#technique

Ultimate-RAT-Collection
For educational purposes only, samples of old & new malware builders including screenshots!

https://github.com/yuankong666/Ultimate-RAT-Collection

Unveiling TeleBoyi: Chinese APT Group
Targeting Critical Infrastructure Worldwide

https://jsac.jpcert.or.jp/archive/2024/pdf/JSAC2024_1_8_yi-chin_yu-tung_en.pdf

#technique

Modern implant design: position independent malware development

https://5pider.net/blog/2024/01/27/modern-shellcode-implant-design/

#technique

A Deep Dive into V8 Sandbox Escape Technique Used in In-The-Wild Exploit

https://blog.theori.io/a-deep-dive-into-v8-sandbox-escape-technique-used-in-in-the-wild-exploit-d5dcf30681d4

#ParsedReport #CompletenessLow
29-01-2024

Analysis of phishing cases disguised as login pages of famous domestic portals

https://asec.ahnlab.com/ko/60952

Report completeness: Low

Geo:
Vietnamese

ChatGPT TTPs:
do not use without manual check
T1566, T1213, T1056, T1590

IOCs:
File: 1
Hash: 1

Algorithms:
md5

Languages:
php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что недавний анализ, проведенный Аналитическим центром безопасности AhnLab, выявил случай фишинга, связанный с поддельной страницей входа в систему известной отечественной портальной компании. Фишинговая страница очень похожа на законную страницу входа, что затрудняет ее обнаружение пользователями. Когда пользователи вводят свои регистрационные данные на поддельной странице, они передаются на сервер командования и контроля злоумышленника. Злоумышленник собирает украденные регистрационные данные, а также другие данные, такие как IP-адрес пользователя и географическое местоположение. Эти результаты подчеркивают риски фишинговой деятельности и подчеркивают необходимость осторожности и надлежащих мер безопасности при обнаружении страниц входа в систему из неизвестных источников.
-----

Недавний анализ, проведенный Аналитическим центром безопасности AhnLab (ASEC), выявил случай фишинга, связанный с поддельной страницей входа в систему известной отечественной портальной компании под названием Company N. Фишинговая страница очень напоминала законную страницу входа в систему, что затрудняло пользователям различать их. Есть подозрение, что фишинговая страница была распространена через гиперссылку, прикрепленную к фишинговому электронному письму.

После ввода регистрационных данных на поддельной странице данные передаются на сервер командования и контроля (C2) злоумышленника. ASEC смогла проанализировать домен злоумышленника и получила PHP-код, который показал, как украденные регистрационные данные обрабатывались сервером фишинговой страницы. Код собирал информацию об электронной почте пользователя и пароль, введенные с помощью пакетов POST-метода, отправленных с фишинговой страницы. Кроме того, для определения операционной системы клиента и среды браузера использовались регулярные выражения.

Злоумышленник также пытался собрать дополнительную информацию об IP-адресе пользователя. Запросив на сайте geoplugin информацию об IP-адресе источника, включенную в пакет, они смогли определить страну, регион и город пользователя. Сайт geoplugin обычно используется в качестве законного подключаемого сервиса, который предоставляет информацию о введенном IP-адресе в формате JSON. Однако в данном случае фишинга злоумышленник использовал его в своих целях.

Основываясь на собранной информации, злоумышленник заполнил переменную под названием "$message". Эта переменная включала украденную информацию для входа (адрес электронной почты и пароль), IP-адрес, географическое местоположение и сведения о браузере и операционной системе клиента. В ходе анализа было обнаружено несколько электронных писем, предположительно от злоумышленника, в основном написанных на вьетнамском языке. Эти результаты демонстрируют, как регистрационная информация, полученная с помощью фишинговых действий, может быть доставлена злоумышленнику, подвергая украденную пользовательскую информацию риску использования для дополнительных вредоносных действий.

Чтобы снизить такие риски, рекомендуется соблюдать осторожность при обнаружении страниц входа в систему из неизвестных источников, особенно по электронной почте. Пользователям следует внимательно относиться к управлению информацией своей учетной записи и учитывать периодические обновления и меры безопасности.

#ParsedReport #CompletenessMedium
29-01-2024

Russian APT Operation: Star Blizzard

https://socradar.io/russian-apt-operation-star-blizzard

Report completeness: Medium

Actors/Campaigns:
Seaborgium
Tag-53

Threats:
Spear-phishing_technique
Evilginx_tool
Credential_stealing_technique

Victims:
Academia, Defense, Governmental organizations, Ngos, Think-tanks

Industry:
Ngo, Government

Geo:
Ukraine, Russia, Russian

TTPs:
Tactics: 5
Technics: 13

IOCs:
Domain: 69

Soft:
Outlook, Gmail, Office 365

Algorithms:
exhibit

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Star Blizzard - это изощренная группа киберугроз, поддерживаемая российским правительством. Они в первую очередь нацелены на отдельных лиц и организации в академических кругах, обороне, правительстве, НПО и аналитических центрах, используя методы скрытого фишинга. Они проводят обширные исследования своих целей, используя социальные сети и сетевые платформы, создают персонализированные поддельные аккаунты и рассылают фишинговые электронные письма с вредоносными ссылками. Они сосредоточены на установлении доверия со своими целями и используют методы обхода контроля безопасности. Их мишенями являются такие страны, как США, Великобритания, Украина и другие страны Прибалтики, Северной и Восточной Европы. Для защиты от них важно внедрять строгие меры безопасности электронной почты, информировать пользователей о фишинге, обновлять программное обеспечение безопасности, включать многофакторную аутентификацию и отслеживать подозрительную активность.
-----

Star Blizzard - это группа, которая проводит операции по фишингу при поддержке российского правительства. Они используют тщательный подход к нацеливанию на конкретных лиц и организации, в первую очередь в академических кругах, обороне, правительственных организациях, НПО и аналитических центрах. Группа проводит обширные исследования через социальные сети и сетевые платформы для сбора информации о своих целях и создания персонализированных поддельных аккаунтов и профилей. Их основная тактика заключается в рассылке фишинговых писем на личные адреса электронной почты, используя обман и знакомые платформы, такие как Google Drive или OneDrive, чтобы заманить жертв перейти по вредоносным ссылкам. Поступая таким образом, они получают несанкционированный доступ к учетным записям электронной почты целей и собирают учетные данные.

Чтобы обойти меры безопасности в корпоративных сетях, Star Blizzard предпочитает нацеливаться на личные адреса электронной почты. Они тратят время на установление доверия со своими целями, вступая в безобидные беседы и сосредотачиваясь на установлении взаимопонимания, прежде чем начинать свои атаки. Как только доверие установлено, они делятся вредоносными ссылками, которые ведут на серверы, контролируемые группой. Эти серверы реплицируют законные страницы входа, обманом заставляя цели вводить свои учетные данные, которые затем подвергаются компрометации. Группа также использует платформу с открытым исходным кодом под названием EvilGinx для сбора учетных данных и обхода двухфакторной аутентификации.

В то время как страны НАТО, такие как США и Великобритания, находятся в центре их внимания, Star Blizzard нацелилась на другие страны Балтии, Северной и Восточной Европы. Они проявляли интерес к Украине во время геополитических событий, таких как российское вторжение. Их мишенями являются оборонные компании, НПО, МПО, аналитические центры и отдельные лица, осведомленные о российских делах.

Чтобы защититься от действий Star Blizzard, крайне важно проявлять бдительность и понимать их тактику. Рекомендации по безопасности включают внедрение строгих мер защиты электронной почты, обучение пользователей методам фишинга, регулярное обновление программного обеспечения безопасности, включение многофакторной аутентификации, мониторинг подозрительной активности и оперативное сообщение о любых потенциальных нарушениях.

#ParsedReport #CompletenessHigh
29-01-2024

Buzzing on Christmas Eve: Trigona Ransomware in 3 Hours

https://thedfirreport.com/2024/01/29/buzzing-on-christmas-eve-trigona-ransomware-in-3-hours

Report completeness: High

Threats:
Trigona
Netscan_tool
Meterpreter_tool
Cobalt_strike
Metasploit_tool
Sliver_c2_tool
Viper
Mythic_c2
Havoc
Taskkill

Industry:
Healthcare

Geo:
Ukraine, Russian

TTPs:
Tactics: 10
Technics: 17

IOCs:
Registry: 6
Command: 5
File: 9
Hash: 16
Path: 1
Coin: 1
IP: 3

Soft:
Windows Defender, Total Commander, Microsoft Defender, Sysinternals, PSEXEC, Windows Explorer, WhatsApp

Algorithms:
sha256, xsalsa20, aes

Functions:
SetValue

Win API:
RegOpenKeyW, RegSetValueExW

Win Services:
WdNisSvc, WinDefend

Languages:
powershell, delphi

Platforms:
intel

Links:
https://github.com/The-DFIR-Report/Sigma-Rules
https://github.com/Yara-Rules/rules/blob/master/crypto/crypto\_signatures.yar#L261-L282
https://github.com/The-DFIR-Report/Yara-Rules/blob/main/19172/19172.yar
https://github.com/Yara-Rules/rules/blob/master/antidebug\_antivm/antidebug\_antivm.yar#L678-L692
https://github.com/Yara-Rules/rules/blob/master/crypto/crypto\_signatures.yar#L542-L551
https://github.com/Yara-Rules/rules/blob/master/crypto/crypto\_signatures.yar#L1049-L1057
https://github.com/SigmaHQ/sigma
https://github.com/Yara-Rules/rules/blob/master/packers/packer.yar#L73-L81
https://github.com/Yara-Rules/rules/blob/master/crypto/crypto\_signatures.yar#L1228-L1238

#ParsedReport #ExtractedSchema

Classified images:
schema: 3, chart: 1, code: 6, table: 4, windows: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - об инциденте с кибербезопасностью, произошедшем в декабре 2022 года, когда злоумышленники использовали общедоступный узел протокола удаленного рабочего стола (RDP). Они получили первоначальный доступ в течение нескольких часов и развернули программу-вымогатель Trigona по всей сети. Злоумышленники использовали пакетные сценарии и инструмент SoftPerfect Netscan для обнаружения сети и автоматизации. Они использовали RDP-соединения для важных целей и использовали шифрование для шифрования файлов. В отчете также упоминаются различные услуги, предлагаемые организацией, и приводится информация о показателях компрометации и наблюдаемых методах во время инцидента.
-----

Важные факты из текста:.

В конце декабря 2022 года произошел инцидент с кибербезопасностью, когда злоумышленники использовали общедоступный узел протокола удаленного рабочего стола (RDP).

Злоумышленники получили первоначальный доступ в течение трех часов и распространили программу-вымогатель Trigona по всей сети.

Пакетные сценарии использовались для эксфильтрации данных и для противодействия защитным мерам.

Злоумышленники использовали инструмент SoftPerfect Netscan для проведения операций обнаружения во время вторжения.

Злоумышленник отключил защитник Windows на файлообменных серверах и установил RDP-соединение с сервером резервного копирования.

Программа-вымогатель Trigona распространялась по сети по протоколу Server Message Block (SMB), что приводило к утечке данных и шифрованию системы.

Организация предлагает такие сервисы, как Threat Feed, который отслеживает системы командования и контроля и предоставляет аналитические данные о событиях эксплойтов и отслеживании инфраструктуры.

Первоначальная точка доступа была отследена до RDP-соединения с IP-адреса в Украине, возможно, полученного с помощью утечки или приобретенных учетных данных.

Исполнитель угрозы использовал сеансы RDP, GUI access, PowerShell и CMD для различных действий во время вторжения.

Netscan использовался для обнаружения сети и автоматизации действий, изменения настроек брандмауэра и добавления новых пользователей.

Программа-вымогатель Trigona использовала надежное шифрование и регулярно обновлялась, включая функцию очистки данных.

Сервис Mega.io использовался для удаленной эксфильтрации украденных файлов.

Отчет содержит информацию о показателях компрометации (IOCS) и наблюдаемых методах, таких как RDP-соединения, DNS-запросы, использование PowerShell и модификации защитника Windows и разделов реестра.

#ParsedReport #CompletenessLow
29-01-2024

Russian Threat Actors Abuse Cloudflare and Freenom Services to run DaaS Program

https://www.cyfirma.com/outofband/russian-threat-actors-abuse-cloudflare-and-freenom-services-to-run-daas-program

Report completeness: Low

Threats:
Inferno_drainer

Victims:


Geo:
Chinese, Russian

ChatGPT TTPs:
do not use without manual check
T1056, T1566

IOCs:
Coin: 1
Domain: 8

Soft:
telegram

Wallets:
metamask, coinbase, trezor

Crypto:
ethereum, arbitrum, binance, tether, usd_coin, uniswap, pancakeswap

Win API:
Polygon

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что исследовательская группа CYFIRMA обнаружила проект Drainer-as-a-service (DaaS), управляемый лицами российского происхождения. Операторы этого проекта предоставляют бесплатные руководства, шаблоны для фишинга, автоматическую настройку конфигурации и бесплатные домены, облегчающие злоумышленникам доступ и использование. Drainers, предназначенные для кражи средств с криптовалютных кошельков, в основном распространяются с помощью методов социальной инженерии и фишинга. Проект CG, популярный конкурент в сообществе drainer, набрал значительное количество подписчиков и аффилированных лиц. Операторы DaaS предлагают бесплатный crypto drainer, совместимый с основными сетями и кошельками, а также партнерскую программу и панель администратора. Они также делятся дизайном фишинговых страниц, имитирующим популярные криптобиржи. Исследовательская группа наблюдала рост фишинговых кампаний и кампаний социальной инженерии со стороны аффилированных лиц DaaS, часто использующих скомпрометированные учетные записи или базы данных крипто-лидов. Команда выявила адреса кошельков, связанные с аффилированными лицами, вовлеченными в фишинговые аферы, отметив рост числа проведенных кампаний.
-----

Важные факты из текста:.

Исследовательская группа CYFIRMA обнаружила проект Drainer-as-a-service (DaaS), рекламируемый на хакерских форумах и telegram-каналах.

Операторы проекта DaaS упростили злоумышленникам доступ к нему и его использование, предоставив бесплатные руководства, фишинговые шаблоны, автоматическую настройку конфигурации и бесплатные домены.

Операторы подверглись ребрендингу в 2021 году и, как установлено, имеют российское происхождение.

Сливщики, также известные как крипто-похитители, предназначены для кражи средств с криптовалютных кошельков жертв с использованием методов социальной инженерии и фишинга.

Известный Drainer Inferno объявил о своем закрытии в ноябре 2023 года, создав пробел в сообществе криптодрайнеров.

Проект CG стал популярным претендентом на восполнение этого пробела, имея значительное число подписчиков и аффилированных лиц.

Операторы DaaS предоставляют бесплатный крипто-дренаж, совместимый с основными сетями и кошельками.

Они создали веб-сайты и telegram-канал для аффилированных лиц, а также отдельный канал для обмена дизайном фишинговых страниц.

Злоумышленники направляются к telegram-боту, который предоставляет бесплатные домены, шаблоны клонирования, адреса кошельков для мошеннических средств и защиту Cloudflare.

Используются бесплатные доменные сервисы Freenom, позволяющие им использовать различные TLD.

Филиалы DaaS проводили кампании фишинга и социальной инженерии, используя скомпрометированные учетные записи или полученные базы данных.

Масштабируемость сервисов DaaS позволяет быстро создавать новые фишинговые сайты с использованием шаблонов.

Спрос на базы данных криптографической персональной информации (PII) растет в хакерских сообществах.

Увеличилось количество кампаний, проводимых аффилированными лицами DaaS, и были выявлены адреса кошельков, связанные с фишинговыми мошенничествами.

В одном инциденте, связанном с криптокошельком Metamask, жертву обманом заставили подписать разрешение - распространенный метод фишинга.

#ParsedReport #CompletenessLow
26-01-2024

Securonix Threat Research Security Advisory: Technical Analysis and Detection of Two Zero-Day Vulnerabilities in Ivanti Connect Secure VPN

https://www.securonix.com/blog/securonix-threat-research-security-advisory-technical-analysis-and-detection-of-two-zero-day-vulnerabilities-in-ivanti-connect-secure-vpn

Report completeness: Low

Actors/Campaigns:
Uta0178

Threats:
Giftedvisitor_shell
Xmrig_miner
Metasploit_tool

Victims:
Ivanti connect secure vpn software

Industry:
Ics

Geo:
Chinese

CVEs:
CVE-2024-21887 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: 9.1
X-Force: Patch: Official fix
Soft:
- ivanti connect secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)

CVE-2023-37580 [Vulners]
CVSS V3.1: 6.1,
Vulners: Exploitation: True
X-Force: Risk: 6.1
X-Force: Patch: Official fix
Soft:
- zimbra (<8.8.15)

CVE-2023-46805 [Vulners]
CVSS V3.1: 8.2,
Vulners: Exploitation: True
X-Force: Risk: 8.2
X-Force: Patch: Official fix
Soft:
- ivanti connect secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)


ChatGPT TTPs:
do not use without manual check
T1068

IOCs:
Hash: 1
Domain: 1

Soft:
curl

Crypto:
monero

Languages:
python, powershell

Links:
https://github.com/rapid7/metasploit-framework/pull/18708/files
https://gist.github.com/kittinan/e2f56351c5937af5599734446059f5abhttps:/gist.github.com/kittinan/e2f56351c5937af5599734446059f5ab

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что в программном обеспечении Ivanti Connect Secure VPN существуют две критические уязвимости нулевого дня (CVE-2023-46805 и CVE-2024-21887), которые позволяют злоумышленникам обходить аутентификацию и выполнять команды оболочки с правами root. Китайские хакеры и известные группы атак активно используют эти уязвимости. Кроме того, поступают сообщения о деятельности по добыче криптовалют и доступности модулей эксплуатации в популярных фреймворках. Аналитика кибербезопасности, такая как мониторинг сетевого трафика и обнаружение подозрительных действий, необходима для выявления и смягчения последствий этих атак.
-----

В тексте обсуждаются две критические уязвимости нулевого дня, CVE-2023-46805 и CVE-2024-21887, обнаруженные в программном обеспечении Ivanti Connect Secure VPN. CVE-2023-46805 позволяет обойти аутентификацию, в то время как CVE-2024-21887 позволяет вводить команды, и то, и другое может быть использовано злоумышленниками, не прошедшими проверку подлинности, для выполнения команд оболочки с правами root. Первоначальная эксплуатационная активность была приписана злоумышленнику, известному как UTA0178, с сообщениями, предполагающими, что китайские хакеры используют эти уязвимости. Код проверки концепции доступен в открытом доступе и используется известными группами атак.

Около 1700 защищенных устройств Ivanti Connect были идентифицированы с помощью веб-оболочки под названием GIFTEDVISITOR среди общедоступных IP-адресов. Атака осуществляется путем отправки хорошо подготовленного запроса уязвимому устройству. Этот запрос может быть выполнен с помощью команды curl или популярных языков сценариев, таких как Python. Данные JSON в запросе включают команду оболочки, которая будет выполнена в системе жертвы. Один наблюдаемый образец содержал обратную оболочку Python, которая отправляет оболочку обратно на IP-адрес и порт злоумышленника. Это дает злоумышленнику привилегии суперпользователя (root) в целевой системе.

Команда исследователей угроз Securonix обнаружила случаи, когда использование уязвимости используется для майнинга криптовалют. Злоумышленники используют тот же исходный эксплойт для отправки команд целевому серверу, используя такие инструменты, как wget или curl, для загрузки и выполнения сценария .sh с удаленного IP-адреса. Цель скрипта - майнить Monero с помощью xmrig, программного обеспечения для майнинга криптовалют.

Кроме того, недавно во фреймворке Metasploit появился модуль эксплуатации, облегчающий злоумышленникам использование этих уязвимостей. Модуль позволяет настраивать и развертывать прослушиватель обратной оболочки.

Что касается аналитики кибербезопасности, то в тексте упоминается несколько аналитических правил. Эти правила, такие как PXY-PAN83-RUN и NTA-CRL30-RUN, помогают выявлять потенциальные попытки эксплуатации, отслеживать исходящий трафик и обнаруживать подозрительные действия, связанные с RDP, SSH, SMB, прокси-серверами и туннелями. Эти аналитические данные могут быть использованы для обнаружения атак, нацеленных на программное обеспечение Ivanti Connect Secure VPN, и реагирования на них.

Подводя итог, в тексте подчеркивается обнаружение критических уязвимостей в программном обеспечении Ivanti Connect Secure VPN, которые могут быть использованы злоумышленниками, не прошедшими проверку подлинности, для выполнения команд оболочки с правами root. Уязвимости активно используются китайскими хакерами и известными группами атак. Кроме того, имеются свидетельства деятельности по добыче криптовалют и доступности модулей эксплуатации в популярных фреймворках. Аналитика кибербезопасности играет решающую роль в обнаружении и смягчении последствий таких атак путем мониторинга сетевого трафика и выявления подозрительных действий.

#ParsedReport #CompletenessLow
29-01-2024

THREAT ALERT: DarkGate Loader

https://www.cybereason.com/blog/threat-alert-darkgate-loader

Report completeness: Low

Threats:
Darkgate
Cobalt_strike
Meterpreter_tool

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1566, T1059.003, T1105, T1106, T1486, T1210

IOCs:
Url: 2
IP: 3
Domain: 3
Hash: 5
File: 5

Languages:
autoit