#ParsedReport #CompletenessHigh
01-02-2024

Securonix Threat Research Security Advisory: Analysis and Detection of STEADY#URSA Attack Campaign Targeting Ukraine Military Dropping New Covert SUBTLE-PAWS PowerShell Backdoor

https://www.securonix.com/blog/security-advisory-steadyursa-attack-campaign-targets-ukraine-military

Report completeness: High

Actors/Campaigns:
Steady_ursa
Gamaredon

Threats:
Subtle-paws

Industry:
Military

Geo:
Russia, Ukrainian, Ukraine

TTPs:
Tactics: 5
Technics: 10

IOCs:
File: 5
Registry: 7
Url: 4
IP: 6
Domain: 1
Hash: 45

Soft:
curl, telegram, Windows Registry, Windows Powershell

Algorithms:
zip, xor, base64

Functions:
SetLink, SetValue

Languages:
php, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что продолжается кампания кибератак, нацеленная на Украину. Кампания предполагает использование бэкдора на базе PowerShell под названием SUBTLE-PAWS и использует методы скрытности, позволяющие избежать обнаружения. Атака связана с группой, известной как Shuckworm, которая ранее нацеливалась на украинских военных. Кампания использует фишинговые электронные письма для доставки сжатого файла, содержащего файлы со ссылками на украинские города и военные термины. Когда жертва взаимодействует с файлами, инициируется атака. Скрипт бэкдора SUBTLE-PAWS содержит различные функции, которые обеспечивают выполнение, сохранение, скрытность, сетевую связь и распространение через USB-накопители. Злоумышленники используют методы запутывания и динамически корректируют свое поведение в зависимости от среды операционной системы. Кампания демонстрирует эволюционирующую тактику и демонстрирует сходство с предыдущей деятельностью Shuckworm со значительными тактическими изменениями.
-----

Продолжающаяся кампания кибератак, нацеленная на Украину.

Кампания под названием STEADY#URSA.

Использует бэкдор на базе PowerShell под названием SUBTLE-PAWS.

Связан с группой, известной как шелушащийся червь.

Доставляется в виде сжатых файлов, возможно, по фишинговым электронным письмам.

Атаку инициируют файлы-ярлыки с названиями, основанными на украинских городах или военных терминах.

Файлы в архиве содержат однострочник PowerShell с бэкдором SUBTLE-PAWS.

Создает постоянство путем создания и загрузки раздела реестра.

Попытка установить связь с сервером командования и контроля (C2) через URL-адрес Telegraph.

Сценарий бэкдора PowerShell содержит множество функций, служащих различным целям.

Для распространения полагается на заражение USB-накопителей.

Уклоняется от обнаружения антивирусом с помощью обфускации и разделения строк.

Взаимодействует с удаленным сервером посредством DNS-запросов и HTTP-запросов.

Использует методы обфускации, такие как кодирование Base64 и XOR.

Демонстрирует эволюционирующую тактику и сходство с предыдущей активностью шелушащегося червя.

Пожалуйста, обратите внимание, что это краткое изложение важных фактов из текста. Фактический масштаб и воздействие кампании могут быть шире и сложнее.

#cyberthreattech

Попробую податься с темой про наш разбор TI-отчетов.
Вдруг будет интересно послушать про наш дикий коктейль из парсеров, ML (CatBoost, распознавание образов), ChatGPT и Bard. Может быть, что к PhD даже уже будут какие-то результаты по Fine-tune LLama 2.

#ParsedReport #CompletenessLow
01-02-2024

Backdoor Activator Malware Running Rife Through Torrents of macOS Apps

https://www.sentinelone.com/blog/backdoor-activator-malware-running-rife-through-torrents-of-macos-apps

Report completeness: Low

Threats:
Omni

Victims:
Macos users

ChatGPT TTPs:
do not use without manual check
T1091, T1204, T1110, T1055, T1543.004, T1103, T1553, T1573

IOCs:
File: 1
Hash: 74

Soft:
macOS, Gatekeeper

Algorithms:
base64, sha1

Languages:
swift, objective_c, python

Platforms:
apple

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 4, windows: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что исследователи из Лаборатории Касперского обнаружили новую вредоносную программу для macOS под названием macOS.Bkdr.Активатор, который распространяется через взломанные копии популярного программного обеспечения на торрент-сервисах. Вредоносная программа нацелена на бизнес-приложения и приложения для повышения производительности, и ее цель - массово заражать пользователей macOS, потенциально создавая ботнет macOS или распространяя другие типы вредоносных программ. Вредоносная программа использует код на Python и использует необычные методы для отключения Центра уведомлений и установки LaunchAgents. Он работает как установщик и загрузчик 1-го этапа, извлекая зашифрованные сообщения с DNS-сервера, содержащие скрипт на Python для загрузки следующего этапа. Заключительный этап - это бэкдор на Python, который позволяет оператору выполнять произвольные команды на зараженном устройстве. Кампания продолжается, и пользователям рекомендуется проверять свои устройства на наличие признаков заражения. Агент SentinelOne может блокировать выполнение этих вредоносных образцов или создавать предупреждения в целях наблюдения.
-----

Исследователи лаборатории Касперского обнаружили новую вредоносную программу для macOS под названием macOS.Bkdr.Активатор.

Вредоносная программа распространяется через взломанные копии популярного программного обеспечения на торрент-сервисах.

Он ориентирован на бизнес-приложения и приложения для повышения производительности, которые обычно используются на рабочих местах.

Вредоносная программа включает в себя двоичный файл Swift с именем "GUI", двоичный файл Objective-C с именем "tool" и законный установщик Python 3.9.

Он отключает Центр уведомлений, чтобы обойти уведомления Apple.

Более 70 взломанных приложений были идентифицированы как скомпрометированные в ходе кампании Activator.

Вредоносная программа работает как установщик и загрузчик 1-го этапа, извлекая зашифрованные сообщения с DNS-сервера.

Зашифрованные сообщения содержат скрипт на Python, который подключается к удаленному серверу для следующего этапа.

Заключительный этап - это бэкдор на Python, который позволяет оператору выполнять произвольные команды на зараженных устройствах.

Кампания продолжается, и обнаруживаются новые образцы вредоносного ПО.

Агент SentinelOne может заблокировать выполнение этих выборок в режиме "Защита". В режиме "Только обнаружение" он выдает предупреждение в целях наблюдения.

#ParsedReport #CompletenessMedium
02-02-2024

Frog4Shell - FritzFrog Botnet Adds One-Days to Its Arsenal

https://www.akamai.com/blog/security-research/2024/feb/fritzfrog-botnet-new-capabilities-log4shell

Report completeness: Medium

Threats:
Fritzfrog
Log4shell_vuln
Pkexec_tool

Industry:
Entertainment, Healthcare, Retail, E-commerce, Financial

Geo:
Japanese, Chinese, Korean

CVEs:
CVE-2021-4034 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- polkit project polkit (<121)
- redhat enterprise linux desktop (7.0)
- redhat enterprise linux workstation (7.0)
- redhat enterprise linux for scientific computing (7.0)
- redhat enterprise linux server (7.0, 6.0)
have more...

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1110, T1190, T1078, T1005, T1059, T1547

IOCs:
File: 2
Hash: 5

Soft:
nginx

Algorithms:
base64

Functions:
memfd_create

Languages:
javascript, golang, java

Platforms:
arm, amd64

Links:
https://github.com/guardicore/labs\_campaigns/blob/master/FritzFrog/detect\_fritzfrog.sh
https://gist.github.com/VVX7/736986268d08ee2c6ba5a5b46046014a

#ParsedReport #ExtractedSchema

Classified images:
dump: 3, schema: 2, code: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея из текста заключается в том, что Akamai Security Intelligence Group (SIG) обнаружила новый вариант ботнета FritzFrog, который использует уязвимость Log4Shell для проведения атак. Этот вариант ботнета заразил множество жертв, нацеливаясь на серверы, подключенные к Интернету, с помощью использования учетных данных SSH методом грубой силы. Что отличает этот вариант, так это его способность считывать системные файлы для выявления уязвимых целей, а также возможность повышения привилегий. FritzFrog использует различные методы, такие как эксплуатация Log4Shell и перебор SSH, для компрометации своих жертв. Стратегии смягчения включают сегментацию сети и обнаружение распространенных тактик вредоносного ПО, в то время как Akamai SIG продолжает отслеживать и анализировать поведение ботнета.
-----

Важные факты из текста:.

Разведывательная группа Akamai Security Intelligence Group (SIG) обнаружила новый вариант ботнета FritzFrog, использующий уязвимость Log4Shell.

FritzFrog уже провел более 20 000 атак и заразил более 1500 жертв.

Вредоносная программа нацелена на серверы, подключенные к Интернету, главным образом с помощью методов грубой силы для использования слабых учетных данных Secure Shell (SSH).

Новый вариант FritzFrog может считывать системные файлы для выявления потенциальных целей, уязвимых для атаки Log4Shell.

FritzFrog делится информацией, полезной нагрузкой и конфигурацией с другими зараженными узлами, чтобы расширить свои возможности.

FritzFrog теперь добавляет использование Log4Shell в качестве дополнительного вектора заражения, нацеленного как на интернет-приложения, так и на внутренние хосты.

FritzFrog идентифицирует потенциальные цели Log4Shell путем поиска HTTP-серверов на определенных портах и вводит полезную нагрузку через HTTP-заголовки.

FritzFrog улучшил свою способность идентифицировать цели SSH путем сканирования системных журналов и включил возможность повышения привилегий.

FritzFrog пытается выполнить файлы, не записывая их на диск, что усложняет обнаружение и смягчение последствий.

Стратегии смягчения последствий включают сегментацию сети и обнаружение распространенных тактик вредоносного ПО.

Akamai SIG будет постоянно отслеживать FritzFrog и предоставлять актуальную информацию специалистам по безопасности.

Akamai SIG советует организациям сохранять бдительность в отношении любых признаков компрометации.

#ParsedReport #CompletenessLow
01-02-2024

How We Were Able to Infiltrate Attacker Telegram Bots

https://checkmarx.com/blog/how-we-were-able-to-infiltrate-attacker-telegram-bots

Report completeness: Low

ChatGPT TTPs:
do not use without manual check
T1001, T1048, T1020, T1213

IOCs:
Url: 1

Soft:
Telegram, curl

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что злоумышленники используют Telegram-ботов для извлечения данных жертв, и автор предлагает метод перехвата и сбора информации от этих ботов. Демонстрация показывает успех злоумышленников, использующих Telegram-ботов, и подчеркивает необходимость улучшения мер безопасности для обнаружения и предотвращения таких атак.
-----

В этом блоге автор обсуждает распространенную тактику, используемую злоумышленниками для извлечения данных жертв с помощью Telegram-ботов. Однако они предлагают метод подслушивания того, что видят злоумышленники. Затем в блоге демонстрируется пример, в котором анализируется вредоносный пакет, содержащий запутанную вредоносную программу info stealer. Из этого пакета автор извлекает сведения о Telegram-боте, используемом злоумышленником.

Автор объясняет, что, используя тактику, упомянутую выше, они смогли перехватить Telegram-ботов злоумышленников из многочисленных вредоносных пакетов. Этот перехват позволил им собрать информацию с более чем 2000 уникальных компьютеров. Во многих случаях они даже обнаруживали файлы, содержащие отфильтрованные конфиденциальные данные, которые были получены с этих компьютеров и все еще были доступны.

Эта демонстрация подчеркивает значительный успех, достигнутый злоумышленниками при использовании ботов Telegram во вредоносных пакетах. Это подчеркивает необходимость улучшенных мер безопасности для обнаружения и предотвращения таких атак.

#ParsedReport #CompletenessLow
02-02-2024

Reporting on Volt Typhoon s JDY Botnet Administration Via Tor Sparks Questions

https://medium.com/@DCSO_CyTec/reporting-on-volt-typhoons-jdy-botnet-administration-via-tor-sparks-questions-c4c5f4afcae5

Report completeness: Low

Actors/Campaigns:
Volt_typhoon

Threats:
Aitm_technique

ChatGPT TTPs:
do not use without manual check
T1078, T1486, T1485, T1190, T1550.002, T1550.003, T1059.001, T1105, T1047, T1083, have more...

IOCs:
IP: 2
Hash: 1

#ParsedReport #ExtractedSchema

Classified images:
dump: 1, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что в сообщении в блоге обсуждается спрос на конфиденциальность в Интернете и проблемы достижения анонимности. Основное внимание уделяется расследованию деятельности участника угроз China-nexus, известного как Volt Typhoon, и использованию им сети Tor для связи командования и контроля (C2). В сообщении исследуется возможность использования Volt Typhoon скрытых сервисов Tor для повышения анонимности и защиты от атак. В нем также упоминаются потенциальные преимущества использования ретранслятора Tor для повышения устойчивости к некоторым атакам на корреляцию трафика. Анализ показывает, что IP-адрес 67.205.139.175 не использовался Volt Typhoon в качестве ретранслятора выхода из Tor.
-----

В тексте обсуждается спрос на конфиденциальность среди интернет-пользователей и проблемы достижения анонимности в Интернете. Сеть Tor упоминается как популярная сеть анонимизации. Основное внимание в сообщении блога уделяется расследованию деятельности участника угрозы China-nexus, известного как Volt Typhoon. Они были вовлечены в эксплуатацию уязвимых устройств и расширение своей ботнета под названием JDY.

В сообщении в блоге подчеркивается интерес к изучению структуры командования и контроля (C2) ботнетов. В нем упоминается, что Volt Typhoon использовала Tor для своих коммуникаций C2. Анализируется активность, связанная с IP-адресами 45.63.60.39 и 67.205.139.175, с возможностью того, что они представляют собой коммуникации C2 между различными ресурсами, контролируемыми Volt Typhoon. Отмечается, что последний IP-адрес является выходным узлом Tor, но неясно, размещался ли на нем выходной узел Tor в течение соответствующего периода времени. Это открытие поднимает вопросы о том, как Volt Typhoon использует Tor для маскировки своего исходного IP-адреса при выполнении административных задач.

Одна из гипотез, предложенных DCSO, заключается в том, что Volt Typhoon осуществляет часть своего управления C2, подключаясь к системе C2 через скрытые сервисы Tor. Этот подход обеспечивает такие преимущества, как повышенная анонимность и защита от атак, нацеленных на используемое приложение. Использование скрытых сервисов Tor гарантирует, что трафик остается в сети Tor, оставляя меньше следов, которые могут быть перехвачены.

В сообщении в блоге также содержится ссылка на часто задаваемые вопросы проекта Tor, в котором предполагается, что запуск вашего собственного ретранслятора Tor может повысить устойчивость к некоторым атакам на корреляцию трафика. Идея заключается в том, что злоумышленникам было бы трудно определить, было ли соединение создано ретранслятором Tor или пользователем Tor, подключающимся с того же IP-адреса, что и ретранслятор. Однако в нем признается, что риски и преимущества запуска ретранслятора Tor зависят от конкретных атак, о которых идет речь.

Основываясь на анализе результатов ExoneraTor и данных консенсуса сети Tor, выясняется, что IP-адрес 67.205.139.175 не использовался Volt Typhoon в качестве ретранслятора выхода из Tor, чтобы скрыть источник подключений к серверу C2 по адресу 45.63.60.39.

#ParsedReport #CompletenessLow
01-02-2024

How Memory Forensics Revealed Exploitation of Ivanti Connect Secure VPN Zero-Day Vulnerabilities

https://www.volexity.com/blog/2024/02/01/how-memory-forensics-revealed-exploitation-of-ivanti-connect-secure-vpn-zero-day-vulnerabilities

Report completeness: Low

Threats:
Smokeloader

Victims:
Ivanti connect secure vpn, Cyberoam devices

Industry:
Ics

ChatGPT TTPs:
do not use without manual check
T1078, T1059, T1033, T1213, T1547, T1203, T1491, T1485, T1553, T1083, have more...

IOCs:
IP: 2
File: 2

Soft:
Volexity Volcano, macOS

Algorithms:
base64