseed
Rhadamanthys
Victims:
Various north american organisations
Geo:
America
ChatGPT TTPs:
do not use without manual checkT1193, T1204, T1064, T1105, T1053
IOCs:
File: 5
Url: 4
Hash: 7
Soft:
IrfanView, anView
Algorithms:
sha256
Languages:
javascript
Proofpoint
Security Brief: TA866 Returns with a Large Email Campaign | Proofpoint US
What happened Proofpoint researchers identified the return of TA866 to email threat campaign data, after a nine-month absence. On January 11, 2024, Proofpoint blocked a large volume