CTT Report Hub
3.39K subscribers
9.56K photos
6 videos
67 files
13.2K links
Threat Intelligence Report Hub
Download Telegram
#ParsedReport #CompletenessMedium
04-02-2024

VajraSpy: A Patchwork of espionage apps

https://www.welivesecurity.com/en/eset-research/vajraspy-patchwork-espionage-apps

Report completeness: Medium

Actors/Campaigns:
Dropping_elephant (motivation: cyber_criminal, cyber_espionage)
Fire_snake

Threats:
Vajraspy

Industry:
Government

Geo:
Malaysia, Ukraine, Pakistani, Pakistan, India

TTPs:
Tactics: 6
Technics: 13

IOCs:
Hash: 14
Domain: 13
IP: 3

Soft:
Android, WhatsApp, Telegram

Algorithms:
sha1

Languages:
java
CTT Report Hub
#ParsedReport #CompletenessMedium 04-02-2024 VajraSpy: A Patchwork of espionage apps https://www.welivesecurity.com/en/eset-research/vajraspy-patchwork-espionage-apps Report completeness: Medium Actors/Campaigns: Dropping_elephant (motivation: cyber_criminal…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что исследователи ESET раскрыли кампанию кибершпионажа, проводимую группой Patchwork APT. Они использовали троянские приложения для Android, содержащие VajraSpy RAT, для нацеливания на пользователей в основном в Пакистане. Вредоносная программа обладает различными возможностями, включая кражу контактов, файлов, журналов вызовов и SMS-сообщений, а также извлечение сообщений WhatsApp и Signal, запись телефонных звонков и фотосъемку. Троянские приложения были замаскированы под средства обмена сообщениями или новостное приложение и были найдены в Google Play и VirusTotal. Сервер управления, используемый злоумышленниками, был Firebase Hosting. Исследователи выявили две группы троянских приложений, причем приложения второй группы обладают более расширенными возможностями. Одно конкретное приложение под названием Rafaqat выдавало себя за новостное приложение и набрало более тысячи установок, прежде чем было удалено из Google Play.
-----

Исследователи ESET обнаружили кампанию кибершпионажа.

За кампанию отвечает группа Patchwork APT.

Использовались троянские приложения для Android, содержащие троянца удаленного доступа VajraSpy (RAT).

Было обнаружено 12 троянских приложений, из них 6 в Google Play и 6 в VirusTotal.

Приложения были замаскированы под средства обмена сообщениями или новостное приложение.

Код VajraSpy RAT был тайно выполнен в фоновом режиме.

VajraSpy обладает различными функциями шпионажа, включая кражу контактов, файлов, журналов вызовов и SMS-сообщений.

VajraSpy может извлекать сообщения WhatsApp и Signal, записывать телефонные звонки и делать снимки с помощью камеры.

Кампания в первую очередь была нацелена на пользователей в Пакистане.

Геолокация выявила 148 скомпрометированных устройств в Пакистане и Индии.

Троянские имена разработчиков приложений и экраны входа в систему ссылались на Пакистан.

Вредоносная программа VajraSpy была отнесена к нескольким группам APT.

Вредоносная программа маскируется под приложение для обмена сообщениями и извлекает пользовательские данные.

Согласованные имена классов предполагают общую кодовую базу для различных вариантов.

Троянские приложения требовали создания учетной записи путем проверки номера телефона, но создание учетной записи не имело отношения к запуску вредоносной программы.

Приложения использовали разрешения для перехвата сообщений, включая SMS-сообщения.

В качестве командно-контрольного сервера использовался хостинг Firebase.

Были обнаружены две группы троянских приложений, причем приложения второй группы обладают большими возможностями, включая перехват сообщений из WhatsApp, WhatsApp Business и Signal.

Одно конкретное троянское приложение под названием Rafaqat выдавало себя за новостное приложение и набрало более тысячи установок в Google Play, прежде чем было удалено.

Разработчик Мохаммад Ризван был связан с несколькими троянскими приложениями, но только одно было опубликовано в Google Play.
#ParsedReport #CompletenessLow
05-02-2024

(APT)KimsukyDropbox. [Advanced Persistent Threat (APT)\] Kimsuky organization uses Dropbox cloud to conduct operational analysis

https://mp-weixin-qq-com.translate.goog/s?__biz=Mzg2NjgzNjA5NQ==&mid=2247522061&idx=1&sn=22e56ee213d9e5229371ad3e082ebfab&chksm=ce461c1df931950b245134a250b6bf4bea489d75b556cb450548569c0c6d50d3bacc00a8efe0&scene=178&cur_album_id=2867627575890837505&_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=en-US&_x_tr_pto=wapp#rd

Report completeness: Low

Actors/Campaigns:
Kimsuky (motivation: cyber_criminal, cyber_espionage)
Scarcruft
Lazarus

Threats:
Xenorat

Victims:
South korean government agencies, Sejong institute, Korean ministry of foreign affairs, Korean institute for defense analysis (kida), Korean ministry of unification, North korea-related research fields, People related to the digital currency/financial field

Industry:
Financial, Government, Military

Geo:
Korea, Korean

ChatGPT TTPs:
do not use without manual check
T1566, T1566.001, T1492, T1105, T1059.003, T1059.001, T1048, T1071.001, T1132.001, T1090.003, have more...

IOCs:
Hash: 16
File: 9
Path: 1
IP: 1

Soft:
WeChat

Algorithms:
sha256, md5

Languages:
php, powershell
CTT Report Hub
#ParsedReport #CompletenessLow 05-02-2024 (APT)KimsukyDropbox. [Advanced Persistent Threat (APT)\] Kimsuky organization uses Dropbox cloud to conduct operational analysis https://mp-weixin-qq-com.translate.goog/s?__biz=Mzg2NjgzNjA5NQ==&mid=2247522061&id…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что организация Kimsuky APT, базирующаяся на Корейском полуострове, подозревается в причастности к крупномасштабному кибершпионажу, направленному против южнокорейских военных аналитических центров, правительственных учреждений и исследовательских институтов, связанных с Северной Кореей. Для осуществления своих атак они используют различные тактические приемы, такие как файлы HWP, файлы Lnk, исполняемые файлы и вредоносные макродокументы. Кимсуки был связан с организациями Lazarus, Konni и ScarCruft (Group123). В недавнем инциденте они использовали вредоносный файл LNK, замаскированный под PDF, для доставки последующей полезной нагрузки. Целью атаки была предполагаемая цифровая валюта/финансовая сфера. Kimsuky также использует команды без файлов и облачные сервисы для связи.
-----

Организация Kimsuky APT, расположенная на Корейском полуострове, подозревается в причастности к крупномасштабному кибершпионажу. В первую очередь она нацелена на южнокорейские военные аналитические центры, правительственные учреждения и исследовательские институты, связанные с Северной Кореей. Организация использует различные тактики, включая использование файлов HWP, файлов Lnk, исполняемых файлов и вредоносных макродокументов, для осуществления своих атак.

Зарубежные исследователи связывают Кимсуки с организациями Lazarus и Konni из-за сходства в истории и совпадения инфраструктуры с организацией ScarCruft (Group123). В недавнем инциденте Kimsuky отправил вредоносный файл LNK, замаскированный под PDF, своей цели, доставив последующую полезную нагрузку. Файл был назван "-100(2)" и переведен как "Конспекты лекций по трейдингу Spartacus" - 100 долларов (второй выпуск), что указывает на предполагаемую цель, связанную с цифровой валютой/финансовой сферой.

За тот же период было обнаружено множество подозрительных документов, связанных с правительством, дипломатией, СМИ и финансированием в цифровой валюте. Специфика одного вредоносного файла LNK в этом инциденте показала, что в нем использовались команды PowerShell с несколькими пробелами в качестве заголовка, что затрудняло пользователям обнаружение любого подозрительного поведения. Кроме того, исследователи обнаружили связанный пакет образцов атакующей активности, связанный с URL-адресом "http://122.155.191.33/temp/clientx64.bin", который, как было подтверждено, является компонентом дистанционного управления с открытым исходным кодом "xeno-rat".

Загруженная последующая полезная нагрузка "info_ps.bin" представляла собой сценарий PowerShell, предназначенный для сбора базовой информации о целевой машине. Сравнив структуру URL, выполняемые компоненты и другие факторы, исследователи пришли к выводу, что это действие было инициировано организацией Kimsuky. В то время как Kimsuky обычно использует файлы Lnk в качестве исходного вектора атаки, для выполнения своих задач он использует команды без файлов, такие как VBS и PowerShell. Примечательно, что этот инцидент также выявил использование облачных сервисов для связи, метод, который часто ассоциируется с организацией Group123 (ScarCruft).
#ParsedReport #CompletenessLow
05-02-2024

RAT malware being distributed disguised as gambling-related content

https://asec.ahnlab.com/ko/61250

Report completeness: Low

Threats:
Trojan/win.pwsx-gen
Vbkrypt

IOCs:
Hash: 9
Url: 1
IP: 2

Algorithms:
md5

Languages:
powershell
#ParsedReport #CompletenessMedium
05-02-2024

Smargaft Harnesses EtherHiding for Stealthy C2 Hosting. Background

https://blog.xlab.qianxin.com/smargaft_abusing_binance-smart-contracts_en

Report completeness: Medium

Threats:
Smargaft
Etherhiding_technique
Mirai
Bashlite
Upx_tool
Minix
Netstat_tool

Victims:
China, Poland, Usa, Germany, France

Industry:
Financial

Geo:
Usa, China, Poland, Russian, Germany, France

CVEs:
CVE-2013-5948 [Vulners]
CVSS V3.1: 8.5,
Vulners: Exploitation: Unknown
X-Force: Risk: 9.3
X-Force: Patch: Official fix
Soft:
- t-mobile tm-ac1900 (3.0.0.4.376_3169)
- asus rt-ac68u firmware (3.0.0.4.374.4755, 3.0.0.4.374_4561, 3.0.0.4.374_4887)
- asus rt-ac68u (-)

CVE-2021-41653 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Unavailable
Soft:
- tp-link tl-wr840n firmware (letl-wr840n\(eu\)_v5_171211)

CVE-2020-8515 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Unavailable
Soft:
- draytek vigor2960 firmware (1.3.1)
- draytek vigor300b firmware (1.3.3, 1.4.2.1, 1.4.4)
- draytek vigor3900 firmware (1.4.4)

CVE-2021-45653 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: Unknown
X-Force: Risk: 3.9
X-Force: Patch: Official fix
Soft:
- netgear rbk352 firmware (<4.4.0.10)
- netgear rbr350 firmware (<4.4.0.10)
- netgear rbs350 firmware (<4.4.0.10)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1190, T1059.004, T1001.003, T1547.001, T1203, T1016, T1090.003

IOCs:
Coin: 2
File: 2
IP: 1

Crypto:
binance, ethereum

Algorithms:
md5

Functions:
of

Languages:
javascript

Platforms:
x64, mips, arm, x86

Links:
https://github.com/mcw0/PoC/blob/master/TVT-PoC.py?ref=blog.xlab.qianxin.com
CTT Report Hub
#ParsedReport #CompletenessMedium 05-02-2024 Smargaft Harnesses EtherHiding for Stealthy C2 Hosting. Background https://blog.xlab.qianxin.com/smargaft_abusing_binance-smart-contracts_en Report completeness: Medium Threats: Smargaft Etherhiding_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что был обнаружен новый ботнет под названием Smargaft, который использует смарт-цепочку Binance в качестве своего командно-контрольного сервера и использует преимущества технологии блокчейн. Smargaft специализируется на DDoS-атаках, выполнении системных команд и анонимных подключениях пользователей через прокси-сервер socks5. Это создает новую проблему для специалистов по кибербезопасности из-за использования смарт-контрактов и блокчейна для управления C2. Было замечено, что ботнет нацелен на устройства с различными архитектурами процессоров по всему миру, особенно в Китае, Польше, США, Германии и Франции. В статье подчеркивается необходимость усиленной идентификации и предотвращения возникающих киберугроз, таких как Smargaft, и поощряется сотрудничество в разработке эффективных стратегий борьбы с ними.
-----

Исследовательская группа по кибербезопасности XLab обнаружила новый ботнет под названием Smargaft.

Smargaft использует методы атаки, аналогичные ботнетам Mirai и Gafgyt, но сконструирован по-другому.

Smargaft использует Binance Smart Chain (BSC) в качестве своего сервера управления (C2) и распространяется с помощью сценариев оболочки.

Поставщики антивирусов ошибочно пометили Smargaft как Mirai, но он отличается от других и использует смарт-контракты Binance Smart Chain для своей инфраструктуры C2.

Smargaft специализируется на DDoS-атаках, выполнении системных команд и анонимных подключениях пользователей через socks5 proxy.

Он использует преимущества технологии блокчейн, в частности EtherHiding, для своего хостинга C2.

Использование смарт-контрактов и блокчейна для управления C2 представляет собой новую задачу для специалистов по кибербезопасности.

Binance Smart Chain - это блокчейн-платформа, аналогичная Ethereum, предназначенная для dApps и смарт-контрактов.

Smargaft использует смарт-контракты в смарт-цепочке Binance для хранения информации, связанной с C2, что затрудняет их запрет или удаление непосредственно из блокчейна.

Контрактный адрес ботнета Smargaft - 0xdf2208d4902aa1ec9a0957132ca86a4e1d40455b, и считается, что автор - россиянин.

Smargaft распространяется, используя известные уязвимости, и распространяет загрузчик для внедрения образца бота на целевые устройства.

Smargaft ориентирован на устройства с различными архитектурами процессоров, включая ARM, MIPS и X86/64.

Атаки Smargaft носят глобальный характер и не привязаны к какому-либо региону, при этом наиболее пострадавшими районами являются Китай, Польша, США, Германия и Франция.

Одновременные атаки несколькими ботнетами предполагают существование платформы DDoS, объединяющей различные ботнеты.

В статье обсуждаются технические детали, касающиеся реализации Smargaft, включая использование протокола JSON RPC, шифрование и дешифрование информации C2, стратегии сканирования и заражения, а также конкретные методы, используемые ботнетом.

XLab призывает к бдительности, усиленной идентификации и предотвращению возникающих киберугроз, таких как Smargaft.
#ParsedReport #CompletenessHigh
05-02-2024

Kimsuky APT-Q-2. Kimsuky (APT-Q-2) secret theft operation disguised as software installation package

https://mp-weixin-qq-com.translate.goog/s?__biz=MzI2MDc2MDA4OA==&mid=2247509476&idx=1&sn=b0e09436095203b75710836d718d6699&chksm=eb3f7f9b7c2d9f7c2100ae4042ca2b6f455b7861453a14de70bdbb63aa85497ffa8a414a5ebc&scene=132&_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=en-US&_x_tr_pto=wapp

Report completeness: High

Actors/Campaigns:
Kimsuky

Threats:
Watering_hole_technique
Harpoon
Vmprotect_tool

Victims:
South korean national defense, Education, Energy, Government, Medical, Think tanks

Industry:
Government, Healthcare, Education, Energy

Geo:
Asia, Asian, Korean, Korea

ChatGPT TTPs:
do not use without manual check
T1204, T1566, T1189, T1204, T1064, T1134, T1059.003, T1053, T1140, T1045, have more...

IOCs:
Hash: 11
File: 8
Command: 1
Email: 8
Registry: 1
Domain: 1
Url: 7

Soft:
WeChat, Android

Algorithms:
base64, xor-cbc, md5, zip, sha512

Languages:
powershell

Platforms:
x86
CTT Report Hub
#ParsedReport #CompletenessHigh 05-02-2024 Kimsuky APT-Q-2. Kimsuky (APT-Q-2) secret theft operation disguised as software installation package https://mp-weixin-qq-com.translate.goog/s?__biz=MzI2MDc2MDA4OA==&mid=2247509476&idx=1&sn=b0e09436095203b75710…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Kimsuky, организация Advanced Persistent Threat (APT), проводит кибератаки, нацеленные в первую очередь на Южную Корею. Они используют различные тактики, такие как социальная инженерия и распространение вредоносного ПО через пакеты установки законного программного обеспечения. Вредоносная программа, известная как TrollAgent, собирает конфиденциальную информацию с зараженных устройств и отправляет ее на сервер управления (C&C). Программа-бэкдор, связанная с Kimsuky, обладает аналогичным кодом и возможностями самоудаления. Пользователям важно быть осторожными с фишинговыми атаками и регулярно обновлять свои системы для защиты от действий Kimsuky.
-----

Kimsuky - это организация APT, нацеленная на Южную Корею.

Они сосредоточены на таких секторах, как национальная оборона, образование, энергетика, правительство, медицинское обслуживание и аналитические центры.

Kimsuky использует социальную инженерию, электронные письма harpoon и атаки на водопой для распространения вредоносных программ.

Их методы атаки нацелены как на платформы Windows, так и на Android.

Они маскируют образцы атак под программы установки продуктов корейской компании-разработчика программного обеспечения.

Вредоносная программа собирает информацию с зараженных устройств и отправляет ее обратно злоумышленникам, прежде чем стереть доказательства атаки.

Анализ выявляет связи между образцами атак и другой вредоносной программой, используемой в качестве бэкдора.

Программа бэкдора работает как одиночная и взаимодействует с сервером управления (C&C).

Как программное обеспечение для кражи секретов, так и бэкдор обладают возможностями перекрытия кода и самоудаления.

Кимсуки использует сложную тактику, чтобы избежать обнаружения и помешать анализу.

Пользователям следует остерегаться фишинговых атак, избегать подозрительных ссылок и вложений электронной почты, а также регулярно обновлять свои системы и создавать резервные копии важных файлов.
#ParsedReport #CompletenessLow
05-02-2024

BlueShell malware used to attack domestic Linux systems (2)

https://asec.ahnlab.com/ko/61293

Report completeness: Low

Actors/Campaigns:
Dalbit

Threats:
Blueshell

Geo:
Thailand, Chinese, Korea

ChatGPT TTPs:
do not use without manual check
T1016, T1059, T1083, T1071, T1213, T1022, T1485, T1219

IOCs:
File: 1
Hash: 12
IP: 2

Algorithms:
base64, xor, md5

Functions:
ReadMe, init
CTT Report Hub
#ParsedReport #CompletenessLow 05-02-2024 BlueShell malware used to attack domestic Linux systems (2) https://asec.ahnlab.com/ko/61293 Report completeness: Low Actors/Campaigns: Dalbit Threats: Blueshell Geo: Thailand, Chinese, Korea ChatGPT TTPs: do…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что вредоносная программа BlueShell использовалась в целевых атаках на системы Linux в Таиланде и Корее. Злоумышленник настроил BlueShell для работы только на определенных системах и продолжает создавать новые варианты вредоносного ПО. BlueShell - это вредоносная программа с бэкдором, которая может получать команды с сервера управления и выполнять вредоносные действия в зараженных системах. Вредоносная программа использует данные конфигурации, включая IP-адрес, номер порта и время ожидания. Настроенный вариант BlueShell не раскрывает командно-контрольный адрес или целевую систему, поскольку эта информация содержится в дроппере, который запускает вредоносное ПО. Была обнаружена новая вредоносная программа-дроппер под названием "top dropper", которая маскируется под команду Linux id и устанавливает как BlueShell dropper, так и бэкдор-вредоносное ПО. В блоге подчеркивается важность проверки уязвимостей, поддержания систем в актуальном состоянии и использования современного антивирусного программного обеспечения для предотвращения подобных угроз безопасности.
-----

Вредоносная программа BlueShell нацелена на системы Linux в Таиланде и Корее.

Вредоносная программа настроена для работы в определенных системах.

Злоумышленник продолжает создавать вариации вредоносного ПО BlueShell после публикации в блоге.

Вредоносная программа разработана на языке Go и поддерживает системы Windows, Linux и Mac.

Файл ReadMe указывает на китайского создателя.

BlueShell используется несколькими атакующими группами против внутренних целей.

BlueShell - это вредоносная программа с бэкдором, которая получает команды с сервера управления.

Функциональность включает удаленное выполнение команд, загрузку файлов и прокси-сервер Socks5.

BlueShell использует шифрование TLS, чтобы избежать обнаружения сети.

Данные конфигурации (IP-адрес сервера C&C, номер порта, время ожидания) обычно жестко закодированы, но вместо этого при недавних атаках декодируются из переменных окружения.

Имя хоста системы Linux используется для определения условий работы.

C&C-адрес BlueShell и информация о целевой системе содержатся в дроппере, который запускает вредоносную программу.

Новый дроппер под названием "top dropper" маскируется под команду Linux id и устанавливает как BlueShell dropper, так и вредоносное ПО с бэкдором.

Злоумышленник изменил двоичный файл команды id для сохранения.

Злоумышленник часто оставляет информацию о пути к исходному коду в двоичных файлах BlueShell, раскрывая свой рабочий путь.

С 2022 года в атаках использовались многочисленные экземпляры настроенной вредоносной программы BlueShell, в основном нацеленной на Южную Корею.

Поддержание систем в актуальном состоянии и использование обновленного антивирусного программного обеспечения имеет решающее значение для предотвращения заражения вредоносными программами.