CTT Report Hub
#ParsedReport #CompletenessLow 26-01-2024 Securonix Threat Research Security Advisory: Technical Analysis and Detection of Two Zero-Day Vulnerabilities in Ivanti Connect Secure VPN https://www.securonix.com/blog/securonix-threat-research-security-advisory…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что в программном обеспечении Ivanti Connect Secure VPN существуют две критические уязвимости нулевого дня (CVE-2023-46805 и CVE-2024-21887), которые позволяют злоумышленникам обходить аутентификацию и выполнять команды оболочки с правами root. Китайские хакеры и известные группы атак активно используют эти уязвимости. Кроме того, поступают сообщения о деятельности по добыче криптовалют и доступности модулей эксплуатации в популярных фреймворках. Аналитика кибербезопасности, такая как мониторинг сетевого трафика и обнаружение подозрительных действий, необходима для выявления и смягчения последствий этих атак.
-----
В тексте обсуждаются две критические уязвимости нулевого дня, CVE-2023-46805 и CVE-2024-21887, обнаруженные в программном обеспечении Ivanti Connect Secure VPN. CVE-2023-46805 позволяет обойти аутентификацию, в то время как CVE-2024-21887 позволяет вводить команды, и то, и другое может быть использовано злоумышленниками, не прошедшими проверку подлинности, для выполнения команд оболочки с правами root. Первоначальная эксплуатационная активность была приписана злоумышленнику, известному как UTA0178, с сообщениями, предполагающими, что китайские хакеры используют эти уязвимости. Код проверки концепции доступен в открытом доступе и используется известными группами атак.
Около 1700 защищенных устройств Ivanti Connect были идентифицированы с помощью веб-оболочки под названием GIFTEDVISITOR среди общедоступных IP-адресов. Атака осуществляется путем отправки хорошо подготовленного запроса уязвимому устройству. Этот запрос может быть выполнен с помощью команды curl или популярных языков сценариев, таких как Python. Данные JSON в запросе включают команду оболочки, которая будет выполнена в системе жертвы. Один наблюдаемый образец содержал обратную оболочку Python, которая отправляет оболочку обратно на IP-адрес и порт злоумышленника. Это дает злоумышленнику привилегии суперпользователя (root) в целевой системе.
Команда исследователей угроз Securonix обнаружила случаи, когда использование уязвимости используется для майнинга криптовалют. Злоумышленники используют тот же исходный эксплойт для отправки команд целевому серверу, используя такие инструменты, как wget или curl, для загрузки и выполнения сценария .sh с удаленного IP-адреса. Цель скрипта - майнить Monero с помощью xmrig, программного обеспечения для майнинга криптовалют.
Кроме того, недавно во фреймворке Metasploit появился модуль эксплуатации, облегчающий злоумышленникам использование этих уязвимостей. Модуль позволяет настраивать и развертывать прослушиватель обратной оболочки.
Что касается аналитики кибербезопасности, то в тексте упоминается несколько аналитических правил. Эти правила, такие как PXY-PAN83-RUN и NTA-CRL30-RUN, помогают выявлять потенциальные попытки эксплуатации, отслеживать исходящий трафик и обнаруживать подозрительные действия, связанные с RDP, SSH, SMB, прокси-серверами и туннелями. Эти аналитические данные могут быть использованы для обнаружения атак, нацеленных на программное обеспечение Ivanti Connect Secure VPN, и реагирования на них.
Подводя итог, в тексте подчеркивается обнаружение критических уязвимостей в программном обеспечении Ivanti Connect Secure VPN, которые могут быть использованы злоумышленниками, не прошедшими проверку подлинности, для выполнения команд оболочки с правами root. Уязвимости активно используются китайскими хакерами и известными группами атак. Кроме того, имеются свидетельства деятельности по добыче криптовалют и доступности модулей эксплуатации в популярных фреймворках. Аналитика кибербезопасности играет решающую роль в обнаружении и смягчении последствий таких атак путем мониторинга сетевого трафика и выявления подозрительных действий.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что в программном обеспечении Ivanti Connect Secure VPN существуют две критические уязвимости нулевого дня (CVE-2023-46805 и CVE-2024-21887), которые позволяют злоумышленникам обходить аутентификацию и выполнять команды оболочки с правами root. Китайские хакеры и известные группы атак активно используют эти уязвимости. Кроме того, поступают сообщения о деятельности по добыче криптовалют и доступности модулей эксплуатации в популярных фреймворках. Аналитика кибербезопасности, такая как мониторинг сетевого трафика и обнаружение подозрительных действий, необходима для выявления и смягчения последствий этих атак.
-----
В тексте обсуждаются две критические уязвимости нулевого дня, CVE-2023-46805 и CVE-2024-21887, обнаруженные в программном обеспечении Ivanti Connect Secure VPN. CVE-2023-46805 позволяет обойти аутентификацию, в то время как CVE-2024-21887 позволяет вводить команды, и то, и другое может быть использовано злоумышленниками, не прошедшими проверку подлинности, для выполнения команд оболочки с правами root. Первоначальная эксплуатационная активность была приписана злоумышленнику, известному как UTA0178, с сообщениями, предполагающими, что китайские хакеры используют эти уязвимости. Код проверки концепции доступен в открытом доступе и используется известными группами атак.
Около 1700 защищенных устройств Ivanti Connect были идентифицированы с помощью веб-оболочки под названием GIFTEDVISITOR среди общедоступных IP-адресов. Атака осуществляется путем отправки хорошо подготовленного запроса уязвимому устройству. Этот запрос может быть выполнен с помощью команды curl или популярных языков сценариев, таких как Python. Данные JSON в запросе включают команду оболочки, которая будет выполнена в системе жертвы. Один наблюдаемый образец содержал обратную оболочку Python, которая отправляет оболочку обратно на IP-адрес и порт злоумышленника. Это дает злоумышленнику привилегии суперпользователя (root) в целевой системе.
Команда исследователей угроз Securonix обнаружила случаи, когда использование уязвимости используется для майнинга криптовалют. Злоумышленники используют тот же исходный эксплойт для отправки команд целевому серверу, используя такие инструменты, как wget или curl, для загрузки и выполнения сценария .sh с удаленного IP-адреса. Цель скрипта - майнить Monero с помощью xmrig, программного обеспечения для майнинга криптовалют.
Кроме того, недавно во фреймворке Metasploit появился модуль эксплуатации, облегчающий злоумышленникам использование этих уязвимостей. Модуль позволяет настраивать и развертывать прослушиватель обратной оболочки.
Что касается аналитики кибербезопасности, то в тексте упоминается несколько аналитических правил. Эти правила, такие как PXY-PAN83-RUN и NTA-CRL30-RUN, помогают выявлять потенциальные попытки эксплуатации, отслеживать исходящий трафик и обнаруживать подозрительные действия, связанные с RDP, SSH, SMB, прокси-серверами и туннелями. Эти аналитические данные могут быть использованы для обнаружения атак, нацеленных на программное обеспечение Ivanti Connect Secure VPN, и реагирования на них.
Подводя итог, в тексте подчеркивается обнаружение критических уязвимостей в программном обеспечении Ivanti Connect Secure VPN, которые могут быть использованы злоумышленниками, не прошедшими проверку подлинности, для выполнения команд оболочки с правами root. Уязвимости активно используются китайскими хакерами и известными группами атак. Кроме того, имеются свидетельства деятельности по добыче криптовалют и доступности модулей эксплуатации в популярных фреймворках. Аналитика кибербезопасности играет решающую роль в обнаружении и смягчении последствий таких атак путем мониторинга сетевого трафика и выявления подозрительных действий.
#ParsedReport #CompletenessLow
29-01-2024
THREAT ALERT: DarkGate Loader
https://www.cybereason.com/blog/threat-alert-darkgate-loader
Report completeness: Low
Threats:
Darkgate
Cobalt_strike
Meterpreter_tool
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1566, T1059.003, T1105, T1106, T1486, T1210
IOCs:
Url: 2
IP: 3
Domain: 3
Hash: 5
File: 5
Languages:
autoit
29-01-2024
THREAT ALERT: DarkGate Loader
https://www.cybereason.com/blog/threat-alert-darkgate-loader
Report completeness: Low
Threats:
Darkgate
Cobalt_strike
Meterpreter_tool
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1566, T1059.003, T1105, T1106, T1486, T1210
IOCs:
Url: 2
IP: 3
Domain: 3
Hash: 5
File: 5
Languages:
autoit
Cybereason
THREAT ALERT: DarkGate Loader
The execution of DarkGate Loader ultimately leads to execution of post-exploitation tools such as Cobalt Strike and Meterpreter. This Threat Alert provides an overview of an attack involving DarkGate Loader.
CTT Report Hub
#ParsedReport #CompletenessLow 29-01-2024 THREAT ALERT: DarkGate Loader https://www.cybereason.com/blog/threat-alert-darkgate-loader Report completeness: Low Threats: Darkgate Cobalt_strike Meterpreter_tool TTPs: Tactics: 1 Technics: 0 ChatGPT TTPs:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что Cybereason выпустила предупреждение о новой угрозе под названием DarkGate Loader. Этот модульный загрузчик поставляется по фишинговым электронным письмам и используется для развертывания инструментов постэксплуатации, таких как Cobalt Strike и Meterpreter. DarkGate Loader поставляется с помощью вредоносных PDF-файлов и сценариев автоматической загрузки, внутри которых скрыта зашифрованная полезная нагрузка. После запуска DarkGate Loader быстро развертывает эти инструменты после эксплуатации и осуществляет боковое перемещение, нацеливаясь на критически важную инфраструктуру. Защитная платформа Cybereason обнаружила действия после эксплуатации, связанные с загрузчиком DarkGate, и предоставила индикаторы компрометации (IOCs), чтобы помочь в усилиях по поиску угроз. Организациям рекомендуется проявлять бдительность, принимать необходимые меры безопасности и использовать предоставленные IOCS для активного обнаружения загрузчика DarkGate и противодействия ему.
-----
Компания Cybereason выпустила предупреждение об угрозе, чтобы проинформировать своих клиентов о появляющейся угрозе, известной как загрузчик DarkGate. Этот модульный загрузчик поставляется по фишинговым электронным письмам и отвечает за развертывание полезных нагрузок после эксплуатации. Злоумышленники обычно используют загрузчик DarkGate, встраивая его в скрипт AutoIt, содержащий зашифрованную полезную нагрузку. Скрипт расшифровывает полезную нагрузку и внедряет ее в различные процессы, что приводит к запуску инструментов постэксплуатации, таких как Cobalt Strike и Meterpreter.
Основная цель DarkGate Loader - развертывать эти инструменты после эксплуатации, избегая обнаружения. Цепочка заражения начинается с того, что жертвы обманом загружают вредоносные PDF-файлы, которые затем запускают вредоносный скрипт VBS. Загрузчик DarkGate поставляется в формате сценария AutoIt, внутри которого скрыта зашифрованная полезная нагрузка. Во время выполнения сценарий AutoIt расшифровывает полезную нагрузку и внедряется в удаленные процессы.
Одним из примечательных аспектов DarkGate Loader является быстрое предоставление инструментов для последующей эксплуатации. Наблюдения показали, что в течение шести часов после запуска DarkGate Loader субъекты угроз уже использовали такие инструменты, как Meterpreter и Cobalt Strike. Эти действия после эксплуатации также предполагают боковое перемещение, что позволяет злоумышленникам нацеливаться на критически важную инфраструктуру и оказывать большее воздействие на организации.
Платформа защиты Cybereason обнаружила действия после эксплуатации, связанные с загрузчиком DarkGate. Чтобы помочь в поиске угроз, служба безопасности Cybereason предоставила список индикаторов компрометации (IOCS), связанных с известными действиями после эксплуатации. Эти IOC включают такие домены, как "eventionevents.com," "prestige-castom.com," и "tsvsnjv.com," вместе с соответствующими IP-адресами. Кроме того, в качестве индикаторов были определены конкретные хэши файлов, такие как "eaeacd7fd94df79722822196f20e739eadc1a68d40e94ef.exe,".
Используя эти IOC, организации могут активно отслеживать признаки DarkGate Loader и его действия после эксплуатации в своих сетях. Для организаций крайне важно сохранять бдительность и внедрять необходимые меры безопасности для защиты от этой возникающей угрозы.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что Cybereason выпустила предупреждение о новой угрозе под названием DarkGate Loader. Этот модульный загрузчик поставляется по фишинговым электронным письмам и используется для развертывания инструментов постэксплуатации, таких как Cobalt Strike и Meterpreter. DarkGate Loader поставляется с помощью вредоносных PDF-файлов и сценариев автоматической загрузки, внутри которых скрыта зашифрованная полезная нагрузка. После запуска DarkGate Loader быстро развертывает эти инструменты после эксплуатации и осуществляет боковое перемещение, нацеливаясь на критически важную инфраструктуру. Защитная платформа Cybereason обнаружила действия после эксплуатации, связанные с загрузчиком DarkGate, и предоставила индикаторы компрометации (IOCs), чтобы помочь в усилиях по поиску угроз. Организациям рекомендуется проявлять бдительность, принимать необходимые меры безопасности и использовать предоставленные IOCS для активного обнаружения загрузчика DarkGate и противодействия ему.
-----
Компания Cybereason выпустила предупреждение об угрозе, чтобы проинформировать своих клиентов о появляющейся угрозе, известной как загрузчик DarkGate. Этот модульный загрузчик поставляется по фишинговым электронным письмам и отвечает за развертывание полезных нагрузок после эксплуатации. Злоумышленники обычно используют загрузчик DarkGate, встраивая его в скрипт AutoIt, содержащий зашифрованную полезную нагрузку. Скрипт расшифровывает полезную нагрузку и внедряет ее в различные процессы, что приводит к запуску инструментов постэксплуатации, таких как Cobalt Strike и Meterpreter.
Основная цель DarkGate Loader - развертывать эти инструменты после эксплуатации, избегая обнаружения. Цепочка заражения начинается с того, что жертвы обманом загружают вредоносные PDF-файлы, которые затем запускают вредоносный скрипт VBS. Загрузчик DarkGate поставляется в формате сценария AutoIt, внутри которого скрыта зашифрованная полезная нагрузка. Во время выполнения сценарий AutoIt расшифровывает полезную нагрузку и внедряется в удаленные процессы.
Одним из примечательных аспектов DarkGate Loader является быстрое предоставление инструментов для последующей эксплуатации. Наблюдения показали, что в течение шести часов после запуска DarkGate Loader субъекты угроз уже использовали такие инструменты, как Meterpreter и Cobalt Strike. Эти действия после эксплуатации также предполагают боковое перемещение, что позволяет злоумышленникам нацеливаться на критически важную инфраструктуру и оказывать большее воздействие на организации.
Платформа защиты Cybereason обнаружила действия после эксплуатации, связанные с загрузчиком DarkGate. Чтобы помочь в поиске угроз, служба безопасности Cybereason предоставила список индикаторов компрометации (IOCS), связанных с известными действиями после эксплуатации. Эти IOC включают такие домены, как "eventionevents.com," "prestige-castom.com," и "tsvsnjv.com," вместе с соответствующими IP-адресами. Кроме того, в качестве индикаторов были определены конкретные хэши файлов, такие как "eaeacd7fd94df79722822196f20e739eadc1a68d40e94ef.exe,".
Используя эти IOC, организации могут активно отслеживать признаки DarkGate Loader и его действия после эксплуатации в своих сетях. Для организаций крайне важно сохранять бдительность и внедрять необходимые меры безопасности для защиты от этой возникающей угрозы.
#ParsedReport #CompletenessLow
26-01-2024
Ransomware Roundup - Albabat
https://www.fortinet.com/blog/threat-research/ransomware-roundup-albabat
Report completeness: Low
Victims:
Companies and individuals in argentina, Brazil, Czech republic, Germany, Hungary, Kazakhstan, Russia, United states
Geo:
Czech, Argentina, Germany, Russia, Portuguese, Kazakhstan, Brazil, Hungary
ChatGPT TTPs:
T1189, T1486, T1048, T1566
IOCs:
File: 15
Path: 22
IP: 1
Domain: 13
Hash: 5
Soft:
Chrome, outlook
Crypto:
bitcoin
Win API:
arc
Win Services:
powerpnt, MySQL57, MySQL80
Languages:
rust
Platforms:
x86
26-01-2024
Ransomware Roundup - Albabat
https://www.fortinet.com/blog/threat-research/ransomware-roundup-albabat
Report completeness: Low
Victims:
Companies and individuals in argentina, Brazil, Czech republic, Germany, Hungary, Kazakhstan, Russia, United states
Geo:
Czech, Argentina, Germany, Russia, Portuguese, Kazakhstan, Brazil, Hungary
ChatGPT TTPs:
do not use without manual checkT1189, T1486, T1048, T1566
IOCs:
File: 15
Path: 22
IP: 1
Domain: 13
Hash: 5
Soft:
Chrome, outlook
Crypto:
bitcoin
Win API:
arc
Win Services:
powerpnt, MySQL57, MySQL80
Languages:
rust
Platforms:
x86
Fortinet Blog
Ransomware Roundup - Albabat
The financially motivated Albabat ransomware began distributing as a rogue program in late 2023, and has since evolved. Learn more.…
CTT Report Hub
#ParsedReport #CompletenessLow 26-01-2024 Ransomware Roundup - Albabat https://www.fortinet.com/blog/threat-research/ransomware-roundup-albabat Report completeness: Low Victims: Companies and individuals in argentina, Brazil, Czech republic, Germany, Hungary…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что программа-вымогатель Albabat, также известная как White Bat, является финансово мотивированной программой-вымогателем, которая в первую очередь нацелена на пользователей, маскируясь под мошенническое программное обеспечение. Она шифрует важные пользовательские файлы и требует выкуп за их освобождение. Программа-вымогатель распространяется с помощью поддельных средств активации Windows 10 или читерских программ для Counter-Strike 2. Она способна нацеливаться как на платформы Windows, так и на Linux, хотя образцы Linux пока не найдены. Программа-вымогатель завершает определенные процессы и может красть или изменять файлы. В записке о выкупе предлагаются варианты перевода, в качестве рекомендуемого языка указан португальский, что указывает на то, что разработчик, возможно, в основном говорит по-португальски. Программа-вымогатель направляет жертв на сайт TOR для переговоров, но в записках о выкупе не упоминается извлечение данных.
-----
Отчет FortiGuard Labs Roundup Ransomware содержит информацию о варианте программы-вымогателя Albabat, также известном как White Bat. Albabat - это финансово мотивированная программа-вымогатель, написанная на Rust, которая шифрует важные пользовательские файлы и требует выкуп за их освобождение. Впервые это было замечено в ноябре 2023 года с версией 0.1.0, за которой последовали последующие обновления, включая версию 0.3.0 в декабре и версию 0.3.3 в январе 2024 года.
Программа-вымогатель Albabat в основном распространяется как мошенническое программное обеспечение, маскируясь под поддельный инструмент цифровой активации Windows 10 или чит-программу для Counter-Strike 2. Однако из-за такого метода распространения она потенциально может повлиять на любого, кто попадется на поддельное программное обеспечение.
После запуска Albabat выполняет поиск файлов для шифрования, исключая определенные типы файлов. Зашифрованным файлам присваивается расширение .abbt, и программа-вымогатель заменяет обои для рабочего стола своей собственной настраиваемой версией. Интересно, что программа-вымогатель Albabat утверждает, что поддерживает платформы Windows и Linux, хотя образцы для Linux пока не найдены. Из-за гибкости языка Rust при кросс-компиляции в будущем может быть выпущена версия для Linux.
Программа-вымогатель завершает такие процессы, как Chrome.exe и пытается завершить дополнительные процессы, начиная с версии 0.3.0. Она также может красть или изменять определенные файлы. Как только процесс шифрования завершен, Albabat удаляет определенные файлы, включая уведомление о выкупе. Примечательно, что в записке о выкупе предлагаются варианты перевода с использованием сервиса Google Translate, при этом в качестве языка перевода автоматически выбирается португальский, что позволяет предположить, что разработчик программы-вымогателя может в основном говорить по-португальски.
Хотя один из образцов программы-вымогателя Albabat инструктирует жертв посещать сайт TOR, сайт был недоступен во время расследования. Вероятно, сайт TOR использовался только для переговоров о выкупе, поскольку в примечаниях о выкупе нет упоминания об утечке данных.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что программа-вымогатель Albabat, также известная как White Bat, является финансово мотивированной программой-вымогателем, которая в первую очередь нацелена на пользователей, маскируясь под мошенническое программное обеспечение. Она шифрует важные пользовательские файлы и требует выкуп за их освобождение. Программа-вымогатель распространяется с помощью поддельных средств активации Windows 10 или читерских программ для Counter-Strike 2. Она способна нацеливаться как на платформы Windows, так и на Linux, хотя образцы Linux пока не найдены. Программа-вымогатель завершает определенные процессы и может красть или изменять файлы. В записке о выкупе предлагаются варианты перевода, в качестве рекомендуемого языка указан португальский, что указывает на то, что разработчик, возможно, в основном говорит по-португальски. Программа-вымогатель направляет жертв на сайт TOR для переговоров, но в записках о выкупе не упоминается извлечение данных.
-----
Отчет FortiGuard Labs Roundup Ransomware содержит информацию о варианте программы-вымогателя Albabat, также известном как White Bat. Albabat - это финансово мотивированная программа-вымогатель, написанная на Rust, которая шифрует важные пользовательские файлы и требует выкуп за их освобождение. Впервые это было замечено в ноябре 2023 года с версией 0.1.0, за которой последовали последующие обновления, включая версию 0.3.0 в декабре и версию 0.3.3 в январе 2024 года.
Программа-вымогатель Albabat в основном распространяется как мошенническое программное обеспечение, маскируясь под поддельный инструмент цифровой активации Windows 10 или чит-программу для Counter-Strike 2. Однако из-за такого метода распространения она потенциально может повлиять на любого, кто попадется на поддельное программное обеспечение.
После запуска Albabat выполняет поиск файлов для шифрования, исключая определенные типы файлов. Зашифрованным файлам присваивается расширение .abbt, и программа-вымогатель заменяет обои для рабочего стола своей собственной настраиваемой версией. Интересно, что программа-вымогатель Albabat утверждает, что поддерживает платформы Windows и Linux, хотя образцы для Linux пока не найдены. Из-за гибкости языка Rust при кросс-компиляции в будущем может быть выпущена версия для Linux.
Программа-вымогатель завершает такие процессы, как Chrome.exe и пытается завершить дополнительные процессы, начиная с версии 0.3.0. Она также может красть или изменять определенные файлы. Как только процесс шифрования завершен, Albabat удаляет определенные файлы, включая уведомление о выкупе. Примечательно, что в записке о выкупе предлагаются варианты перевода с использованием сервиса Google Translate, при этом в качестве языка перевода автоматически выбирается португальский, что позволяет предположить, что разработчик программы-вымогателя может в основном говорить по-португальски.
Хотя один из образцов программы-вымогателя Albabat инструктирует жертв посещать сайт TOR, сайт был недоступен во время расследования. Вероятно, сайт TOR использовался только для переговоров о выкупе, поскольку в примечаниях о выкупе нет упоминания об утечке данных.
#ParsedReport #CompletenessLow
29-01-2024
APT-C-26 Lazarus PDF. 1. Analysis of attack activities
https://mp-weixin-qq-com.translate.goog/s?__biz=MzUyMjk4NzExMA==&mid=2247494879&idx=1&sn=5e0d5c7fc8439a4ef2b08d3677506998&chksm=f9c1dfd6ceb656c0d75a5c38107c8347d2a69f5586559a176fb1379565da91830576eddf8bcf&scene=178&cur_album_id=1915287066892959748&_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=en-US&_x_tr_pto=wapp#rd
Report completeness: Low
Actors/Campaigns:
Lazarus
Industry:
Financial
ChatGPT TTPs:
T1078, T1486, T1485, T1192, T1003, T1083, T1012, T1059, T1204, T1053, have more...
IOCs:
File: 3
Registry: 1
Hash: 7
Soft:
SumatraPDF, Windows Task Scheduler, Telegram
Algorithms:
xor, base64
29-01-2024
APT-C-26 Lazarus PDF. 1. Analysis of attack activities
https://mp-weixin-qq-com.translate.goog/s?__biz=MzUyMjk4NzExMA==&mid=2247494879&idx=1&sn=5e0d5c7fc8439a4ef2b08d3677506998&chksm=f9c1dfd6ceb656c0d75a5c38107c8347d2a69f5586559a176fb1379565da91830576eddf8bcf&scene=178&cur_album_id=1915287066892959748&_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=en-US&_x_tr_pto=wapp#rd
Report completeness: Low
Actors/Campaigns:
Lazarus
Industry:
Financial
ChatGPT TTPs:
do not use without manual checkT1078, T1486, T1485, T1192, T1003, T1083, T1012, T1059, T1204, T1053, have more...
IOCs:
File: 3
Registry: 1
Hash: 7
Soft:
SumatraPDF, Windows Task Scheduler, Telegram
Algorithms:
xor, base64
微信公众平台
APT-C-26(Lazarus)组织使用武器化的开源PDF阅读器的攻击活动分析
在最近的网络安全监测中,360高级威胁研究院发现APT-C-26组织对开源项目SumatraPDF进行了武器化处理,通过植入恶意代码,使其成为攻击工具
CTT Report Hub
#ParsedReport #CompletenessLow 29-01-2024 APT-C-26 Lazarus PDF. 1. Analysis of attack activities https://mp-weixin-qq-com.translate.goog/s?__biz=MzUyMjk4NzExMA==&mid=2247494879&idx=1&sn=5e0d5c7fc8439a4ef2b08d3677506998&chksm=f9c1dfd6ceb656c0d75a5c38107c…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея этого текста заключается в том, что организация Lazarus, высокоактивная и изощренная группа по борьбе с киберугрозами, осуществила кибератаку, вооружив программу чтения SumatraPDF. Атака заключалась в установлении доверия с пользователями на социальных платформах и обманом вынудила их выполнить вредоносный код. Анализ показывает, что этот метод атаки соответствует историческим моделям поведения группы Lazarus, известной тем, что использует проекты с открытым исходным кодом в качестве оружия. Для защиты от таких атак предоставляются специальные рекомендации по предотвращению и устранению неполадок. Атака подчеркивает угрозу, исходящую от надежных проектов с открытым исходным кодом, используемых в качестве средств для кибератак. Основной целью атаки была кража важной пользовательской информации. Злоумышленники продемонстрировали передовые технические возможности и сложные стратегии, продемонстрировав свой профессионализм и техническую компетентность.
-----
Организация Lazarus, также известная как APT-C-26, является высокоактивной группой продвинутых постоянных угроз, известной своими изощренными методами атак.
Для осуществления кибератаки злоумышленники использовали вооруженный SumatraPDF Reader, проект с открытым исходным кодом.
Метод атаки соответствует исторической модели поведения группы Lazarus, что указывает на их причастность.
Социальные платформы использовались злоумышленниками для установления доверительных отношений с пользователями и обманом заставить их выполнить вредоносный код.
Для защиты от таких атак предоставляются специальные рекомендации по профилактике и устранению неполадок.
Организация Lazarus в первую очередь нацелена на финансовые учреждения и криптовалютные биржи, стремясь незаконно получить средства и украсть конфиденциальную информацию.
Злоумышленники устанавливают доверительные отношения с пользователем через Telegram и отправляют защищенные PDF-документы через модифицированный ридер SumatraPDF.
Внедренный вредоносный код запускает серию вредоносных действий, оставаясь незамеченным, несмотря на его передовые технические возможности.
Вооруженный считыватель SumatraPDF расшифровывает и высвобождает другие вредоносные полезные файлы, а для загрузки других полезных файлов выполняется вредоносный код типа downloader.
Анализ выявляет профессионализм и техническую компетентность злоумышленника в области передачи данных и управления ими, повышая устойчивость атаки и предоставляя злоумышленнику обратную связь в режиме реального времени.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея этого текста заключается в том, что организация Lazarus, высокоактивная и изощренная группа по борьбе с киберугрозами, осуществила кибератаку, вооружив программу чтения SumatraPDF. Атака заключалась в установлении доверия с пользователями на социальных платформах и обманом вынудила их выполнить вредоносный код. Анализ показывает, что этот метод атаки соответствует историческим моделям поведения группы Lazarus, известной тем, что использует проекты с открытым исходным кодом в качестве оружия. Для защиты от таких атак предоставляются специальные рекомендации по предотвращению и устранению неполадок. Атака подчеркивает угрозу, исходящую от надежных проектов с открытым исходным кодом, используемых в качестве средств для кибератак. Основной целью атаки была кража важной пользовательской информации. Злоумышленники продемонстрировали передовые технические возможности и сложные стратегии, продемонстрировав свой профессионализм и техническую компетентность.
-----
Организация Lazarus, также известная как APT-C-26, является высокоактивной группой продвинутых постоянных угроз, известной своими изощренными методами атак.
Для осуществления кибератаки злоумышленники использовали вооруженный SumatraPDF Reader, проект с открытым исходным кодом.
Метод атаки соответствует исторической модели поведения группы Lazarus, что указывает на их причастность.
Социальные платформы использовались злоумышленниками для установления доверительных отношений с пользователями и обманом заставить их выполнить вредоносный код.
Для защиты от таких атак предоставляются специальные рекомендации по профилактике и устранению неполадок.
Организация Lazarus в первую очередь нацелена на финансовые учреждения и криптовалютные биржи, стремясь незаконно получить средства и украсть конфиденциальную информацию.
Злоумышленники устанавливают доверительные отношения с пользователем через Telegram и отправляют защищенные PDF-документы через модифицированный ридер SumatraPDF.
Внедренный вредоносный код запускает серию вредоносных действий, оставаясь незамеченным, несмотря на его передовые технические возможности.
Вооруженный считыватель SumatraPDF расшифровывает и высвобождает другие вредоносные полезные файлы, а для загрузки других полезных файлов выполняется вредоносный код типа downloader.
Анализ выявляет профессионализм и техническую компетентность злоумышленника в области передачи данных и управления ими, повышая устойчивость атаки и предоставляя злоумышленнику обратную связь в режиме реального времени.
#ParsedReport #CompletenessLow
29-01-2024
Attackers installing Linux backdoor accounts
https://asec.ahnlab.com/ko/60979
Report completeness: Low
Actors/Campaigns:
Kimsuky
Kono_dio_da
Threats:
Xmrig_miner
Tsunami_botnet
Shellbot
Logcleaner_tool
Victims:
Improperly managed linux systems
ChatGPT TTPs:
T1110, T1078, T1486, T1078.003, T1505.003, T1070, T1071, T1219, T1059
IOCs:
IP: 9
Soft:
task scheduler, ntab -l #, -l # w #, hadoop
29-01-2024
Attackers installing Linux backdoor accounts
https://asec.ahnlab.com/ko/60979
Report completeness: Low
Actors/Campaigns:
Kimsuky
Kono_dio_da
Threats:
Xmrig_miner
Tsunami_botnet
Shellbot
Logcleaner_tool
Victims:
Improperly managed linux systems
ChatGPT TTPs:
do not use without manual checkT1110, T1078, T1486, T1078.003, T1505.003, T1070, T1071, T1219, T1059
IOCs:
IP: 9
Soft:
task scheduler, ntab -l #, -l # w #, hadoop
ASEC BLOG
리눅스 백도어 계정을 설치하는 공격자들 - ASEC BLOG
AhnLab SEcurity intelligence Center(ASEC)은 리눅스 SSH 허니팟을 활용하여 불특정 다수의 리눅스 시스템을 대상으로 한 공격을 모니터링하고 있다. 공격자들은 기본적으로 설정되어 있거나 단순한 형태의 비밀번호를 사용하는 부적절하게 관리되고 있는 리눅스 시스템들을 무차별 대입 공격 및 사전 공격하여 악성코드들을 설치하고 있다. 웜, 코인 마이너 및 DDoS Bot을 설치하는 다양한 공격 사례들이 존재하지만 여기에서는 악성코드…
CTT Report Hub
#ParsedReport #CompletenessLow 29-01-2024 Attackers installing Linux backdoor accounts https://asec.ahnlab.com/ko/60979 Report completeness: Low Actors/Campaigns: Kimsuky Kono_dio_da Threats: Xmrig_miner Tsunami_botnet Shellbot Logcleaner_tool Victims:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что существует постоянная атака на системы Linux через SSH, в первую очередь нацеленная на системы с паролями по умолчанию или слабыми паролями. Злоумышленники получают доступ к этим системам и устанавливают различные типы вредоносных программ, включая червей, майнеров монет и DDoS-ботов. Вместо установки вредоносного ПО некоторые злоумышленники создают бэкдорные учетные записи, чтобы сохранить контроль над зараженной системой. Они также используют методы сохранения, чтобы гарантировать, что их код запускается даже после перезагрузки. Злоумышленники сканируют серверы со службами SSH, активированными на порту 22, и используют атаки методом перебора или по словарю для получения действительных учетных данных. Важно внедрять меры безопасности, такие как брандмауэры и современные продукты безопасности, для защиты этих систем от таких атак.
-----
Аналитический центр безопасности AhnLab (ASEC) отслеживает атаки на системы Linux с помощью Linux SSH honeypot.
Атаки в первую очередь нацелены на неправильно управляемые системы Linux с паролями по умолчанию или ненадежными.
Злоумышленники используют атаки методом перебора или по словарю, чтобы получить доступ и установить вредоносные программы, такие как черви, майнеры монет и DDoS-боты.
Определенный тип атаки направлен на создание бэкдорных учетных записей вместо установки вредоносного ПО.
Злоумышленники добавляют новые учетные записи, меняют пароль учетной записи root или используют регистрацию SSH-ключа, чтобы получить контроль над зараженными системами.
Злоумышленники могут устанавливать различные вредоносные коды, включая программы-вымогатели, майнеры монет и DDoS-боты.
Методы сохранения используются для поддержания контроля, такие как регистрация в разделах системного реестра и создание учетных записей бэкдора.
Kimsuky threat group использует RDP для управления системами Windows и создания скрытых учетных записей.
Злоумышленники сканируют службы SSH на порту 22 и используют атаки методом перебора или по словарю для получения действительных учетных данных.
Автоматизированные скрипты используются для добавления бэкдорных учетных записей и изменения паролей учетных записей root.
Злоумышленники могут вставить открытые ключи SSH для входа в систему, используя скомпрометированные или вновь созданные учетные записи.
Учетные записи бэкдоров и SSH-ключи могут использоваться отдельно или в сочетании с другими вредоносными программами.
Атака KONO DIO DA добавила открытый ключ SSH вместе с установкой XMRig coin miner.
Злоумышленники используют сжатые файлы и вредоносные скрипты Bash для установки открытых ключей SSH во время атак.
Постоянно наблюдались атаки, нацеленные на уязвимые SSH-серверы Linux с использованием бэкдорных учетных записей.
Бэкдор-аккаунты позволяют злоумышленникам не только устанавливать вредоносные программы, но и потенциально продавать их в темной сети.
Меры безопасности, такие как брандмауэры, современные продукты безопасности и меры предосторожности против заражения вредоносными программами, имеют решающее значение для защиты системы.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что существует постоянная атака на системы Linux через SSH, в первую очередь нацеленная на системы с паролями по умолчанию или слабыми паролями. Злоумышленники получают доступ к этим системам и устанавливают различные типы вредоносных программ, включая червей, майнеров монет и DDoS-ботов. Вместо установки вредоносного ПО некоторые злоумышленники создают бэкдорные учетные записи, чтобы сохранить контроль над зараженной системой. Они также используют методы сохранения, чтобы гарантировать, что их код запускается даже после перезагрузки. Злоумышленники сканируют серверы со службами SSH, активированными на порту 22, и используют атаки методом перебора или по словарю для получения действительных учетных данных. Важно внедрять меры безопасности, такие как брандмауэры и современные продукты безопасности, для защиты этих систем от таких атак.
-----
Аналитический центр безопасности AhnLab (ASEC) отслеживает атаки на системы Linux с помощью Linux SSH honeypot.
Атаки в первую очередь нацелены на неправильно управляемые системы Linux с паролями по умолчанию или ненадежными.
Злоумышленники используют атаки методом перебора или по словарю, чтобы получить доступ и установить вредоносные программы, такие как черви, майнеры монет и DDoS-боты.
Определенный тип атаки направлен на создание бэкдорных учетных записей вместо установки вредоносного ПО.
Злоумышленники добавляют новые учетные записи, меняют пароль учетной записи root или используют регистрацию SSH-ключа, чтобы получить контроль над зараженными системами.
Злоумышленники могут устанавливать различные вредоносные коды, включая программы-вымогатели, майнеры монет и DDoS-боты.
Методы сохранения используются для поддержания контроля, такие как регистрация в разделах системного реестра и создание учетных записей бэкдора.
Kimsuky threat group использует RDP для управления системами Windows и создания скрытых учетных записей.
Злоумышленники сканируют службы SSH на порту 22 и используют атаки методом перебора или по словарю для получения действительных учетных данных.
Автоматизированные скрипты используются для добавления бэкдорных учетных записей и изменения паролей учетных записей root.
Злоумышленники могут вставить открытые ключи SSH для входа в систему, используя скомпрометированные или вновь созданные учетные записи.
Учетные записи бэкдоров и SSH-ключи могут использоваться отдельно или в сочетании с другими вредоносными программами.
Атака KONO DIO DA добавила открытый ключ SSH вместе с установкой XMRig coin miner.
Злоумышленники используют сжатые файлы и вредоносные скрипты Bash для установки открытых ключей SSH во время атак.
Постоянно наблюдались атаки, нацеленные на уязвимые SSH-серверы Linux с использованием бэкдорных учетных записей.
Бэкдор-аккаунты позволяют злоумышленникам не только устанавливать вредоносные программы, но и потенциально продавать их в темной сети.
Меры безопасности, такие как брандмауэры, современные продукты безопасности и меры предосторожности против заражения вредоносными программами, имеют решающее значение для защиты системы.
#ParsedReport #CompletenessLow
29-01-2024
Stately Taurus Targets Myanmar Amidst Concerns over Military Junta s Handling of Rebel Attacks
https://csirt-cti.net/2024/01/23/stately-taurus-targets-myanmar
Report completeness: Low
Actors/Campaigns:
Red_delta (motivation: cyber_espionage)
Threats:
Pubload
Plugx_rat
Toneshell
Victims:
Myanmar ministry of defence and foreign affairs
Industry:
Military, Government
Geo:
America, Philippines, Asia, Myanmar, Asian, American, Malaysia, China, Chinese
ChatGPT TTPs:
T1078, T1001, T1105, T1005, T1118, T1060, T1038, T1158, T1085, T1032, have more...
IOCs:
Path: 2
IP: 3
File: 3
Hash: 7
Algorithms:
zip, rc4
Functions:
GetCurrentRollback, GetCurrentDeploy
Links:
29-01-2024
Stately Taurus Targets Myanmar Amidst Concerns over Military Junta s Handling of Rebel Attacks
https://csirt-cti.net/2024/01/23/stately-taurus-targets-myanmar
Report completeness: Low
Actors/Campaigns:
Red_delta (motivation: cyber_espionage)
Threats:
Pubload
Plugx_rat
Toneshell
Victims:
Myanmar ministry of defence and foreign affairs
Industry:
Military, Government
Geo:
America, Philippines, Asia, Myanmar, Asian, American, Malaysia, China, Chinese
ChatGPT TTPs:
do not use without manual checkT1078, T1001, T1105, T1005, T1118, T1060, T1038, T1158, T1085, T1032, have more...
IOCs:
Path: 2
IP: 3
File: 3
Hash: 7
Algorithms:
zip, rc4
Functions:
GetCurrentRollback, GetCurrentDeploy
Links:
https://github.com/Matmaus/LnkParse3
CTT Report Hub
#ParsedReport #CompletenessLow 29-01-2024 Stately Taurus Targets Myanmar Amidst Concerns over Military Junta s Handling of Rebel Attacks https://csirt-cti.net/2024/01/23/stately-taurus-targets-myanmar Report completeness: Low Actors/Campaigns: Red_delta…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что были проведены две киберкампании, направленные против Министерства обороны и иностранных дел Мьянмы, которые были приписаны китайской группе Advanced Persistent Threat (APT), известной как Stately Taurus. В этих кампаниях использовались такие методы, как перехват заказа на поиск библиотеки DLL, развертывание имплантата PlugX и связь с определенными серверами C2. Сходство между кампаниями и предыдущей инфраструктурой, связанной с Stately Taurus, убедительно свидетельствует об их принадлежности. Эти нападения совпадают с действиями повстанцев на севере Мьянмы, и рекомендуется принять контрмеры против этой экстремистской группировки.
-----
В тексте описываются две киберкампании, направленные против Министерства обороны и иностранных дел Мьянмы. Кампании были приписаны китайской группе Advanced Persistent Threat (APT), известной как Stately Taurus. Первая кампания была замечена 9 ноября 2023 года и была обнаружена с помощью вредоносного архива, отправленного в VirusTotal. Исполнитель угрозы использовал перехват порядка поиска DLL для загрузки вредоносной библиотеки DLL после выполнения двоичного файла-приманки. Вредоносная программа добилась сохранения, скопировав себя и библиотеку DLL в "C:\ProgramData\gameinstall" и создав ключ автозапуска. Она связалась с сервером C2 по IP-адресу 123.253.32.15, замаскировав трафик под трафик обновления Microsoft.
Вторая кампания проводилась 17 января 2024 года и включала в себя использование образа оптического диска (ISO), содержащего ярлыки LNK. Эта кампания проводилась по методологии, аналогичной первой, с использованием имплантата PlugX. Способ доставки соответствовал вредоносной программе TONESHELL, задокументированной TrendMicro. Вредоносная программа попыталась установить связь с двумя серверами C2 по IP-адресам 103.159.132.80 и 37.120.222.19. Однако на момент написания статьи эти серверы не отвечали.
Несмотря на невозможность исследовать этап внедрения PlugX во второй кампании, сходство между двумя кампаниями позволяет с высокой степенью уверенности отнести их к Stately Taurus. Обе кампании использовали перехват порядка поиска DLL и создали ключи автозапуска с похожими схемами именования для сохранения. Двоичный код, проверяющий аргументы командной строки, также содержал общий код и типографские ошибки.
Анализ серверов C2 показал, что для каждого хоста были зарегистрированы разные сертификаты, но они имели одно и то же общее имя и находились в одной автономной системе. Эти результаты согласуются с предыдущими публикациями, документирующими инфраструктуру, связанную с Stately Taurus.
Нападения совпадают с нападениями этнических повстанцев на севере Мьянмы со стороны Альянса трех братьев (3BHA), который захватывает аванпосты и военные позиции хунты. Китай выразил обеспокоенность по поводу этих нападений, поскольку они могут повлиять на торговые пути и безопасность вдоль границы между Мьянмой и Китаем.
Основываясь на исторических отчетах и сходствах в тактике, методах и процедурах (TTP), весьма вероятно, что эти атаки могут быть приписаны Stately Taurus. У группы есть история нападений на азиатские страны, включая Мьянму, в соответствии с геополитическими интересами правительства Китая. Рекомендуется принять контрмеры для защиты от этой группы APT, поскольку они также нацелены на страны Европы и Северной Америки.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что были проведены две киберкампании, направленные против Министерства обороны и иностранных дел Мьянмы, которые были приписаны китайской группе Advanced Persistent Threat (APT), известной как Stately Taurus. В этих кампаниях использовались такие методы, как перехват заказа на поиск библиотеки DLL, развертывание имплантата PlugX и связь с определенными серверами C2. Сходство между кампаниями и предыдущей инфраструктурой, связанной с Stately Taurus, убедительно свидетельствует об их принадлежности. Эти нападения совпадают с действиями повстанцев на севере Мьянмы, и рекомендуется принять контрмеры против этой экстремистской группировки.
-----
В тексте описываются две киберкампании, направленные против Министерства обороны и иностранных дел Мьянмы. Кампании были приписаны китайской группе Advanced Persistent Threat (APT), известной как Stately Taurus. Первая кампания была замечена 9 ноября 2023 года и была обнаружена с помощью вредоносного архива, отправленного в VirusTotal. Исполнитель угрозы использовал перехват порядка поиска DLL для загрузки вредоносной библиотеки DLL после выполнения двоичного файла-приманки. Вредоносная программа добилась сохранения, скопировав себя и библиотеку DLL в "C:\ProgramData\gameinstall" и создав ключ автозапуска. Она связалась с сервером C2 по IP-адресу 123.253.32.15, замаскировав трафик под трафик обновления Microsoft.
Вторая кампания проводилась 17 января 2024 года и включала в себя использование образа оптического диска (ISO), содержащего ярлыки LNK. Эта кампания проводилась по методологии, аналогичной первой, с использованием имплантата PlugX. Способ доставки соответствовал вредоносной программе TONESHELL, задокументированной TrendMicro. Вредоносная программа попыталась установить связь с двумя серверами C2 по IP-адресам 103.159.132.80 и 37.120.222.19. Однако на момент написания статьи эти серверы не отвечали.
Несмотря на невозможность исследовать этап внедрения PlugX во второй кампании, сходство между двумя кампаниями позволяет с высокой степенью уверенности отнести их к Stately Taurus. Обе кампании использовали перехват порядка поиска DLL и создали ключи автозапуска с похожими схемами именования для сохранения. Двоичный код, проверяющий аргументы командной строки, также содержал общий код и типографские ошибки.
Анализ серверов C2 показал, что для каждого хоста были зарегистрированы разные сертификаты, но они имели одно и то же общее имя и находились в одной автономной системе. Эти результаты согласуются с предыдущими публикациями, документирующими инфраструктуру, связанную с Stately Taurus.
Нападения совпадают с нападениями этнических повстанцев на севере Мьянмы со стороны Альянса трех братьев (3BHA), который захватывает аванпосты и военные позиции хунты. Китай выразил обеспокоенность по поводу этих нападений, поскольку они могут повлиять на торговые пути и безопасность вдоль границы между Мьянмой и Китаем.
Основываясь на исторических отчетах и сходствах в тактике, методах и процедурах (TTP), весьма вероятно, что эти атаки могут быть приписаны Stately Taurus. У группы есть история нападений на азиатские страны, включая Мьянму, в соответствии с геополитическими интересами правительства Китая. Рекомендуется принять контрмеры для защиты от этой группы APT, поскольку они также нацелены на страны Европы и Северной Америки.
#ParsedReport #CompletenessHigh
29-01-2024
PikaBot Rising. Distribution Mechanisms
https://blog.pulsedive.com/pikabot
Report completeness: High
Threats:
Pikabot
Qakbot
Dll_sideloading_technique
Process_hollowing_technique
Lolbin_technique
Anydesk_tool
Antidebugging_technique
Geo:
Georgian, Ukrainian, Slovenian, Russian, Belarusian
TTPs:
Tactics: 7
Technics: 20
IOCs:
IP: 4
File: 4
Hash: 1
Algorithms:
zip
Functions:
GetUserDefaultLandID
Win API:
GetProcAddress, LoadLibraryA, CheckRemoteDebuggerPresent, IsDebuggerPresent, beep, NtGlobalFlag, NtQueryInformationProcess, GetWriteWatch, GlobalMemoryStatusEx, GetUserDefaultLangID, have more...
Languages:
python, javascript
29-01-2024
PikaBot Rising. Distribution Mechanisms
https://blog.pulsedive.com/pikabot
Report completeness: High
Threats:
Pikabot
Qakbot
Dll_sideloading_technique
Process_hollowing_technique
Lolbin_technique
Anydesk_tool
Antidebugging_technique
Geo:
Georgian, Ukrainian, Slovenian, Russian, Belarusian
TTPs:
Tactics: 7
Technics: 20
IOCs:
IP: 4
File: 4
Hash: 1
Algorithms:
zip
Functions:
GetUserDefaultLandID
Win API:
GetProcAddress, LoadLibraryA, CheckRemoteDebuggerPresent, IsDebuggerPresent, beep, NtGlobalFlag, NtQueryInformationProcess, GetWriteWatch, GlobalMemoryStatusEx, GetUserDefaultLangID, have more...
Languages:
python, javascript
Pulsedive Blog
Pulsedive Blog | Pikabot Rising
Dive into the distribution methods and capabilities of Pikabot, a loader that has been growing in prevalence since early 2023.