#ParsedReport #CompletenessHigh
25-01-2024

NSPX30: A sophisticated AitM-enabled implant evolving since 2005

https://www.welivesecurity.com/en/eset-research/nspx30-sophisticated-aitm-enabled-implant-evolving-since-2005

Report completeness: High

Actors/Campaigns:
Blackwood (motivation: cyber_espionage)
Daggerfly
Luoyu
Littlebear
Gelsemium
Red_delta
Blacktech

Threats:
Nspx30
Project_wood
Dark_specter
Aitm_technique
Upx_tool
Spear-phishing_technique
Uac_bypass_technique
Supply_chain_technique

Victims:
Chinese companies, Japanese companies, Individuals located in china, japan, and the united kingdom, High-profile public research university in the united kingdom, Large manufacturing and trading company in china, Japanese corporation in the engineering and manufacturing vertical

Industry:
Telco, Education

Geo:
Ukraine, Japanese, Japan, China, Chinese

TTPs:
Tactics: 11
Technics: 42

IOCs:
File: 29
Path: 3
Url: 1
IP: 4
Command: 2
Domain: 2
Hash: 13

Soft:
Sogou, Visual Studio, Internet Explorer, Windows Defender, WeChat, Telegram

Algorithms:
rc4, zip, base64, exhibit

Functions:
CreateTaveInstance, When

Win API:
ExitProcess, WSCInstallNameSpace, CoCreateInstance, waveInOpen, waveInClose, waveInAddBuffer, waveOutOpen, waveOutWrite, waveOutClose

Languages:
powershell, visual_basic

Platforms:
intel, x86

Links:
https://gist.github.com/hfiref0x/196af729106b780db1c73428b5a5d68d
https://github.com/3gstudent/Use-COM-objects-to-bypass-UAC/blob/master/IARPUninstallStringLauncher.cpp

#ParsedReport #ExtractedSchema

Classified images:
schema: 6, code: 3, dump: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что исследователи ESET обнаружили новую группу APT под названием Blackwood, которая, как полагают, связана с Китаем. Blackwood использует сложный имплантат под названием NSPX30 в операциях кибершпионажа, нацеленных на китайских и японских частных лиц и компании. Внедрение NSPX30 осуществляется с помощью атак "злоумышленник посередине" путем перехвата запросов на обновление от законного программного обеспечения. Внедрение представляет собой многоступенчатую вредоносную программу с возможностями перехвата пакетов и возможностью вносить себя в белый список некоторых китайских решений для защиты от вредоносных программ. Исследователи проследили эволюцию NSPX30 вплоть до бэкдора под названием Project Wood и наблюдали, как он использовался в целенаправленных атаках против различных целей. Злоумышленники взаимодействуют с имплантатом, добавляя данные к DNS-запросам для домена microsoft.com. Имплантат запускается через капельницу, замаскированную под Rising Antivirus, взаимодействует со своим контроллером через незашифрованный файл и поддерживает команды для извлечения данных и шпионажа.
-----

Новая ориентированная на Китай группа APT под названием Blackwood действует как минимум с 2018 года.

Blackwood использует сложный имплантат под названием NSPX30 для операций кибершпионажа против китайских и японских объектов.

NSPX30 поставляется с помощью атак "противник посередине", перехватывающих запросы на обновление от законного программного обеспечения.

Имплантат NSPX30 включает в себя такие компоненты, как капельница, установщик, загрузчики, оркестратор и бэкдор.

NSPX30 может осуществлять перехват пакетов, чтобы скрыть инфраструктуру злоумышленников и внести себя в белый список китайских решений для защиты от вредоносных программ.

NSPX30 развился из бэкдора под названием Project Wood, впервые обнаруженного в 2005 году.

Blackwood использует NSPX30 для целенаправленных атак на компании и частных лиц в Китае, Японии и Великобритании.

Blackwood использует сетевые имплантаты, возможно, на маршрутизаторах или шлюзах, для компрометации целей.

NSPX30 поставляется в виде вредоносного обновления для таких программ, как Tencent QQ, Sogou Pinyin и WPS Office.

Имплантат взаимодействует со своим контроллером через незашифрованный файл и поддерживает команды для извлечения данных и шпионажа.

#ParsedReport #CompletenessMedium
26-01-2024

Another Phobos Ransomware Variant Launches Attack FAUST

https://www.fortinet.com/blog/threat-research/phobos-ransomware-variant-launches-attack-faust

Report completeness: Medium

Threats:
Phobos
Eking
8base
Process_injection_technique
Lizar_loader
Blackrock
Devos
Elbie
Mamba
Phoenix_keylogger
Karma
Makop
Logan

Industry:
Financial

ChatGPT TTPs:
do not use without manual check
T1486, T1212, T1137, T1059.001, T1055, T1055.003

IOCs:
Url: 2
File: 10
Command: 1
Path: 2
Registry: 1
Hash: 5

Soft:
Curl

Algorithms:
xor, base64, exhibit

Functions:
Workbook_Open

Win API:
NtWriteVirtualMemory, RtlCreateUserThread, ZwAllocateVirtualMemory, NtProtectVirtualMemory

Win Services:
db2

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 4, dump: 3, windows: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что семейство программ-вымогателей Phobos, в частности его вариант под названием FAUST ransomware, активно нацеливается на системы и заражает их. Программа-вымогатель FAUST использует документ со встроенным скриптом VBA для загрузки данных в кодировке Base64 из Gitea, которые затем декодируются и выполняются в виде чистого файла XLSX, позволяя программе-вымогателю шифровать файлы на компьютере жертвы. Вариант FAUST демонстрирует устойчивость в среде, создает несколько потоков для эффективного выполнения и добавляет расширение ".faust" к каждому зашифрованному файлу. Злоумышленники, стоящие за программой-вымогателем, также используют специальные индексы для расширений файлов, имен файлов и каталогов в своей функции дешифрования.
-----

Семейство программ-вымогателей Phobos - хорошо известная группа вредоносных программ, появившаяся в 2019 году и участвовавшая в различных кибератаках. Она шифрует файлы на компьютере жертвы и требует выкуп в криптовалюте за ключ расшифровки. FortiGuard Labs обнаружила и сообщила о нескольких вариантах программы-вымогателя Phobos, включая EKING и 8Base. Недавно они обнаружили документ Office, содержащий скрипт VBA, целью которого является распространение программы-вымогателя FAUST, которая является еще одним вариантом Phobos.

Злоумышленники, стоящие за программой-вымогателем FAUST, использовали сервис Gitea для хранения файлов, закодированных в Base64, каждый из которых содержит вредоносный двоичный файл. Когда эти файлы вводятся в системную память, они инициируют атаку шифрования файлов. Цепочка атак подробно представлена на рисунке 1.

Исследователи обнаружили документ XLAM, содержащий встроенный скрипт VBA, который запускает PowerShell для загрузки данных в кодировке Base64 из Gitea при открытии документа. Эти данные могут быть декодированы в чистый файл XLSX, который сохраняется во временной папке и автоматически открывается, создавая иллюзию того, что процесс завершен и безвреден.

Исполняемый файл AVG update.exe действует как загрузчик и использует методы, позволяющие избежать обнаружения и анализа. Он использует внедрение процесса для внедрения вредоносного кода в память нового процесса. Кроме того, файл кодирует все свои строки и преобразует их в XOR с помощью определенных шестнадцатеричных ключей перед использованием. Примеры ассемблерного кода показаны на рисунке 6.

Программа-вымогатель FAUST, разновидность семейства Phobos, шифрует файлы на компьютере жертвы и добавляет расширение ".faust" к каждому зашифрованному файлу. Она генерирует файлы info.txt и info.hta для связи с злоумышленниками. Программа-вымогатель связана с конфигурацией запуска Windows, что позволяет ей автоматически запускаться. Зашифрованные файлы имеют расширение ".id-3512.babylon4367@proton.me.faust". В записке о выкупе жертвам предлагается связаться с злоумышленниками по электронной почте или токсичным сообщением.

Вариант FAUST демонстрирует способность поддерживать постоянство в среде и создавать несколько потоков для эффективного выполнения. В своей функции расшифровки он использует специальные индексы для расширений файлов, имен файлов и каталогов. Первоначальный продавец инициировал процесс продажи программы-вымогателя FAUST в ноябре 2023 года, и деятельность по продаже продолжается.

#ParsedReport #CompletenessHigh
26-01-2024

Mexican Banks and Cryptocurrency Platforms Targeted With AllaKore RAT

https://blogs.blackberry.com/en/2024/01/mexican-banks-and-cryptocurrency-platforms-targeted-with-allakore-rat

Report completeness: High

Actors/Campaigns:
Sidecopy
Fin13

Threats:
Allakore_rat
Spear-phishing_technique

Victims:
Mexican banks, Cryptocurrency trading entities, Mexican entities with large revenues

Industry:
Transport, Financial, Foodtech, Retail, Government

Geo:
America, Spanish, Mexico, Mexican

TTPs:
Tactics: 7
Technics: 18

IOCs:
File: 15
Domain: 21
Hash: 159
Url: 3
IP: 10

Soft:
Chrome

Algorithms:
sha256, md5

Languages:
powershell, php, delphi

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что финансово мотивированный субъект угроз нацелен на мексиканские банки и организации, торгующие криптовалютами, используя модифицированную версию AllaKore RAT. Субъекты угроз используют методы социальной инженерии, такие как использование приманок, имитирующих документы Мексиканского института социального обеспечения, для распространения своего вредоносного ПО. Модифицированный RAT позволяет им красть банковские учетные данные и аутентификационную информацию, которая затем используется в целях финансового мошенничества. Считается, что группа threat actor базируется в Латинской Америке, и их таргетинг не привязан к конкретной отрасли, а сосредоточен на крупных компаниях, отчитывающихся перед департаментом IMSS правительства Мексики, с доходами свыше 100 миллионов долларов США. Кампания активна, по крайней мере, с 2021 года и продолжает использовать согласованную инфраструктуру командования и контроля. Полезная нагрузка RAT обладает различными возможностями, включая кейлоггинг, захват экрана и дистанционное управление. Группа threat actor также использует специальные IP-адреса и VPN-сервисы в Мексике для доступа по протоколу удаленного рабочего стола к своим серверам управления. В целом, кампания была упорной и продолжается уже более двух лет, что требует постоянной бдительности и мер кибербезопасности.
-----

Финансово мотивированный субъект угрозы нацелен на мексиканские банки и организации, торгующие криптовалютами.

Они используют специальные упакованные установщики для доставки модифицированной версии AllaKore RAT.

В процессе установки используются приманки, имитирующие документы Мексиканского института социального обеспечения (IMSS), и ссылки на легальные файлы.

Модифицированный AllaKore RAT позволяет злоумышленникам красть банковские учетные данные и аутентификационную информацию.

Украденная информация отправляется обратно на сервер управления (C2) в целях финансового мошенничества.

Группа исполнителей угроз, скорее всего, базируется в Латинской Америке, используя IP-адреса Starlink в Мексике и инструкции на испанском языке.

Кампания активна как минимум с 2021 года и продолжает использовать согласованную инфраструктуру C2.

Полезная нагрузка RAT способна вести кейлоггинг, захват экрана, загрузку файлов и дистанционное управление.

Злоумышленники используют расширение Chrome для блокировки доступа к определенным URL-адресам.

Кампания в первую очередь нацелена на крупные мексиканские компании с выручкой более 100 миллионов долларов США.

RAT обладает пользовательской функциональностью для учетных данных, специфичных для конкретной цели, и данных, связанных с банковской инфраструктурой.

Кампания продолжается уже более двух лет и не имеет никаких признаков прекращения.

Для защиты от этих атак необходимы бдительность и меры кибербезопасности.

#ParsedReport #CompletenessMedium
26-01-2024

Inside the SYSTEMBC Command-and-Control Server

https://www.kroll.com/en/insights/publications/cyber/inside-the-systembc-malware-server

Report completeness: Medium

Threats:
Systembc
Blackbasta
Cuba
Gootkit
Cobalt_strike
Emotet
Fastflux_technique
Procmon_tool
Meterpreter_tool
Rhysida
Advanced-port-scanner_tool
Anydesk_tool
Megasync_tool

Industry:
Petroleum, E-commerce, Healthcare

Geo:
Russian

ChatGPT TTPs:
do not use without manual check
T1078, T1486, T1485, T1108, T1133, T1046, T1110, T1190, T1006, T1108, have more...

IOCs:
File: 4

Soft:
UNIX

Functions:
Windows

Win API:
VirtualProtect, CreateThread

Languages:
php

Platforms:
intel

#ParsedReport #ExtractedSchema

Classified images:
code: 8, schema: 2, windows: 6, dump: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что фирма по кибербезопасности Kroll обнаружила растущее использование вредоносного инструмента SYSTEMBC субъектами угроз. SYSTEMBC действует как прокси-сервер SOCKS5 и используется для поддержания доступа в скомпрометированных сетях. Он часто используется вместе с различными семействами вредоносных программ и может быть приобретен на подпольных рынках. Инструмент включает в себя имплантат, сервер управления и веб-портал администрирования. Панель SYSTEMBC написана в виде монолитного PHP-скрипта и обладает тремя основными функциональными возможностями: проксирование SOCKS5, функциональность загрузчика и загрузка модулей. Компания Kroll определила SYSTEMBC как предпочтительный инструмент операторов программ-вымогателей RHYSIDA и продемонстрировала его полезность при атаках на сети жертв.
-----

Важные факты из текста:.

Фирма по кибербезопасности Kroll заметила рост использования инструмента SYSTEMBC субъектами угроз для поддержания доступа к скомпрометированным сетям.

SYSTEMBC действует как прокси-сервер SOCKS5 и может использоваться для постоянного доступа или для того, чтобы оставить бэкдор для будущего доступа.

SYSTEMBC часто используется вместе с различными семействами вредоносных программ, такими как RHYSIDIA, BLACKBASTA, CUBA, GOOTLOADER, COBALTSTRIKE и EMOTET.

Инструмент SYSTEMBC можно приобрести на подпольных рынках, он поставляется с имплантатом, сервером управления (C2) и порталом веб-администрирования.

Панель SYSTEMBC написана на PHP и лишена использования функций, ориентируясь на скорость создания рабочего веб-интерфейса.

SYSTEMBC обладает тремя основными функциональными возможностями: проксирование SOCKS5, функциональность загрузчика для запуска отдельных скриптов и исполняемых файлов и загрузка модуля для расширения его основной функциональности.

Имплантат устанавливает исходящее сетевое соединение с компьютера-жертвы к серверу C2, который реализует протокол SOCKS5.

SYSTEMBC обладает функциональностью шеллкода, позволяющей выполнять вредоносный код без загрузки и выполнения файла.

Компания Kroll определила SYSTEMBC как предпочтительный инструмент операторов программ-вымогателей RHYSIDA.

SYSTEMBC использовался в качестве начальной точки опоры при атаках, а дополнительные инструменты, такие как Advanced Port Scanner, AnyDesk и MegaSync, использовались для обнаружения сети, удаленного доступа и эксфильтрации, соответственно.

Команда CTI из Kroll продемонстрировала полезность и простоту использования SYSTEMBC в качестве бэкдора в сеть жертвы.

#ParsedReport #CompletenessLow
26-01-2024

Invoice Phishing Alert: TA866 Deploys WasabiSeed & Screenshotter Malware

https://www.proofpoint.com/us/newsroom/news/invoice-phishing-alert-ta866-deploys-wasabiseed-screenshotter-malware

Report completeness: Low

Actors/Campaigns:
Ta866 (motivation: financially_motivated, information_theft, cyber_espionage, cyber_criminal)
Asylum_ambuscade (motivation: cyber_espionage)
Ta571 (motivation: cyber_criminal)

Threats:
Wasabiseed
Rhadamanthys
Netsupportmanager_rat
Asyncrat
Icedid
Pikabot
Qakbot
Darkgate
Agent_tesla
Formbook

Industry:
Retail, Transport, Financial

Geo:
Italy, Australia, America, Korean, France, India

ChatGPT TTPs:
do not use without manual check
T1566, T1566.001, T1566.002, T1550, T1003, T1064, T1213, T1094.004, T1001, T1105, have more...

Soft:
AutoHotKey, WhatsApp, Telegram

Languages:
visual_basic, autoit

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что исполнитель угроз, известный как TA866, вновь появился после перерыва, проводя новую фишинговую кампанию, нацеленную на североамериканские организации. Кампания включает отправку электронных писем на тему счетов-фактур с поддельными PDF-файлами, которые запускают многоэтапную цепочку заражения, в конечном итоге доставляя вредоносное ПО. Вредоносное ПО, используемое в этой кампании, является вариантом пользовательского набора инструментов WasabiSeed и Screenshotter. Считается, что TA866 мотивирован финансово и использует скриншотер в разведывательных целях. Они используют бота на основе AutoHotkey, чтобы избавиться от похитителя информации Rhadamanthys. Были обнаружены сходства между предыдущей кампанией TA866 и Asylum Ambuscade, преступной группой, занимающейся кибершпионажем. В своей текущей кампании TA866 перешли от использования вложений издателя с поддержкой макросов к PDF-файлам с мошенническими ссылками OneDrive. Они полагаются на службу рассылки спама, предоставляемую другим субъектом, известным как TA571. Вредоносное ПО, распространяемое TA866, включает AsyncRAT, NetSupport RAT, IcedID, PikaBot, QakBot и DarkGate, причем DarkGate позволяет красть информацию, добывать криптовалюту и выполнять произвольные программы. Одновременно с возрождением TA866 Cofense сообщила об увеличении числа фишинговых писем, связанных с доставкой, нацеленных на производственный сектор, распространяющих вредоносные программы, такие как Agent Tesla и Formbook. В этих атаках также используется тактика уклонения с использованием надежных ссылок на веб-сайты, которые позже перенаправляют жертв на вредоносные страницы после того, как поставщики систем безопасности кэшируют их вердикт как безопасный. Атаки в основном нацелены на финансовые услуги, производство, розничную торговлю и страховую отрасль во многих странах.
-----

#ParsedReport #CompletenessLow
26-01-2024

Security Blog. A Look into PlugX Kernel driver

https://mahmoudzohdy.github.io/posts/re/plugx

Report completeness: Low

Threats:
Plugx_rat
Antidebugging_technique

ChatGPT TTPs:
do not use without manual check
T1218, T1055, T1179

IOCs:
File: 4
Hash: 14

Soft:
windows kernel

Algorithms:
xor

Win API:
NtQuerySystemInformation, KeServiceDescriptorTable, NtWriteVirtualMemory

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - анализ недавней атаки PlugX, которая предполагает использование подписанного драйвера ядра. Процесс атаки включает подтверждение компонента пользовательского режима, выделение памяти, копирование функции шеллкода, внедрение ее в services.exe и выполнение вызовов NtWriteVirtualMemory для обеспечения доступа к необходимым компонентам. Вредоносная программа также перехватывает Ntdll!Функция NtClose для выполнения шелл-кода и последующего восстановления функции.
-----

В этом сообщении в блоге автор обсуждает использование подписанного драйвера ядра в недавней атаке PlugX. Подписанные драйверы ядра, обнаруженные в Virus Total, были подписаны с помощью программы аппаратной совместимости Windows (WHCP) и Sharp Brilliance Communication Technology Co., Ltd.

Атака начинается с подтверждения того, что компонент пользовательского режима представляет собой 32-разрядный файл. Если это не так, процесс не будет продолжен. Далее вредоносная программа выделяет память и копирует функцию шеллкода. Эта функция шеллкода вводится в services.exe для запуска основного пользовательского компонента.

Чтобы записать шеллкод, путь к файлу Svchost.exe и компонент пользовательского режима в процесс services.exe, выполняется серия вызовов NtWriteVirtualMemory. Это гарантирует, что необходимые компоненты присутствуют и доступны в целевом процессе.

Для выполнения шеллкода вредоносная программа перехватывает Ntdll!Функцию NtClose. Делая это, она перенаправляет вызов функции для перехода к шеллкоду. Как только шеллкод был выполнен, Ntdll!Функция NtClose восстанавливается в исходное состояние, позволяя процессу продолжить свою нормальную работу.