CTT Report Hub
3.39K subscribers
9.56K photos
6 videos
67 files
13.2K links
Threat Intelligence Report Hub
Download Telegram
CTT Report Hub
#ParsedReport #CompletenessLow 02-02-2024 Reporting on Volt Typhoon s JDY Botnet Administration Via Tor Sparks Questions https://medium.com/@DCSO_CyTec/reporting-on-volt-typhoons-jdy-botnet-administration-via-tor-sparks-questions-c4c5f4afcae5 Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что в сообщении в блоге обсуждается спрос на конфиденциальность в Интернете и проблемы достижения анонимности. Основное внимание уделяется расследованию деятельности участника угроз China-nexus, известного как Volt Typhoon, и использованию им сети Tor для связи командования и контроля (C2). В сообщении исследуется возможность использования Volt Typhoon скрытых сервисов Tor для повышения анонимности и защиты от атак. В нем также упоминаются потенциальные преимущества использования ретранслятора Tor для повышения устойчивости к некоторым атакам на корреляцию трафика. Анализ показывает, что IP-адрес 67.205.139.175 не использовался Volt Typhoon в качестве ретранслятора выхода из Tor.
-----

В тексте обсуждается спрос на конфиденциальность среди интернет-пользователей и проблемы достижения анонимности в Интернете. Сеть Tor упоминается как популярная сеть анонимизации. Основное внимание в сообщении блога уделяется расследованию деятельности участника угрозы China-nexus, известного как Volt Typhoon. Они были вовлечены в эксплуатацию уязвимых устройств и расширение своей ботнета под названием JDY.

В сообщении в блоге подчеркивается интерес к изучению структуры командования и контроля (C2) ботнетов. В нем упоминается, что Volt Typhoon использовала Tor для своих коммуникаций C2. Анализируется активность, связанная с IP-адресами 45.63.60.39 и 67.205.139.175, с возможностью того, что они представляют собой коммуникации C2 между различными ресурсами, контролируемыми Volt Typhoon. Отмечается, что последний IP-адрес является выходным узлом Tor, но неясно, размещался ли на нем выходной узел Tor в течение соответствующего периода времени. Это открытие поднимает вопросы о том, как Volt Typhoon использует Tor для маскировки своего исходного IP-адреса при выполнении административных задач.

Одна из гипотез, предложенных DCSO, заключается в том, что Volt Typhoon осуществляет часть своего управления C2, подключаясь к системе C2 через скрытые сервисы Tor. Этот подход обеспечивает такие преимущества, как повышенная анонимность и защита от атак, нацеленных на используемое приложение. Использование скрытых сервисов Tor гарантирует, что трафик остается в сети Tor, оставляя меньше следов, которые могут быть перехвачены.

В сообщении в блоге также содержится ссылка на часто задаваемые вопросы проекта Tor, в котором предполагается, что запуск вашего собственного ретранслятора Tor может повысить устойчивость к некоторым атакам на корреляцию трафика. Идея заключается в том, что злоумышленникам было бы трудно определить, было ли соединение создано ретранслятором Tor или пользователем Tor, подключающимся с того же IP-адреса, что и ретранслятор. Однако в нем признается, что риски и преимущества запуска ретранслятора Tor зависят от конкретных атак, о которых идет речь.

Основываясь на анализе результатов ExoneraTor и данных консенсуса сети Tor, выясняется, что IP-адрес 67.205.139.175 не использовался Volt Typhoon в качестве ретранслятора выхода из Tor, чтобы скрыть источник подключений к серверу C2 по адресу 45.63.60.39.
#ParsedReport #CompletenessLow
01-02-2024

How Memory Forensics Revealed Exploitation of Ivanti Connect Secure VPN Zero-Day Vulnerabilities

https://www.volexity.com/blog/2024/02/01/how-memory-forensics-revealed-exploitation-of-ivanti-connect-secure-vpn-zero-day-vulnerabilities

Report completeness: Low

Threats:
Smokeloader

Victims:
Ivanti connect secure vpn, Cyberoam devices

Industry:
Ics

ChatGPT TTPs:
do not use without manual check
T1078, T1059, T1033, T1213, T1547, T1203, T1491, T1485, T1553, T1083, have more...

IOCs:
IP: 2
File: 2

Soft:
Volexity Volcano, macOS

Algorithms:
base64
CTT Report Hub
#ParsedReport #CompletenessLow 01-02-2024 How Memory Forensics Revealed Exploitation of Ivanti Connect Secure VPN Zero-Day Vulnerabilities https://www.volexity.com/blog/2024/02/01/how-memory-forensics-revealed-exploitation-of-ivanti-connect-secure-vpn-zero…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что фирма по кибербезопасности Volexity обнаружила и исследовала использование двух уязвимостей нулевого дня в Ivanti Connect Secure VPN. Они использовали анализ памяти, индикаторы компрометации на основе строк и другие методы для идентификации атаки и наличия вредоносной активности. Использование криминалистики памяти было подчеркнуто как важнейший инструмент для расследования и понимания атаки. Злоумышленники использовали SSH и другие инструменты для получения несанкционированного доступа, в то время как предпринимались попытки избежать обнаружения. Была подчеркнута важность независимой проверки целостности целей с использованием криминалистики памяти.
-----

Недавно компания Volexity, занимающаяся кибербезопасностью, поделилась подробной информацией об активном использовании двух уязвимостей нулевого дня в Ivanti Connect Secure VPN. Серия сообщений в блоге освещала использование вредоносных программ и модификаций встроенного средства проверки целостности для обхода обнаружения. Криминалистика памяти сыграла решающую роль в расследовании и понимании того, как уязвимости были связаны друг с другом для обеспечения удаленного выполнения кода без проверки подлинности на устройствах VPN.

Volexity использует экспертизу памяти в качестве приоритета при реагировании на инциденты, поскольку это расширяет возможности расследования в различных операционных системах, включая Windows, Linux и macOS. Один из методов, который они часто используют, - это индикаторы компрометации на основе строк (IOCs), которые помогают идентифицировать вредоносные команды. В данном случае Volexity обнаружила обращения, связанные с командой base64 -d, что указывает на потенциальную вредоносную активность. Эти обращения были отнесены к процессу веб-сервера uwsgi, что снизило вероятность ложных срабатываний. Декодированные данные base64 выявили вредоносные команды, включая выполнение скрипта bash.

Дальнейшее изучение смежных областей памяти выявило полный заголовок HTTP-запроса с путем, указывающим на запуск эксплойта. Кроме того, в памяти содержался IP-адрес 98.160.48.170, связанный со скомпрометированными устройствами Cyberoam. Это подтвердило компромисс и подтвердило правомерность подхода Volexity к расследованию.

Злоумышленник получил доступ суперпользователя через SSH connect-back и провел разведку других ресурсов. Хотя инструмент проверки целостности мог обнаруживать измененные файлы, для этого требовалась перезагрузка системы, что потенциально приводило к удалению нестабильных данных. Следовательно, Volexity рекомендовал сначала захватить память. Они также подчеркнули необходимость проведения проверок целостности активных компонентов ОС и приложений, а не только жесткого диска. Хотя в первоначальных инцидентах не были задействованы имплантаты, работающие только с памятью, или руткиты, будущие атаки не должны игнорировать возможность их использования.

Злоумышленники использовали встроенный SSH и другие инструменты операционной системы для получения несанкционированного удаленного доступа, не оставляя никаких доказательств на диске. Volexity наблюдала попытки обойти инструмент проверки целостности, что указывает на использование более продвинутых методов скрытности и сохранения. Использование Ivanti Connect Secure VPN выявило две уязвимости нулевого дня, и экспертиза памяти помогла выявить источник компрометации в ходе расследования. Аналитикам рекомендуется самостоятельно проверять целостность важных объектов с помощью экспертизы памяти, а не полагаться исключительно на потенциально скомпрометированные инструменты для устройств.
#ParsedReport #CompletenessLow
02-02-2024

Detecting and Mitigating a Phishing Threat: Greatness

https://blog.sucuri.net/2024/02/detecting-and-mitigating-a-phishing-threat-greatness.html

Report completeness: Low

Threats:
Greatness_tool
Mitm_technique

Industry:
Financial

ChatGPT TTPs:
do not use without manual check
T1566, T1078, T1005, T1063, T1001, T1105, T1609

IOCs:
File: 1

Soft:
Telegram, WordPress

Languages:
javascript, php
CTT Report Hub
#ParsedReport #CompletenessLow 02-02-2024 Detecting and Mitigating a Phishing Threat: Greatness https://blog.sucuri.net/2024/02/detecting-and-mitigating-a-phishing-threat-greatness.html Report completeness: Low Threats: Greatness_tool Mitm_technique Industry:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что был обнаружен новый фишинговый инструмент под названием Greatness, который позволяет злоумышленникам запускать сложные фишинговые атаки против учетных записей Microsoft 365. Инструмент обладает различными функциями и может даже обойти многофакторную аутентификацию. В тексте также приведены семь шагов по предотвращению использования веб-сайтов и серверов такими фишинговыми атаками.
-----

В тексте обсуждается фишинговый инструмент под названием Greatness, который был идентифицирован исследовательской группой. Greatness - это платформа "Фишинг как услуга" (PhaaS), которая помогает выполнять сложные фишинговые атаки против учетных записей Microsoft 365. Этот инструмент был обнаружен на взломанных веб-сайтах и работает как командный элемент управления для злоумышленников, позволяя им запускать персонализированные попытки фишинга.

Greatness обладает несколькими функциями, включая панель результатов, которая предоставляет подробные сведения о полученных учетных данных, страницу Office, которая позволяет создавать убедительные фишинговые кампании и вложения, а также сложную процедуру аутентификации. Инструмент может проверять, включена ли многофакторная аутентификация (MFA), и запрашивать у жертв дополнительную информацию. Он также может получить действительный файл cookie сеанса, используя API Microsoft.

Платформа предлагает такие параметры конфигурации, как проверка состояния сервера, загрузка новых файлов конфигурации и указание альтернативных методов получения украденных учетных данных. Greatness полагается на сложные методы обеспечения безопасности, включая запутывание исходного кода и связь с центральным сервером для проверки ключа API. Без действительного ключа фишинговая страница отказывается загружаться.

Одним из вызывающих беспокойство аспектов Greatness является его способность перехитрить MFA, что является одной из наиболее эффективных мер безопасности против фишинговых атак. Доступность инструментария позволяет даже лицам с небольшими техническими знаниями запускать вредоносные атаки, увеличивая потенциальный ущерб.

Чтобы предотвратить использование фишингом веб-сайтов и серверных ресурсов, в тексте приведены семь шагов, которые необходимо предпринять. К ним относятся проведение глубокого и всестороннего сканирования на предмет заражения, удаление подозрительных файлов или скриптов, проверка предупреждений сайта от поисковых служб и проведение онлайн-проверок статуса, внедрение систем мониторинга целостности файлов и использование брандмауэров веб-приложений для защиты сайтов от атак.
#ParsedReport #CompletenessLow
02-02-2024

The curious case of DangerDev@protonmail.me

https://www.invictus-ir.com/news/the-curious-case-of-dangerdev-protonmail-me

Report completeness: Low

Threats:
Spear-phishing_technique

Victims:
Ses, Japanese websites

Geo:
Indonesian, Japanese

TTPs:
Tactics: 6
Technics: 0

IOCs:
Email: 1
File: 2
IP: 113

Functions:
GetSendQuota, GetCallerIdentity, CreateUser, CreateLoginProfile, CreateKeyPair, CreateSecurityGroup, CreateDefaultVpc, DeleteUser, DeleteUserPolicy, DeleteAccessKey, have more...

Links:
https://gist.github.com/invictus-korstiaan/0aed611b8cce0a8e9974a9753aefc0e1/raw/f6c3d46a8247be80fb2b41b99b67d16ae2040512/AWS\_IOCS.csv
https://gist.github.com/invictus-korstiaan/0aed611b8cce0a8e9974a9753aefc0e1#file-aws\_iocs-csv
https://github.com
CTT Report Hub
#ParsedReport #CompletenessLow 02-02-2024 The curious case of DangerDev@protonmail.me https://www.invictus-ir.com/news/the-curious-case-of-dangerdev-protonmail-me Report completeness: Low Threats: Spear-phishing_technique Victims: Ses, Japanese websites…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - обсуждение недавней атаки на простой почтовый сервис Amazon (SES), где злоумышленники использовали SES для рассылки фишинговых и спам-кампаний. Атака происходила в три этапа, причем злоумышленники сосредоточились на криптомайнинге, фишинге и рассылке спама через SES. Они продемонстрировали знакомство с AWS и использовали сценарии автоматизации для определенных задач. Мотивом атаки, по-видимому, была финансовая выгода, в первую очередь с помощью точечного фишинга и методов фишинга с использованием криптовалют.
-----

В этой статье автор обсуждает недавнюю атаку, целью которой был простой почтовый сервис Amazon (SES). Злоумышленники использовали SES для рассылки фишинговых и спам-кампаний, воспользовавшись статусом доверенного отправителя, связанным с Amazon. Вредоносная активность происходила в течение месяца и может быть разделена на три отдельных этапа.

На начальном этапе злоумышленники создали новую учетную запись и провели дополнительные действия по обнаружению, которые, вероятно, соответствовали их злонамеренным намерениям. Они использовали AWS Policy Simulator для тестирования существующих политик и действий, что позволило им оценить свои возможности в учетной записи жертвы.

На последующих этапах злоумышленники сосредоточились на криптомайнинге, фишинге и рассылке спама через SES. Они создали поддельные домены для точечного фишинга и мошенничества, ориентируясь в основном на японские веб-сайты. Конкретное содержание электронных писем, которые они рассылали, не раскрывалось в деталях, но они были предназначены для частных лиц с целью получения учетных данных для обмена криптовалютами и в общих целях рассылки спама.

Злоумышленники запросили у AWS увеличение квоты на отправку SES, чтобы рассылать больше спама. Этот запрос был одобрен, что указывает на то, что злоумышленники достигли определенного уровня настойчивости и влияния в учетной записи жертвы. Домены, которые они использовали для своих вредоносных действий, были недолговечными и быстро отключились.

Злоумышленники продемонстрировали знакомство с AWS, выходящее за рамки базового злоупотребления EC2. Они использовали сценарии автоматизации для таких задач, как тестирование и перечисление ключей доступа AWS. Однако они также выполняли значительные действия через консоль управления, что указывает на сочетание автоматизированной работы и работы с клавиатурой. Примечательно, что злоумышленники применили некоторые оперативные меры безопасности, избегая использования определенных команд, которые обычно наблюдаются при атаках, таких как GetCallerIdentity.

Мотивы атаки казались финансово мотивированными. Основной целью злоумышленников, по-видимому, было осуществление скрытого фишинга с целью получения финансовой выгоды с использованием приманок PayPal и методов фишинга криптовалют. Стоит отметить, что злоумышленники в основном использовали индонезийские IP-адреса для своей деятельности, часто за пределами коммерческих VPN-решений.
#ParsedReport #CompletenessHigh
02-02-2024

The Bear and The Shell: New Campaign Against Russian Opposition

https://blog.cluster25.duskrise.com/2024/01/30/russian-apt-opposition

Report completeness: High

Threats:
Spear-phishing_technique
Sliver_c2_tool
Beacon

Victims:
Entities critical of the russian government, Russian dissident movements, Bellingcat, Us agency of international development, Media outlet related to ksenia sobchak, Media outlet the bell, Verstka

Industry:
Government

Geo:
Moldova, Russia, Usa, Russian, Israel, Netherlands, Ukraine, Portugal

TTPs:
Tactics: 6
Technics: 10

IOCs:
Hash: 13
File: 3
Command: 1
Domain: 6
IP: 1
Url: 3

Algorithms:
sha256, zip

Languages:
powershell

Platforms:
intel

Links:
https://github.com/JoelGMSec/HTTP-Shell
https://github.com/BishopFox/sliver
CTT Report Hub
#ParsedReport #CompletenessHigh 02-02-2024 The Bear and The Shell: New Campaign Against Russian Opposition https://blog.cluster25.duskrise.com/2024/01/30/russian-apt-opposition Report completeness: High Threats: Spear-phishing_technique Sliver_c2_tool…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что исследовательская группа по кибербезопасности Cluster25 раскрыла новую кампанию фишинга, которая, как полагают, была инициирована российской группой Advanced Persistent Threat (APT). Кампания нацелена на отдельных лиц и организации, критикующие российское правительство и связанные с российскими диссидентскими движениями. В атаках используется приманка на тему НАСА и мультиплатформенная обратная оболочка под названием HTTP-Shell. Кампания использует различные приманки, полученные от средств массовой информации, связанных с российской независимой медиасферой, и атаки наблюдались во многих странах. Исследователи также обнаружили потенциальные связи между инфраструктурой и инструментами кампании, что предполагает более широкие скоординированные усилия. В целом, факты указывают на передовую группу, действующую от имени российского правительства.
-----

Исследовательская группа по кибербезопасности Cluster25 раскрыла новую кампанию, инициированную российской APT group.

Кампания включает в себя точечный фишинг, нацеленный на отдельных лиц и организации, критикующие российское правительство и связанные с российскими диссидентскими движениями.

В атаках используется приманка на тему NASA и скрипт PowerShell с именем HTTP-Shell для установления обратного соединения shell по протоколу HTTP.

Атаки имеют сходство с приманками и используют один и тот же сервер управления.

Приманки получены от средств массовой информации, связанных с российской независимой медиасферой.

Теракты были зафиксированы в разных странах, включая Португалию, США и Израиль.

Домен usaid.pm, использовавшийся в атаке на Bellingcat, был преобразован в IP-адрес, связанный с радиомаяком Sliver и другими фишинговыми страницами, что указывает на потенциальную связь между инфраструктурой и инструментами, используемыми в кампании.

Кампания, весьма вероятно, связана с передовой группой, действующей от имени российского правительства и нацеленной на диссидентские движения как внутри России, так и за ее пределами.
#ParsedReport #CompletenessMedium
02-02-2024

Meet AZORult Stealer: High Risk, Open Source & Evolving. AZORult Delivery Methods

https://cyberint.com/blog/research/meet-azorult-stealer-high-risk-open-source-evolving

Report completeness: Medium

Actors/Campaigns:
Gorgon (motivation: cyber_criminal)

Threats:
Azorult
Ramnit
Chthonic
Redline_stealer
Whispergate
Supply_chain_technique
Process_hollowing_technique
Credential_dumping_technique

Industry:
Government, Telco, Financial

Geo:
Russia, Spain, Ukrainian

TTPs:
Tactics: 11
Technics: 31

IOCs:
IP: 2
Domain: 1

Soft:
Telegram, Microsoft Office

Algorithms:
xor, base64

Languages:
powershell
CTT Report Hub
#ParsedReport #CompletenessMedium 02-02-2024 Meet AZORult Stealer: High Risk, Open Source & Evolving. AZORult Delivery Methods https://cyberint.com/blog/research/meet-azorult-stealer-high-risk-open-source-evolving Report completeness: Medium Actors/Campaigns:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - обсуждение AZORult stealer, вируса троянского типа, который собирает личные данные. В нем освещаются различные методы доставки, используемые похитителем, причастность группы Gorgon и значительное влияние атак AZORult, которые могут привести к компрометации финансовых счетов, краже личной информации, контролю над зараженными системами и атакам программ-вымогателей. В тексте также содержится подробная информация о загрузчике, его связи с C2 и украденных данных, переданных C2. Кроме того, в нем упоминаются конкретные детали, такие как домены, используемые загрузчиком для связи, и связь определенных IP-адресов с целями malspam на этапе доставки.
-----

В тексте обсуждается AZORult stealer, вирус троянского типа, созданный для сбора личных данных. Он превратился в бесплатную программу с открытым исходным кодом и входит в топ-5 краж по всему миру. Для заражения систем похититель использует различные способы доставки, включая фишинговые электронные письма, защищенные паролем офисные документы и другие вредоносные программы. Панель C2 (Command and Control) для AZORult содержит множество ресурсов, и на панели хранятся параметры ее конфигурации. Исходный код и пакет builder для AZORult общедоступны в репозиториях кода и на форумах dark web, что позволяет злоумышленникам развертывать модифицированные версии stealer.

Группа Gorgon, которая объединилась с киберпреступной группировкой Subaat, была связана с деятельностью AZORult. Похититель также может использоваться в качестве загрузчика троянских программ для доставки других полезных вредоносных программ и установления соединений по протоколу удаленного рабочего стола для полного контроля зараженных систем. Последствия атак AZORult могут быть значительными, приводя к компрометации финансовых счетов, краже личной информации, удаленному управлению устройствами и даже атакам программ-вымогателей.

Загрузчик, скомпилированный в июне 2022 года, отвечает за инициирование связи с C2 и получение конфигурации и первичной полезной нагрузки. Он использует собственные библиотеки для сетевого взаимодействия, возможности многопоточности процессов и шифрования TLS. Загрузчик извлекает вредоносный DLL-файл, замаскированный под поддельный BMP-файл, из жестко закодированного домена. Полезная нагрузка взаимодействует с C2 с помощью последовательных POST-запросов, регистрируя идентификацию бота и получая в ответ закодированную конфигурацию. Украденные данные организованы в различные разделы и передаются C2, включая информацию о хостинге, скриншоты, информацию о файлах, модель процессора, оперативную память, графический процессор, списки процессов, установленное программное обеспечение и, в конечном итоге, файлы cookie и пароли.

В тексте выделяются некоторые специфические детали, такие как домены, используемые загрузчиком для связи с C2: http://phila.ac.ug/azne_Rnnztqgs.bmp и wiwirdo.ac.ug. IP, принадлежащий украинскому интернет-провайдеру, является типичной инфраструктурой для вредоносного по C2, и дополнительные IP-адреса могут быть связаны с целями malspam на этапе доставки.
#ParsedReport #CompletenessLow
02-02-2024

APT-K-47 organization uses new Trojan tools to launch secret-stealing attacks

https://paper.seebug.org/3115

Report completeness: Low

Actors/Campaigns:
Mysterious_elephant
Sidewinder
Confucius
Bitter

Threats:
Orpcbackdoor
Walkershell
Nimbo-c2
Demotryspy
Nixbackdoor

Geo:
Pakistan, Asia, Asian, Russia, Bangladesh

ChatGPT TTPs:
do not use without manual check
T1566, T1203, T1602, T1041, T1348, T1213, T1003, T1082, T1065, T1483, have more...

IOCs:
File: 2
Hash: 4
Domain: 1

Soft:
Chrome, curl

Languages:
python, powershell

Links:
https://github.com/itaymigdal/Nimbo-C2