CTT Report Hub
3.39K subscribers
9.56K photos
6 videos
67 files
13.2K links
Threat Intelligence Report Hub
Download Telegram
#ParsedReport #CompletenessLow
05-02-2024

(APT)KimsukyDropbox. [Advanced Persistent Threat (APT)\] Kimsuky organization uses Dropbox cloud to conduct operational analysis

https://mp-weixin-qq-com.translate.goog/s?__biz=Mzg2NjgzNjA5NQ==&mid=2247522061&idx=1&sn=22e56ee213d9e5229371ad3e082ebfab&chksm=ce461c1df931950b245134a250b6bf4bea489d75b556cb450548569c0c6d50d3bacc00a8efe0&scene=178&cur_album_id=2867627575890837505&_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=en-US&_x_tr_pto=wapp#rd

Report completeness: Low

Actors/Campaigns:
Kimsuky (motivation: cyber_criminal, cyber_espionage)
Scarcruft
Lazarus

Threats:
Xenorat

Victims:
South korean government agencies, Sejong institute, Korean ministry of foreign affairs, Korean institute for defense analysis (kida), Korean ministry of unification, North korea-related research fields, People related to the digital currency/financial field

Industry:
Financial, Government, Military

Geo:
Korea, Korean

ChatGPT TTPs:
do not use without manual check
T1566, T1566.001, T1492, T1105, T1059.003, T1059.001, T1048, T1071.001, T1132.001, T1090.003, have more...

IOCs:
Hash: 16
File: 9
Path: 1
IP: 1

Soft:
WeChat

Algorithms:
sha256, md5

Languages:
php, powershell
CTT Report Hub
#ParsedReport #CompletenessLow 05-02-2024 (APT)KimsukyDropbox. [Advanced Persistent Threat (APT)\] Kimsuky organization uses Dropbox cloud to conduct operational analysis https://mp-weixin-qq-com.translate.goog/s?__biz=Mzg2NjgzNjA5NQ==&mid=2247522061&id…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что организация Kimsuky APT, базирующаяся на Корейском полуострове, подозревается в причастности к крупномасштабному кибершпионажу, направленному против южнокорейских военных аналитических центров, правительственных учреждений и исследовательских институтов, связанных с Северной Кореей. Для осуществления своих атак они используют различные тактические приемы, такие как файлы HWP, файлы Lnk, исполняемые файлы и вредоносные макродокументы. Кимсуки был связан с организациями Lazarus, Konni и ScarCruft (Group123). В недавнем инциденте они использовали вредоносный файл LNK, замаскированный под PDF, для доставки последующей полезной нагрузки. Целью атаки была предполагаемая цифровая валюта/финансовая сфера. Kimsuky также использует команды без файлов и облачные сервисы для связи.
-----

Организация Kimsuky APT, расположенная на Корейском полуострове, подозревается в причастности к крупномасштабному кибершпионажу. В первую очередь она нацелена на южнокорейские военные аналитические центры, правительственные учреждения и исследовательские институты, связанные с Северной Кореей. Организация использует различные тактики, включая использование файлов HWP, файлов Lnk, исполняемых файлов и вредоносных макродокументов, для осуществления своих атак.

Зарубежные исследователи связывают Кимсуки с организациями Lazarus и Konni из-за сходства в истории и совпадения инфраструктуры с организацией ScarCruft (Group123). В недавнем инциденте Kimsuky отправил вредоносный файл LNK, замаскированный под PDF, своей цели, доставив последующую полезную нагрузку. Файл был назван "-100(2)" и переведен как "Конспекты лекций по трейдингу Spartacus" - 100 долларов (второй выпуск), что указывает на предполагаемую цель, связанную с цифровой валютой/финансовой сферой.

За тот же период было обнаружено множество подозрительных документов, связанных с правительством, дипломатией, СМИ и финансированием в цифровой валюте. Специфика одного вредоносного файла LNK в этом инциденте показала, что в нем использовались команды PowerShell с несколькими пробелами в качестве заголовка, что затрудняло пользователям обнаружение любого подозрительного поведения. Кроме того, исследователи обнаружили связанный пакет образцов атакующей активности, связанный с URL-адресом "http://122.155.191.33/temp/clientx64.bin", который, как было подтверждено, является компонентом дистанционного управления с открытым исходным кодом "xeno-rat".

Загруженная последующая полезная нагрузка "info_ps.bin" представляла собой сценарий PowerShell, предназначенный для сбора базовой информации о целевой машине. Сравнив структуру URL, выполняемые компоненты и другие факторы, исследователи пришли к выводу, что это действие было инициировано организацией Kimsuky. В то время как Kimsuky обычно использует файлы Lnk в качестве исходного вектора атаки, для выполнения своих задач он использует команды без файлов, такие как VBS и PowerShell. Примечательно, что этот инцидент также выявил использование облачных сервисов для связи, метод, который часто ассоциируется с организацией Group123 (ScarCruft).
#ParsedReport #CompletenessLow
05-02-2024

RAT malware being distributed disguised as gambling-related content

https://asec.ahnlab.com/ko/61250

Report completeness: Low

Threats:
Trojan/win.pwsx-gen
Vbkrypt

IOCs:
Hash: 9
Url: 1
IP: 2

Algorithms:
md5

Languages:
powershell
#ParsedReport #CompletenessMedium
05-02-2024

Smargaft Harnesses EtherHiding for Stealthy C2 Hosting. Background

https://blog.xlab.qianxin.com/smargaft_abusing_binance-smart-contracts_en

Report completeness: Medium

Threats:
Smargaft
Etherhiding_technique
Mirai
Bashlite
Upx_tool
Minix
Netstat_tool

Victims:
China, Poland, Usa, Germany, France

Industry:
Financial

Geo:
Usa, China, Poland, Russian, Germany, France

CVEs:
CVE-2013-5948 [Vulners]
CVSS V3.1: 8.5,
Vulners: Exploitation: Unknown
X-Force: Risk: 9.3
X-Force: Patch: Official fix
Soft:
- t-mobile tm-ac1900 (3.0.0.4.376_3169)
- asus rt-ac68u firmware (3.0.0.4.374.4755, 3.0.0.4.374_4561, 3.0.0.4.374_4887)
- asus rt-ac68u (-)

CVE-2021-41653 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Unavailable
Soft:
- tp-link tl-wr840n firmware (letl-wr840n\(eu\)_v5_171211)

CVE-2020-8515 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Unavailable
Soft:
- draytek vigor2960 firmware (1.3.1)
- draytek vigor300b firmware (1.3.3, 1.4.2.1, 1.4.4)
- draytek vigor3900 firmware (1.4.4)

CVE-2021-45653 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: Unknown
X-Force: Risk: 3.9
X-Force: Patch: Official fix
Soft:
- netgear rbk352 firmware (<4.4.0.10)
- netgear rbr350 firmware (<4.4.0.10)
- netgear rbs350 firmware (<4.4.0.10)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1190, T1059.004, T1001.003, T1547.001, T1203, T1016, T1090.003

IOCs:
Coin: 2
File: 2
IP: 1

Crypto:
binance, ethereum

Algorithms:
md5

Functions:
of

Languages:
javascript

Platforms:
x64, mips, arm, x86

Links:
https://github.com/mcw0/PoC/blob/master/TVT-PoC.py?ref=blog.xlab.qianxin.com
CTT Report Hub
#ParsedReport #CompletenessMedium 05-02-2024 Smargaft Harnesses EtherHiding for Stealthy C2 Hosting. Background https://blog.xlab.qianxin.com/smargaft_abusing_binance-smart-contracts_en Report completeness: Medium Threats: Smargaft Etherhiding_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что был обнаружен новый ботнет под названием Smargaft, который использует смарт-цепочку Binance в качестве своего командно-контрольного сервера и использует преимущества технологии блокчейн. Smargaft специализируется на DDoS-атаках, выполнении системных команд и анонимных подключениях пользователей через прокси-сервер socks5. Это создает новую проблему для специалистов по кибербезопасности из-за использования смарт-контрактов и блокчейна для управления C2. Было замечено, что ботнет нацелен на устройства с различными архитектурами процессоров по всему миру, особенно в Китае, Польше, США, Германии и Франции. В статье подчеркивается необходимость усиленной идентификации и предотвращения возникающих киберугроз, таких как Smargaft, и поощряется сотрудничество в разработке эффективных стратегий борьбы с ними.
-----

Исследовательская группа по кибербезопасности XLab обнаружила новый ботнет под названием Smargaft.

Smargaft использует методы атаки, аналогичные ботнетам Mirai и Gafgyt, но сконструирован по-другому.

Smargaft использует Binance Smart Chain (BSC) в качестве своего сервера управления (C2) и распространяется с помощью сценариев оболочки.

Поставщики антивирусов ошибочно пометили Smargaft как Mirai, но он отличается от других и использует смарт-контракты Binance Smart Chain для своей инфраструктуры C2.

Smargaft специализируется на DDoS-атаках, выполнении системных команд и анонимных подключениях пользователей через socks5 proxy.

Он использует преимущества технологии блокчейн, в частности EtherHiding, для своего хостинга C2.

Использование смарт-контрактов и блокчейна для управления C2 представляет собой новую задачу для специалистов по кибербезопасности.

Binance Smart Chain - это блокчейн-платформа, аналогичная Ethereum, предназначенная для dApps и смарт-контрактов.

Smargaft использует смарт-контракты в смарт-цепочке Binance для хранения информации, связанной с C2, что затрудняет их запрет или удаление непосредственно из блокчейна.

Контрактный адрес ботнета Smargaft - 0xdf2208d4902aa1ec9a0957132ca86a4e1d40455b, и считается, что автор - россиянин.

Smargaft распространяется, используя известные уязвимости, и распространяет загрузчик для внедрения образца бота на целевые устройства.

Smargaft ориентирован на устройства с различными архитектурами процессоров, включая ARM, MIPS и X86/64.

Атаки Smargaft носят глобальный характер и не привязаны к какому-либо региону, при этом наиболее пострадавшими районами являются Китай, Польша, США, Германия и Франция.

Одновременные атаки несколькими ботнетами предполагают существование платформы DDoS, объединяющей различные ботнеты.

В статье обсуждаются технические детали, касающиеся реализации Smargaft, включая использование протокола JSON RPC, шифрование и дешифрование информации C2, стратегии сканирования и заражения, а также конкретные методы, используемые ботнетом.

XLab призывает к бдительности, усиленной идентификации и предотвращению возникающих киберугроз, таких как Smargaft.
#ParsedReport #CompletenessHigh
05-02-2024

Kimsuky APT-Q-2. Kimsuky (APT-Q-2) secret theft operation disguised as software installation package

https://mp-weixin-qq-com.translate.goog/s?__biz=MzI2MDc2MDA4OA==&mid=2247509476&idx=1&sn=b0e09436095203b75710836d718d6699&chksm=eb3f7f9b7c2d9f7c2100ae4042ca2b6f455b7861453a14de70bdbb63aa85497ffa8a414a5ebc&scene=132&_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=en-US&_x_tr_pto=wapp

Report completeness: High

Actors/Campaigns:
Kimsuky

Threats:
Watering_hole_technique
Harpoon
Vmprotect_tool

Victims:
South korean national defense, Education, Energy, Government, Medical, Think tanks

Industry:
Government, Healthcare, Education, Energy

Geo:
Asia, Asian, Korean, Korea

ChatGPT TTPs:
do not use without manual check
T1204, T1566, T1189, T1204, T1064, T1134, T1059.003, T1053, T1140, T1045, have more...

IOCs:
Hash: 11
File: 8
Command: 1
Email: 8
Registry: 1
Domain: 1
Url: 7

Soft:
WeChat, Android

Algorithms:
base64, xor-cbc, md5, zip, sha512

Languages:
powershell

Platforms:
x86
CTT Report Hub
#ParsedReport #CompletenessHigh 05-02-2024 Kimsuky APT-Q-2. Kimsuky (APT-Q-2) secret theft operation disguised as software installation package https://mp-weixin-qq-com.translate.goog/s?__biz=MzI2MDc2MDA4OA==&mid=2247509476&idx=1&sn=b0e09436095203b75710…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Kimsuky, организация Advanced Persistent Threat (APT), проводит кибератаки, нацеленные в первую очередь на Южную Корею. Они используют различные тактики, такие как социальная инженерия и распространение вредоносного ПО через пакеты установки законного программного обеспечения. Вредоносная программа, известная как TrollAgent, собирает конфиденциальную информацию с зараженных устройств и отправляет ее на сервер управления (C&C). Программа-бэкдор, связанная с Kimsuky, обладает аналогичным кодом и возможностями самоудаления. Пользователям важно быть осторожными с фишинговыми атаками и регулярно обновлять свои системы для защиты от действий Kimsuky.
-----

Kimsuky - это организация APT, нацеленная на Южную Корею.

Они сосредоточены на таких секторах, как национальная оборона, образование, энергетика, правительство, медицинское обслуживание и аналитические центры.

Kimsuky использует социальную инженерию, электронные письма harpoon и атаки на водопой для распространения вредоносных программ.

Их методы атаки нацелены как на платформы Windows, так и на Android.

Они маскируют образцы атак под программы установки продуктов корейской компании-разработчика программного обеспечения.

Вредоносная программа собирает информацию с зараженных устройств и отправляет ее обратно злоумышленникам, прежде чем стереть доказательства атаки.

Анализ выявляет связи между образцами атак и другой вредоносной программой, используемой в качестве бэкдора.

Программа бэкдора работает как одиночная и взаимодействует с сервером управления (C&C).

Как программное обеспечение для кражи секретов, так и бэкдор обладают возможностями перекрытия кода и самоудаления.

Кимсуки использует сложную тактику, чтобы избежать обнаружения и помешать анализу.

Пользователям следует остерегаться фишинговых атак, избегать подозрительных ссылок и вложений электронной почты, а также регулярно обновлять свои системы и создавать резервные копии важных файлов.
#ParsedReport #CompletenessLow
05-02-2024

BlueShell malware used to attack domestic Linux systems (2)

https://asec.ahnlab.com/ko/61293

Report completeness: Low

Actors/Campaigns:
Dalbit

Threats:
Blueshell

Geo:
Thailand, Chinese, Korea

ChatGPT TTPs:
do not use without manual check
T1016, T1059, T1083, T1071, T1213, T1022, T1485, T1219

IOCs:
File: 1
Hash: 12
IP: 2

Algorithms:
base64, xor, md5

Functions:
ReadMe, init
CTT Report Hub
#ParsedReport #CompletenessLow 05-02-2024 BlueShell malware used to attack domestic Linux systems (2) https://asec.ahnlab.com/ko/61293 Report completeness: Low Actors/Campaigns: Dalbit Threats: Blueshell Geo: Thailand, Chinese, Korea ChatGPT TTPs: do…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что вредоносная программа BlueShell использовалась в целевых атаках на системы Linux в Таиланде и Корее. Злоумышленник настроил BlueShell для работы только на определенных системах и продолжает создавать новые варианты вредоносного ПО. BlueShell - это вредоносная программа с бэкдором, которая может получать команды с сервера управления и выполнять вредоносные действия в зараженных системах. Вредоносная программа использует данные конфигурации, включая IP-адрес, номер порта и время ожидания. Настроенный вариант BlueShell не раскрывает командно-контрольный адрес или целевую систему, поскольку эта информация содержится в дроппере, который запускает вредоносное ПО. Была обнаружена новая вредоносная программа-дроппер под названием "top dropper", которая маскируется под команду Linux id и устанавливает как BlueShell dropper, так и бэкдор-вредоносное ПО. В блоге подчеркивается важность проверки уязвимостей, поддержания систем в актуальном состоянии и использования современного антивирусного программного обеспечения для предотвращения подобных угроз безопасности.
-----

Вредоносная программа BlueShell нацелена на системы Linux в Таиланде и Корее.

Вредоносная программа настроена для работы в определенных системах.

Злоумышленник продолжает создавать вариации вредоносного ПО BlueShell после публикации в блоге.

Вредоносная программа разработана на языке Go и поддерживает системы Windows, Linux и Mac.

Файл ReadMe указывает на китайского создателя.

BlueShell используется несколькими атакующими группами против внутренних целей.

BlueShell - это вредоносная программа с бэкдором, которая получает команды с сервера управления.

Функциональность включает удаленное выполнение команд, загрузку файлов и прокси-сервер Socks5.

BlueShell использует шифрование TLS, чтобы избежать обнаружения сети.

Данные конфигурации (IP-адрес сервера C&C, номер порта, время ожидания) обычно жестко закодированы, но вместо этого при недавних атаках декодируются из переменных окружения.

Имя хоста системы Linux используется для определения условий работы.

C&C-адрес BlueShell и информация о целевой системе содержатся в дроппере, который запускает вредоносную программу.

Новый дроппер под названием "top dropper" маскируется под команду Linux id и устанавливает как BlueShell dropper, так и вредоносное ПО с бэкдором.

Злоумышленник изменил двоичный файл команды id для сохранения.

Злоумышленник часто оставляет информацию о пути к исходному коду в двоичных файлах BlueShell, раскрывая свой рабочий путь.

С 2022 года в атаках использовались многочисленные экземпляры настроенной вредоносной программы BlueShell, в основном нацеленной на Южную Корею.

Поддержание систем в актуальном состоянии и использование обновленного антивирусного программного обеспечения имеет решающее значение для предотвращения заражения вредоносными программами.
Channel photo updated
#ParsedReport #CompletenessMedium
06-02-2024

Python Info-stealer Distributed by Malicious Excel Document

https://www.fortinet.com/blog/threat-research/python-info-stealer-malicious-excel-document

Report completeness: Medium

Threats:
Abobus_tool
Pyobfuscate_tool
Xworm_rat
Venomrat
Redline_stealer

Geo:
Vietnamese

ChatGPT TTPs:
do not use without manual check
T1193, T1140, T1204, T1064, T1070, T1086, T1486, T1485

IOCs:
File: 5
Registry: 1
IP: 5
Hash: 12

Soft:
Chrome, telegram

Algorithms:
zip, base64

Languages:
powershell, python