#ParsedReport #CompletenessHigh
30-01-2024
Unmasking a Financial Services Intrusion: REF0657
https://www.elastic.co/security-labs/unmasking-financial-services-intrusion-ref0657
Report completeness: High
Actors/Campaigns:
Ref0657
Threats:
Cobalt_strike
Supershell
Dll_sideloading_technique
Beacon
Passthehash_technique
Rakshasa_tool
Upx_tool
Victims:
Financial services organization in south asia
Industry:
Financial
Geo:
Asia, Chinese
TTPs:
Tactics: 7
Technics: 0
IOCs:
File: 18
IP: 7
Domain: 1
Registry: 1
Command: 2
Path: 4
Hash: 2
Soft:
Microsoft SQL Server, MSSQL, Windows service, Windows Firewall, NET Framework, Kibana
Algorithms:
sha256, base64, zip, xor
Functions:
DownloadFile
Languages:
golang, powershell
Links:
30-01-2024
Unmasking a Financial Services Intrusion: REF0657
https://www.elastic.co/security-labs/unmasking-financial-services-intrusion-ref0657
Report completeness: High
Actors/Campaigns:
Ref0657
Threats:
Cobalt_strike
Supershell
Dll_sideloading_technique
Beacon
Passthehash_technique
Rakshasa_tool
Upx_tool
Victims:
Financial services organization in south asia
Industry:
Financial
Geo:
Asia, Chinese
TTPs:
Tactics: 7
Technics: 0
IOCs:
File: 18
IP: 7
Domain: 1
Registry: 1
Command: 2
Path: 4
Hash: 2
Soft:
Microsoft SQL Server, MSSQL, Windows service, Windows Firewall, NET Framework, Kibana
Algorithms:
sha256, base64, zip, xor
Functions:
DownloadFile
Languages:
golang, powershell
Links:
https://github.com/elastic/protections-artifacts/blob/main/behavior/rules/execution\_suspicious\_powershell\_execution.tomlhttps://github.com/elastic/protections-artifacts/blob/main/behavior/rules/defense\_evasion\_execution\_via\_renamed\_signed\_binary\_proxy.tomlhttps://github.com/elastic/protections-artifacts/blob/main/behavior/rules/lateral\_movement\_potential\_lateral\_movement\_via\_smbexec.tomlhttps://github.com/elastic/protections-artifacts/blob/main/yara/rules/Multi\_Hacktool\_Rakshasa.yarhttps://github.com/EddieIvan01/ioxhttps://github.com/elastic/protections-artifacts/blob/main/yara/rules/Windows\_Hacktool\_Iox.yarhttps://github.com/elastic/protections-artifacts/blob/main/yara/rules/Multi\_Hacktool\_Nps.yarhttps://github.com/ShadowMccc/MemoryEvasionhttps://github.com/elastic/protections-artifacts/blob/main/yara/rules/Windows\_Hacktool\_SleepObfLoader.yarhttps://github.com/elastic/protections-artifacts/blob/main/behavior/rules/defense\_evasion\_rundll32\_with\_unusual\_arguments.tomlhttps://github.com/elastic/protections-artifacts/blob/main/behavior/rules/command\_and\_control\_ingress\_tool\_transfer\_via\_inet\_cache.tomlhttps://github.com/tdragon6/Supershell/tree/mainhttps://github.com/elastic/labs-releases/tree/main/indicators/ref0657https://github.com/carlospolop/hacktricks/blob/master/pentesting-web/ssrf-server-side-request-forgery/cloud-ssrf.md#abusing-ssrf-in-aws-ec2-environmenthttps://github.com/tutorial0/WebShell/blob/master/Aspx/ASPXspy.aspxhttps://github.com/elastic/protections-artifacts/blob/main/yara/rules/Windows\_Trojan\_CobaltStrike.yarhttps://github.com/ehang-io/nps/tree/masterhttps://github.com/Mob2003/rakshasahttps://github.com/elastic/protections-artifacts/blob/main/behavior/rules/defense\_evasion\_potential\_masquerading\_as\_windows\_error\_manager.tomlhttps://github.com/L-codes/Neo-reGeorg/blob/master/templates/tunnel.ashxhttps://github.com/elastic/protections-artifacts/blob/main/behavior/rules/execution\_suspicious\_cmd\_execution\_via\_wmi.tomlwww.elastic.co
Unmasking a Financial Services Intrusion: REF0657 — Elastic Security Labs
Elastic Security Labs details an intrusion leveraging open-source tooling and different post-exploitation techniques targeting the financial services industry in South Asia.
CTT Report Hub
#ParsedReport #CompletenessHigh 30-01-2024 Unmasking a Financial Services Intrusion: REF0657 https://www.elastic.co/security-labs/unmasking-financial-services-intrusion-ref0657 Report completeness: High Actors/Campaigns: Ref0657 Threats: Cobalt_strike…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что Elastic Security Labs обнаружила целенаправленное вторжение в индустрию финансовых услуг в Южной Азии. Группа угроз, стоящая за вторжением, использовала различные инструменты и методы с открытым исходным кодом, такие как обнаружение/перечисление, методы постэксплуатации и туннелирование. Они получили первоначальный доступ с помощью таких методов, как certutil.exe, bitsadmin.exe и метод PowerShell DownloadFile(), и использовали Cobalt Strike для командования и контроля. Злоумышленник также использовал методы боковой загрузки, включил режим ограниченного администрирования и использовал предупреждения о внедрении шеллкода для атак с передачей хэша. Они использовали прокси-инструменты, такие как Rakshasa и ICMP-туннелирование, а также китайскую платформу C2 под названием Supershell panel. Elastic Security Labs проанализировала тактику и методы, используя платформу MITRE ATT&CK framework.
-----
В декабре 2023 года Elastic Security Labs обнаружила целенаправленное вторжение в сферу финансовых услуг в Южной Азии. Группа угроз, стоящая за этим вторжением, использовала разнообразный набор инструментов с открытым исходным кодом и методов последующей эксплуатации. Они занимались такими действиями, как обнаружение/перечисление, использовали внутреннее корпоративное программное обеспечение против жертвы и использовали туннелеры и методы боковой загрузки для выполнения Cobalt Strike. Злоумышленник также использовал файлообменный сервис Mega для извлечения данных из сети.
Первоначальный доступ был получен различными способами, включая использование метода certutil.exe, bitsadmin.exe и PowerShell DownloadFile(). Затем злоумышленник перешел к использованию Cobalt Strike для командования и контроля (C2) и дальнейшего выполнения. Они загрузили вредоносную библиотеку DLL (msvcp140.dll) в законно подписанную версию Trend Micro Deep Security Monitor (ds_monitor.exe). Это позволило им загрузить Cobalt Strike и установить соединение с сервером C2.
Злоумышленник также включил режим ограниченного администрирования посредством модификации реестра, что позволило ему проводить атаки в стиле передачи хэша против протокола удаленного рабочего стола (RDP). Они генерировали предупреждения о внедрении шеллкода с помощью AppLaunch.exe и сохраняли результаты в файле с именем 1.txt. Введенный шелл-код был идентифицирован как двоичный файл Golang под названием iox, предназначенный для переадресации портов и проксирования с возможностью шифрования трафика.
Злоумышленник использовал различные инструменты прокси и методы туннелирования на протяжении всего вторжения. Они использовали прокси, известный как Rakshasa, загруженный с его официальной страницы на GitHub, для создания туннеля, подключающегося к определенным IP-адресам. Они также использовали туннелирование ICMP для отправки и извлечения данных из сети. Кроме того, команда наблюдала за использованием Supershell panel, китайской платформы C2, работающей по определенному IP-адресу.
Методы, наблюдаемые в рамках этой тактики, включали бэкдор-доступ с использованием Microsoft SQL Server, сброс учетных данных, очистку журнала событий, эксфильтрацию с использованием Mega CMD, а также различные сетевые туннелеры и прокси-инструменты.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что Elastic Security Labs обнаружила целенаправленное вторжение в индустрию финансовых услуг в Южной Азии. Группа угроз, стоящая за вторжением, использовала различные инструменты и методы с открытым исходным кодом, такие как обнаружение/перечисление, методы постэксплуатации и туннелирование. Они получили первоначальный доступ с помощью таких методов, как certutil.exe, bitsadmin.exe и метод PowerShell DownloadFile(), и использовали Cobalt Strike для командования и контроля. Злоумышленник также использовал методы боковой загрузки, включил режим ограниченного администрирования и использовал предупреждения о внедрении шеллкода для атак с передачей хэша. Они использовали прокси-инструменты, такие как Rakshasa и ICMP-туннелирование, а также китайскую платформу C2 под названием Supershell panel. Elastic Security Labs проанализировала тактику и методы, используя платформу MITRE ATT&CK framework.
-----
В декабре 2023 года Elastic Security Labs обнаружила целенаправленное вторжение в сферу финансовых услуг в Южной Азии. Группа угроз, стоящая за этим вторжением, использовала разнообразный набор инструментов с открытым исходным кодом и методов последующей эксплуатации. Они занимались такими действиями, как обнаружение/перечисление, использовали внутреннее корпоративное программное обеспечение против жертвы и использовали туннелеры и методы боковой загрузки для выполнения Cobalt Strike. Злоумышленник также использовал файлообменный сервис Mega для извлечения данных из сети.
Первоначальный доступ был получен различными способами, включая использование метода certutil.exe, bitsadmin.exe и PowerShell DownloadFile(). Затем злоумышленник перешел к использованию Cobalt Strike для командования и контроля (C2) и дальнейшего выполнения. Они загрузили вредоносную библиотеку DLL (msvcp140.dll) в законно подписанную версию Trend Micro Deep Security Monitor (ds_monitor.exe). Это позволило им загрузить Cobalt Strike и установить соединение с сервером C2.
Злоумышленник также включил режим ограниченного администрирования посредством модификации реестра, что позволило ему проводить атаки в стиле передачи хэша против протокола удаленного рабочего стола (RDP). Они генерировали предупреждения о внедрении шеллкода с помощью AppLaunch.exe и сохраняли результаты в файле с именем 1.txt. Введенный шелл-код был идентифицирован как двоичный файл Golang под названием iox, предназначенный для переадресации портов и проксирования с возможностью шифрования трафика.
Злоумышленник использовал различные инструменты прокси и методы туннелирования на протяжении всего вторжения. Они использовали прокси, известный как Rakshasa, загруженный с его официальной страницы на GitHub, для создания туннеля, подключающегося к определенным IP-адресам. Они также использовали туннелирование ICMP для отправки и извлечения данных из сети. Кроме того, команда наблюдала за использованием Supershell panel, китайской платформы C2, работающей по определенному IP-адресу.
Методы, наблюдаемые в рамках этой тактики, включали бэкдор-доступ с использованием Microsoft SQL Server, сброс учетных данных, очистку журнала событий, эксфильтрацию с использованием Mega CMD, а также различные сетевые туннелеры и прокси-инструменты.
#ParsedReport #CompletenessMedium
30-01-2024
CrackedCantil: A Malware Symphony Breakdown
https://any.run/cybersecurity-blog/crackedcantil-breakdown
Report completeness: Medium
Threats:
Crackedcantil
Privateloader
Smokeloader
Lumma_stealer
Redline_stealer
Riseprostealer
Amadey
Stealc
Socks5_systemz
Viper
Havoc
Sock5systemz
Vidar_stealer
Raccoon_stealer
Industry:
Chemical
TTPs:
Tactics: 8
Technics: 15
IOCs:
File: 50
Url: 6
Path: 30
IP: 40
Domain: 8
Registry: 1
Hash: 8
Soft:
Google Chrome, Chrome, Windows Defender, Task Scheduler, Windows Task Scheduler, Telegram, Mozilla Firefox, NET Framework, Windows Registry
Wallets:
harmony_wallet
Algorithms:
aes-256, md5, base64, salsa20
Languages:
php, powershell
Platforms:
amd64, x86, arm
30-01-2024
CrackedCantil: A Malware Symphony Breakdown
https://any.run/cybersecurity-blog/crackedcantil-breakdown
Report completeness: Medium
Threats:
Crackedcantil
Privateloader
Smokeloader
Lumma_stealer
Redline_stealer
Riseprostealer
Amadey
Stealc
Socks5_systemz
Viper
Havoc
Sock5systemz
Vidar_stealer
Raccoon_stealer
Industry:
Chemical
TTPs:
Tactics: 8
Technics: 15
IOCs:
File: 50
Url: 6
Path: 30
IP: 40
Domain: 8
Registry: 1
Hash: 8
Soft:
Google Chrome, Chrome, Windows Defender, Task Scheduler, Windows Task Scheduler, Telegram, Mozilla Firefox, NET Framework, Windows Registry
Wallets:
harmony_wallet
Algorithms:
aes-256, md5, base64, salsa20
Languages:
php, powershell
Platforms:
amd64, x86, arm
ANY.RUN's Cybersecurity Blog
CrackedCantil: Malware Work Together
Like viper venom, which uses a cocktail of chemicals that together destroy victim’s body, numerous malware work together in CrackedCantil.
CTT Report Hub
#ParsedReport #CompletenessMedium 30-01-2024 CrackedCantil: A Malware Symphony Breakdown https://any.run/cybersecurity-blog/crackedcantil-breakdown Report completeness: Medium Threats: Crackedcantil Privateloader Smokeloader Lumma_stealer Redline_stealer…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основной идеей этого текста является анализ вредоносной программы под названием CrackedCantil, которая состоит из различных компонентов, работающих вместе для выполнения различных вредоносных действий. Вредоносное ПО включает в себя загрузчики, такие как PrivateLoader и Smoke, инфостилеры, такие как Lumma, RedLine, RisePro, Amadey и Stealc, вредоносное ПО для прокси-ботов под названием Socks5Systemz и программу-вымогатель STOP. Автор подчеркивает опасность взломанного программного обеспечения как распространенного средства заражения этой вредоносной программой, выделяя характеристики и поведение каждого компонента, участвующего в этой организованной вредоносной кампании.
-----
В этом сообщении в блоге автор обсуждает недавний случай вредоносного ПО под названием CrackedCantil. Они объясняют, что различные семейства вредоносных программ могут работать вместе скоординированным образом, подобно инструментам в оркестре. Вредоносная программа CrackedCantil включает в себя различные компоненты, такие как загрузчики, инфокрады, криптоминеры, вредоносные программы для прокси-ботов и программы-вымогатели.
Загрузчиками, задействованными в вредоносном ПО CrackedCantil, являются PrivateLoader и Smoke. PrivateLoader известен распространением различных типов вредоносных программ и обычно распространяется через взломанное программное обеспечение. Smoke, с другой стороны, представляет собой модульную вредоносную программу, которая загружает другие вредоносные программы и крадет информацию. Он может имитировать законные процессы и внедрять вредоносный код в системные процессы.
Среди взломщиков вредоносной программы CrackedCantil - Lumma, RedLine, RisePro, Amadey и Stealc. Lumma - это программа для кражи информации, которая нацелена на широкий спектр систем и крадет конфиденциальную информацию, такую как криптовалютные кошельки и учетные данные. RedLine также выступает в роли infostealer и собирает пароли, данные кредитных карт, файлы cookie и многое другое. RisePro - еще одна вредоносная программа для кражи информации, которая крадет информацию о кредитной карте, пароле и крипто-кошельке. Amadey - универсальная вредоносная программа, которая может выступать в качестве загрузчика или инфокрада, выполняя вредоносные действия, такие как разведка и эксфильтрация данных. Stealc, написанный на C, крадет конфиденциальную информацию из браузеров и отправляет ее на сервер управления с помощью HTTP POST-запросов.
Вредоносная программа CrackedCantil также включает в себя вредоносный прокси-бот под названием Socks5Systemz. Эта вредоносная программа заражает устройства через PrivateLoader и Amadey и превращает их в прокси-серверы для перенаправления трафика для вредоносных действий. Он подключается к своему серверу управления с помощью алгоритма генерации домена (DGA).
Наконец, вредоносная программа CrackedCantil использует программу-вымогатель STOP, которая шифрует пользовательские данные и требует выкуп за восстановление. STOP/DJVU, вариант программы-вымогателя STOP, использует AES-256 и Salsa20 для шифрования. Он сотрудничает с вредоносной программой infostealer для кражи конфиденциальной информации перед шифрованием файлов.
Автор подчеркивает опасность взломанного программного обеспечения как распространенного источника заражения для вредоносного ПО CrackedCantil. Они предоставляют подробную информацию о характеристиках и поведении каждого компонента вредоносного ПО, участвующего в этой симфонии вредоносных программ.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основной идеей этого текста является анализ вредоносной программы под названием CrackedCantil, которая состоит из различных компонентов, работающих вместе для выполнения различных вредоносных действий. Вредоносное ПО включает в себя загрузчики, такие как PrivateLoader и Smoke, инфостилеры, такие как Lumma, RedLine, RisePro, Amadey и Stealc, вредоносное ПО для прокси-ботов под названием Socks5Systemz и программу-вымогатель STOP. Автор подчеркивает опасность взломанного программного обеспечения как распространенного средства заражения этой вредоносной программой, выделяя характеристики и поведение каждого компонента, участвующего в этой организованной вредоносной кампании.
-----
В этом сообщении в блоге автор обсуждает недавний случай вредоносного ПО под названием CrackedCantil. Они объясняют, что различные семейства вредоносных программ могут работать вместе скоординированным образом, подобно инструментам в оркестре. Вредоносная программа CrackedCantil включает в себя различные компоненты, такие как загрузчики, инфокрады, криптоминеры, вредоносные программы для прокси-ботов и программы-вымогатели.
Загрузчиками, задействованными в вредоносном ПО CrackedCantil, являются PrivateLoader и Smoke. PrivateLoader известен распространением различных типов вредоносных программ и обычно распространяется через взломанное программное обеспечение. Smoke, с другой стороны, представляет собой модульную вредоносную программу, которая загружает другие вредоносные программы и крадет информацию. Он может имитировать законные процессы и внедрять вредоносный код в системные процессы.
Среди взломщиков вредоносной программы CrackedCantil - Lumma, RedLine, RisePro, Amadey и Stealc. Lumma - это программа для кражи информации, которая нацелена на широкий спектр систем и крадет конфиденциальную информацию, такую как криптовалютные кошельки и учетные данные. RedLine также выступает в роли infostealer и собирает пароли, данные кредитных карт, файлы cookie и многое другое. RisePro - еще одна вредоносная программа для кражи информации, которая крадет информацию о кредитной карте, пароле и крипто-кошельке. Amadey - универсальная вредоносная программа, которая может выступать в качестве загрузчика или инфокрада, выполняя вредоносные действия, такие как разведка и эксфильтрация данных. Stealc, написанный на C, крадет конфиденциальную информацию из браузеров и отправляет ее на сервер управления с помощью HTTP POST-запросов.
Вредоносная программа CrackedCantil также включает в себя вредоносный прокси-бот под названием Socks5Systemz. Эта вредоносная программа заражает устройства через PrivateLoader и Amadey и превращает их в прокси-серверы для перенаправления трафика для вредоносных действий. Он подключается к своему серверу управления с помощью алгоритма генерации домена (DGA).
Наконец, вредоносная программа CrackedCantil использует программу-вымогатель STOP, которая шифрует пользовательские данные и требует выкуп за восстановление. STOP/DJVU, вариант программы-вымогателя STOP, использует AES-256 и Salsa20 для шифрования. Он сотрудничает с вредоносной программой infostealer для кражи конфиденциальной информации перед шифрованием файлов.
Автор подчеркивает опасность взломанного программного обеспечения как распространенного источника заражения для вредоносного ПО CrackedCantil. Они предоставляют подробную информацию о характеристиках и поведении каждого компонента вредоносного ПО, участвующего в этой симфонии вредоносных программ.
#ParsedReport #CompletenessMedium
30-01-2024
Scaly Wolf uses White Snake stealer against Russian industry
https://bi.zone/expertise/blog/scaly-wolf-primenyaet-stiler-white-snake-protiv-rossiyskoy-promyshlennosti
Report completeness: Medium
Actors/Campaigns:
Scaly_wolf (motivation: cyber_criminal)
Threats:
White_snake
Snake_keylogger
Gozi
Spear-phishing_technique
Victims:
Russian organizations
Industry:
Logistic, Military, Financial, Government
Geo:
Russian, Russia
TTPs:
Tactics: 10
Technics: 0
IOCs:
File: 16
IP: 4
Hash: 10
Path: 1
Command: 1
Soft:
Telegram, Chromium
Algorithms:
base64, zip
Functions:
ReadOnly
Languages:
python
Platforms:
cross-platform
30-01-2024
Scaly Wolf uses White Snake stealer against Russian industry
https://bi.zone/expertise/blog/scaly-wolf-primenyaet-stiler-white-snake-protiv-rossiyskoy-promyshlennosti
Report completeness: Medium
Actors/Campaigns:
Scaly_wolf (motivation: cyber_criminal)
Threats:
White_snake
Snake_keylogger
Gozi
Spear-phishing_technique
Victims:
Russian organizations
Industry:
Logistic, Military, Financial, Government
Geo:
Russian, Russia
TTPs:
Tactics: 10
Technics: 0
IOCs:
File: 16
IP: 4
Hash: 10
Path: 1
Command: 1
Soft:
Telegram, Chromium
Algorithms:
base64, zip
Functions:
ReadOnly
Languages:
python
Platforms:
cross-platform
BI.ZONE
Scaly Wolf применяет стилер White Snake против российской промышленности
Группировка, за которой мы наблюдаем с лета 2023 года, провела несколько фишинговых кампаний, маскируя письма под требования российских регуляторов и правоохранительных органов
CTT Report Hub
#ParsedReport #CompletenessMedium 30-01-2024 Scaly Wolf uses White Snake stealer against Russian industry https://bi.zone/expertise/blog/scaly-wolf-primenyaet-stiler-white-snake-protiv-rossiyskoy-promyshlennosti Report completeness: Medium Actors/Campaigns:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что группа киберугроз под названием Scaly Wolf проводит фишинговые кампании в России с 2023 года, нацеливаясь на организации в различных отраслях. Они маскируют свои фишинговые электронные письма под запросы российских государственных служб и используют вредоносное ПО под названием White Snake stealer в качестве основной полезной нагрузки. Несмотря на запрет на распространение вредоносного ПО в России и СНГ, Scaly Wolf продолжает модифицировать и использовать его. Их кампании были успешными, подчеркивая необходимость защиты организаций от фишинговых писем.
-----
Группа киберугроз, известная как Scaly Wolf, с лета 2023 года проводит фишинговые кампании, нацеленные на организации в различных отраслях промышленности России, включая производство и логистику. Группа маскировала свои фишинговые электронные письма под запросы российских государственных служб, таких как Роскомнадзор, Следственный комитет Российской Федерации и Военная прокуратура Российской Федерации. В некоторых случаях они также выдаются за коммерческое предложение. Электронные письма написаны правильно и выглядят убедительно, что приводит пользователей к запуску вредоносного файла.
Основной полезной нагрузкой, используемой Scaly Wolf, является вредоносное ПО под названием White Snake stealer, которое впервые было замечено в теневом сегменте Интернета в феврале 2023 года. Stealer распространяется через канал в мессенджере Telegram и может быть арендован за 140 долларов в месяц. Он предназначен для проведения целенаправленных атак и обладает кроссплатформенными возможностями. В Windows он действует как троян удаленного доступа, настраиваемый на основе конфигурации XML и включающий кейлоггер для кражи информации. Успешные атаки с помощью stealer могут предоставлять доступ к корпоративным ресурсам, собирать аутентификационные данные, копировать файлы, записывать нажатия клавиш и получать удаленный доступ к скомпрометированным устройствам.
Несмотря на запрет на распространение вредоносного ПО в России и СНГ, злоумышленники, подобные Scaly Wolf, находят способы модифицировать и использовать его в этих регионах. Группа известна своим постоянным использованием White Snake stealer и своей тактикой рассылки фишинговых писем, замаскированных под государственные службы. Электронные письма часто содержат защищенный паролем ZIP-архив с паролем, указанным в имени файла архива. Scaly Wolf нацелился на организации под прикрытием Роскомнадзора, Следственного комитета Российской Федерации и Главной военной прокуратуры Российской Федерации.
Кампании группы продолжались и в 2024 году, при этом тематика их фишинговых писем со временем менялась. Они совершали атаки под предлогом судебных постановлений, уголовных расследований и нормативных документов. Постоянный успех этих кампаний указывает на работающую схему и подчеркивает необходимость защиты организаций от фишинговых писем.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что группа киберугроз под названием Scaly Wolf проводит фишинговые кампании в России с 2023 года, нацеливаясь на организации в различных отраслях. Они маскируют свои фишинговые электронные письма под запросы российских государственных служб и используют вредоносное ПО под названием White Snake stealer в качестве основной полезной нагрузки. Несмотря на запрет на распространение вредоносного ПО в России и СНГ, Scaly Wolf продолжает модифицировать и использовать его. Их кампании были успешными, подчеркивая необходимость защиты организаций от фишинговых писем.
-----
Группа киберугроз, известная как Scaly Wolf, с лета 2023 года проводит фишинговые кампании, нацеленные на организации в различных отраслях промышленности России, включая производство и логистику. Группа маскировала свои фишинговые электронные письма под запросы российских государственных служб, таких как Роскомнадзор, Следственный комитет Российской Федерации и Военная прокуратура Российской Федерации. В некоторых случаях они также выдаются за коммерческое предложение. Электронные письма написаны правильно и выглядят убедительно, что приводит пользователей к запуску вредоносного файла.
Основной полезной нагрузкой, используемой Scaly Wolf, является вредоносное ПО под названием White Snake stealer, которое впервые было замечено в теневом сегменте Интернета в феврале 2023 года. Stealer распространяется через канал в мессенджере Telegram и может быть арендован за 140 долларов в месяц. Он предназначен для проведения целенаправленных атак и обладает кроссплатформенными возможностями. В Windows он действует как троян удаленного доступа, настраиваемый на основе конфигурации XML и включающий кейлоггер для кражи информации. Успешные атаки с помощью stealer могут предоставлять доступ к корпоративным ресурсам, собирать аутентификационные данные, копировать файлы, записывать нажатия клавиш и получать удаленный доступ к скомпрометированным устройствам.
Несмотря на запрет на распространение вредоносного ПО в России и СНГ, злоумышленники, подобные Scaly Wolf, находят способы модифицировать и использовать его в этих регионах. Группа известна своим постоянным использованием White Snake stealer и своей тактикой рассылки фишинговых писем, замаскированных под государственные службы. Электронные письма часто содержат защищенный паролем ZIP-архив с паролем, указанным в имени файла архива. Scaly Wolf нацелился на организации под прикрытием Роскомнадзора, Следственного комитета Российской Федерации и Главной военной прокуратуры Российской Федерации.
Кампании группы продолжались и в 2024 году, при этом тематика их фишинговых писем со временем менялась. Они совершали атаки под предлогом судебных постановлений, уголовных расследований и нормативных документов. Постоянный успех этих кампаний указывает на работающую схему и подчеркивает необходимость защиты организаций от фишинговых писем.
#cyberthreattech
Скрестил Google Bard и ChatGPT для автоматической генерации описания группировок по Diamond-модели, на основе корпуса всех собранных отчетов.
Пока пилотирую внутри и собираю инфру вокруг движочка.
Для генерации описания профилей под малварь надо будет немного допилить prompt-ы.
Скрестил Google Bard и ChatGPT для автоматической генерации описания группировок по Diamond-модели, на основе корпуса всех собранных отчетов.
Пока пилотирую внутри и собираю инфру вокруг движочка.
Для генерации описания профилей под малварь надо будет немного допилить prompt-ы.
#ParsedReport #CompletenessLow
31-01-2024
When RAR Roared!
https://labs.k7computing.com/index.php/when-rar-roared
Report completeness: Low
Victims:
Users of winrar
CVEs:
CVE-2023-38831 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- rarlab winrar (<6.23)
ChatGPT TTPs:
T1203, T1486
IOCs:
File: 2
Hash: 1
Algorithms:
zip, base64
Win API:
ShellExecuteExW
Languages:
powershell
31-01-2024
When RAR Roared!
https://labs.k7computing.com/index.php/when-rar-roared
Report completeness: Low
Victims:
Users of winrar
CVEs:
CVE-2023-38831 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- rarlab winrar (<6.23)
ChatGPT TTPs:
do not use without manual checkT1203, T1486
IOCs:
File: 2
Hash: 1
Algorithms:
zip, base64
Win API:
ShellExecuteExW
Languages:
powershell
K7 Labs
When RAR Roared!
WinRAR is a widely used compression utility around the world today. It is famously used to create the RAR archive. […]
CTT Report Hub
#ParsedReport #CompletenessLow 31-01-2024 When RAR Roared! https://labs.k7computing.com/index.php/when-rar-roared Report completeness: Low Victims: Users of winrar CVEs: CVE-2023-38831 [Vulners] CVSS V3.1: 7.8, Vulners: Exploitation: True …
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея из текста заключается в том, что уязвимость WinRAR сроком действия 0 дней, известная как CVE-2023-38831, была обнаружена и активно эксплуатировалась участниками угроз. Эта уязвимость позволяет выполнять удаленный код. В открытом доступе было опубликовано доказательство концепции уязвимости, показывающее, что когда пользователь открывает самораспаковывающийся архивный файл в WinRAR, выполняется вредоносный код. Образец, связанный с этой уязвимостью, был загружен на VirusTotal, который запускает программу-вымогатель при открытии в WinRAR. Есть подозрение, что этот образец может быть либо бета-версией программы-вымогателя, либо тестовым запуском, проведенным исследователем безопасности для понимания уязвимости.
-----
В августе 2023 года в WinRAR была обнаружена уязвимость сроком действия 0 дней, которая, как было установлено, активно эксплуатировалась несколькими участниками угроз. Эта уязвимость, известная как CVE-2023-38831, допускает удаленное выполнение кода (RCE). Исследователи проследили первоначальное использование этой уязвимости вплоть до апреля 2023 года, и на момент написания этой статьи она все еще эксплуатировалась в дикой природе.
Недавно в открытом доступе появилось доказательство концепции (PoC) для этой уязвимости. При тестировании PoC было замечено, что когда пользователь открывает самораспаковывающийся архивный файл (SFX) с помощью WinRAR и пытается получить доступ к включенному файлу, дважды щелкнув по нему, выполняется вредоносный код. Интересно, что там присутствовал другой каталог с таким же именем, но попытка выполнить то же действие с помощью различных других утилит не привела к таким же результатам. Кроме того, если доступ к файлу осуществляется через кнопку меню просмотра в WinRAR, использование не происходит.
22 ноября 2023 года образец, связанный с этой уязвимостью, был загружен в VirusTotal (VT). Образец, по-видимому, предназначался для энтузиастов безопасности и содержал PDF-файл с именем "Hack_Wifi_with_Kali_Linux.pdf_". Открытие этого файла в WinRAR вызвало запуск программы-вымогателя. Программа-вымогатель зашифровала файлы в каталоге Documents. Образец также включал сценарий PowerShell, содержащий команды для декодирования содержимого другого сценария в кодировке base64 в исполняемый файл с именем "updater.exe". Затем этот файл был запущен для шифрования каталога документов. Основываясь на анализе, есть подозрение, что этот образец может быть либо бета-версией программы-вымогателя, проходящей тестирование, либо тестовым запуском, проведенным исследователем безопасности с целью понимания поведения уязвимости.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея из текста заключается в том, что уязвимость WinRAR сроком действия 0 дней, известная как CVE-2023-38831, была обнаружена и активно эксплуатировалась участниками угроз. Эта уязвимость позволяет выполнять удаленный код. В открытом доступе было опубликовано доказательство концепции уязвимости, показывающее, что когда пользователь открывает самораспаковывающийся архивный файл в WinRAR, выполняется вредоносный код. Образец, связанный с этой уязвимостью, был загружен на VirusTotal, который запускает программу-вымогатель при открытии в WinRAR. Есть подозрение, что этот образец может быть либо бета-версией программы-вымогателя, либо тестовым запуском, проведенным исследователем безопасности для понимания уязвимости.
-----
В августе 2023 года в WinRAR была обнаружена уязвимость сроком действия 0 дней, которая, как было установлено, активно эксплуатировалась несколькими участниками угроз. Эта уязвимость, известная как CVE-2023-38831, допускает удаленное выполнение кода (RCE). Исследователи проследили первоначальное использование этой уязвимости вплоть до апреля 2023 года, и на момент написания этой статьи она все еще эксплуатировалась в дикой природе.
Недавно в открытом доступе появилось доказательство концепции (PoC) для этой уязвимости. При тестировании PoC было замечено, что когда пользователь открывает самораспаковывающийся архивный файл (SFX) с помощью WinRAR и пытается получить доступ к включенному файлу, дважды щелкнув по нему, выполняется вредоносный код. Интересно, что там присутствовал другой каталог с таким же именем, но попытка выполнить то же действие с помощью различных других утилит не привела к таким же результатам. Кроме того, если доступ к файлу осуществляется через кнопку меню просмотра в WinRAR, использование не происходит.
22 ноября 2023 года образец, связанный с этой уязвимостью, был загружен в VirusTotal (VT). Образец, по-видимому, предназначался для энтузиастов безопасности и содержал PDF-файл с именем "Hack_Wifi_with_Kali_Linux.pdf_". Открытие этого файла в WinRAR вызвало запуск программы-вымогателя. Программа-вымогатель зашифровала файлы в каталоге Documents. Образец также включал сценарий PowerShell, содержащий команды для декодирования содержимого другого сценария в кодировке base64 в исполняемый файл с именем "updater.exe". Затем этот файл был запущен для шифрования каталога документов. Основываясь на анализе, есть подозрение, что этот образец может быть либо бета-версией программы-вымогателя, проходящей тестирование, либо тестовым запуском, проведенным исследователем безопасности с целью понимания поведения уязвимости.
#ParsedReport #CompletenessMedium
31-01-2024
Pawn Storm Uses Brute Force and Stealth Against High-Value Targets
https://www.trendmicro.com/en_us/research/24/a/pawn-storm-uses-brute-force-and-stealth.html
Report completeness: Medium
Actors/Campaigns:
Fancy_bear (motivation: cyber_criminal, financially_motivated)
Forest_blizzard
Threats:
Spear-phishing_technique
Cactus
Victims:
High-value individuals, Government departments, Defense industry, Energy industry, Transportation organizations
Industry:
Energy, Military, Financial, Logistic, Transport, Aerospace, Government, Foodtech, Healthcare
Geo:
Asia, America, French, Africa
CVEs:
CVE-2023-23397 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- microsoft 365 apps (-)
- microsoft office (2019, 2021)
- microsoft outlook (2013, 2016)
CVE-2023-38831 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- rarlab winrar (<6.23)
ChatGPT TTPs:
T1110, T1193, T1190, T1606
IOCs:
IP: 1
Domain: 2
Hash: 2
Path: 1
File: 1
Soft:
EdgeOS, Microsoft Outlook, CactusVPN, PrivateVPN, WorldVPN, VPNSecure, Outlook, SMB server, Microsoft Exchange, mockbin, have more...
Algorithms:
sha256, des
Languages:
php, powershell, python
31-01-2024
Pawn Storm Uses Brute Force and Stealth Against High-Value Targets
https://www.trendmicro.com/en_us/research/24/a/pawn-storm-uses-brute-force-and-stealth.html
Report completeness: Medium
Actors/Campaigns:
Fancy_bear (motivation: cyber_criminal, financially_motivated)
Forest_blizzard
Threats:
Spear-phishing_technique
Cactus
Victims:
High-value individuals, Government departments, Defense industry, Energy industry, Transportation organizations
Industry:
Energy, Military, Financial, Logistic, Transport, Aerospace, Government, Foodtech, Healthcare
Geo:
Asia, America, French, Africa
CVEs:
CVE-2023-23397 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- microsoft 365 apps (-)
- microsoft office (2019, 2021)
- microsoft outlook (2013, 2016)
CVE-2023-38831 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- rarlab winrar (<6.23)
ChatGPT TTPs:
do not use without manual checkT1110, T1193, T1190, T1606
IOCs:
IP: 1
Domain: 2
Hash: 2
Path: 1
File: 1
Soft:
EdgeOS, Microsoft Outlook, CactusVPN, PrivateVPN, WorldVPN, VPNSecure, Outlook, SMB server, Microsoft Exchange, mockbin, have more...
Algorithms:
sha256, des
Languages:
php, powershell, python
Trend Micro
Pawn Storm Uses Brute Force and Stealth Against High-Value Targets
To help defenders learn more about Pawn Storm's activities and adjust their defenses, we offer a technical analysis of some of the threat actor's recent and updated techniques.
CTT Report Hub
#ParsedReport #CompletenessMedium 31-01-2024 Pawn Storm Uses Brute Force and Stealth Against High-Value Targets https://www.trendmicro.com/en_us/research/24/a/pawn-storm-uses-brute-force-and-stealth.html Report completeness: Medium Actors/Campaigns: Fancy_bear…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что Pawn Storm, продвинутый исполнитель постоянных угроз (APT), использует различные тактики, методы и процедуры (TTP) для нацеливания на ценных людей и организации посредством фишинговых кампаний по электронной почте. Они скомпрометировали тысячи учетных записей электронной почты, сосредоточив внимание на правительственных ведомствах, оборонной промышленности, энергетике, транспорте и других организациях. Pawn Storm использует для своей деятельности такие инструменты, как VPN-сервисы, Tor, IP-адреса центров обработки данных и скомпрометированные маршрутизаторы EdgeOS. Они использовали уязвимости, такие как CVE-2023-23397, влияющие на приложение Outlook в Windows, для удаленных атак и компрометации серверов Microsoft Exchange. Группа сохранила свою агрессивность и использует передовые методы скрытности, чтобы затруднить обнаружение. Однако правозащитники могут использовать предоставленные показатели, чтобы проверить, не стала ли их организация мишенью.
-----
Ключевые факты из текста:.
Pawn Storm - это продвинутый агент постоянной угрозы (APT), нацеленный на ценных людей и организации.
Они используют повторяющиеся тактики, методы и процедуры (TTP) в рамках фишинговых кампаний по электронной почте.
Pawn Storm скомпрометировал тысячи учетных записей электронной почты в правительственных ведомствах, оборонной промышленности, энергетике, транспорте и т.д.
Они используют атаки ретрансляции хэша NTLMv2 и изменяют права доступа к папкам для сохранения.
Атаки с использованием учетных данных методом грубой силы используются для взлома систем и адресов электронной почты.
Pawn Storm использует такие инструменты, как VPN-сервисы, Tor, IP-адреса центров обработки данных и скомпрометированные маршрутизаторы EdgeOS.
Они используют уязвимости, такие как CVE-2023-23397, влияющие на приложение Outlook в Windows.
Против европейских правительств была развернута кампания по фишингу учетных данных.
Они используют сокращенные URL-адреса и VPN-сервисы, такие как Mullvad, Whoer и IPVanish, для скрытого фишинга.
Pawn Storm использует похитителя информации в качестве вложения, что затрудняет атрибуцию.
Несмотря на сложность обнаружения, защитники могут использовать предоставленные индикаторы для проверки целенаправленных атак.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что Pawn Storm, продвинутый исполнитель постоянных угроз (APT), использует различные тактики, методы и процедуры (TTP) для нацеливания на ценных людей и организации посредством фишинговых кампаний по электронной почте. Они скомпрометировали тысячи учетных записей электронной почты, сосредоточив внимание на правительственных ведомствах, оборонной промышленности, энергетике, транспорте и других организациях. Pawn Storm использует для своей деятельности такие инструменты, как VPN-сервисы, Tor, IP-адреса центров обработки данных и скомпрометированные маршрутизаторы EdgeOS. Они использовали уязвимости, такие как CVE-2023-23397, влияющие на приложение Outlook в Windows, для удаленных атак и компрометации серверов Microsoft Exchange. Группа сохранила свою агрессивность и использует передовые методы скрытности, чтобы затруднить обнаружение. Однако правозащитники могут использовать предоставленные показатели, чтобы проверить, не стала ли их организация мишенью.
-----
Ключевые факты из текста:.
Pawn Storm - это продвинутый агент постоянной угрозы (APT), нацеленный на ценных людей и организации.
Они используют повторяющиеся тактики, методы и процедуры (TTP) в рамках фишинговых кампаний по электронной почте.
Pawn Storm скомпрометировал тысячи учетных записей электронной почты в правительственных ведомствах, оборонной промышленности, энергетике, транспорте и т.д.
Они используют атаки ретрансляции хэша NTLMv2 и изменяют права доступа к папкам для сохранения.
Атаки с использованием учетных данных методом грубой силы используются для взлома систем и адресов электронной почты.
Pawn Storm использует такие инструменты, как VPN-сервисы, Tor, IP-адреса центров обработки данных и скомпрометированные маршрутизаторы EdgeOS.
Они используют уязвимости, такие как CVE-2023-23397, влияющие на приложение Outlook в Windows.
Против европейских правительств была развернута кампания по фишингу учетных данных.
Они используют сокращенные URL-адреса и VPN-сервисы, такие как Mullvad, Whoer и IPVanish, для скрытого фишинга.
Pawn Storm использует похитителя информации в качестве вложения, что затрудняет атрибуцию.
Несмотря на сложность обнаружения, защитники могут использовать предоставленные индикаторы для проверки целенаправленных атак.
#ParsedReport #CompletenessLow
31-01-2024
GhostSec Continues to Extend their Support for Cyber Threat Actors and Hacktivists
https://cyble.com/blog/ghostsec-continues-to-extend-their-support-for-cyber-threat-actors-and-hacktivists
Report completeness: Low
Actors/Campaigns:
Ghostsec (motivation: hacktivism)
Threatsec (motivation: hacktivism)
Opisrael
Stormous
Blackforums
Seigedsec
Industry:
Government
Geo:
Poland, Japan, Nigeria, Africa, Montenegro, Ukraine, Russia, Israel, Vietnam, India, Switzerland, Iranian
ChatGPT TTPs:
T1492, T1586
Soft:
Telegram, Instagram
31-01-2024
GhostSec Continues to Extend their Support for Cyber Threat Actors and Hacktivists
https://cyble.com/blog/ghostsec-continues-to-extend-their-support-for-cyber-threat-actors-and-hacktivists
Report completeness: Low
Actors/Campaigns:
Ghostsec (motivation: hacktivism)
Threatsec (motivation: hacktivism)
Opisrael
Stormous
Blackforums
Seigedsec
Industry:
Government
Geo:
Poland, Japan, Nigeria, Africa, Montenegro, Ukraine, Russia, Israel, Vietnam, India, Switzerland, Iranian
ChatGPT TTPs:
do not use without manual checkT1492, T1586
Soft:
Telegram, Instagram
Cyble
GhostSec Expands Support For Cyber Threat Actors
GhostSec's new Low-Cost-Database project aims to raise funds for hacktivists seeking anonymity, posing challenges for cybersecurity and law enforcement.