CTT Report Hub
3.39K subscribers
9.56K photos
6 videos
67 files
13.2K links
Threat Intelligence Report Hub
Download Telegram
CTT Report Hub
#ParsedReport #CompletenessLow 05-02-2024 (APT)KimsukyDropbox. [Advanced Persistent Threat (APT)\] Kimsuky organization uses Dropbox cloud to conduct operational analysis https://mp-weixin-qq-com.translate.goog/s?__biz=Mzg2NjgzNjA5NQ==&mid=2247522061&id…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что организация Kimsuky APT, базирующаяся на Корейском полуострове, подозревается в причастности к крупномасштабному кибершпионажу, направленному против южнокорейских военных аналитических центров, правительственных учреждений и исследовательских институтов, связанных с Северной Кореей. Для осуществления своих атак они используют различные тактические приемы, такие как файлы HWP, файлы Lnk, исполняемые файлы и вредоносные макродокументы. Кимсуки был связан с организациями Lazarus, Konni и ScarCruft (Group123). В недавнем инциденте они использовали вредоносный файл LNK, замаскированный под PDF, для доставки последующей полезной нагрузки. Целью атаки была предполагаемая цифровая валюта/финансовая сфера. Kimsuky также использует команды без файлов и облачные сервисы для связи.
-----

Организация Kimsuky APT, расположенная на Корейском полуострове, подозревается в причастности к крупномасштабному кибершпионажу. В первую очередь она нацелена на южнокорейские военные аналитические центры, правительственные учреждения и исследовательские институты, связанные с Северной Кореей. Организация использует различные тактики, включая использование файлов HWP, файлов Lnk, исполняемых файлов и вредоносных макродокументов, для осуществления своих атак.

Зарубежные исследователи связывают Кимсуки с организациями Lazarus и Konni из-за сходства в истории и совпадения инфраструктуры с организацией ScarCruft (Group123). В недавнем инциденте Kimsuky отправил вредоносный файл LNK, замаскированный под PDF, своей цели, доставив последующую полезную нагрузку. Файл был назван "-100(2)" и переведен как "Конспекты лекций по трейдингу Spartacus" - 100 долларов (второй выпуск), что указывает на предполагаемую цель, связанную с цифровой валютой/финансовой сферой.

За тот же период было обнаружено множество подозрительных документов, связанных с правительством, дипломатией, СМИ и финансированием в цифровой валюте. Специфика одного вредоносного файла LNK в этом инциденте показала, что в нем использовались команды PowerShell с несколькими пробелами в качестве заголовка, что затрудняло пользователям обнаружение любого подозрительного поведения. Кроме того, исследователи обнаружили связанный пакет образцов атакующей активности, связанный с URL-адресом "http://122.155.191.33/temp/clientx64.bin", который, как было подтверждено, является компонентом дистанционного управления с открытым исходным кодом "xeno-rat".

Загруженная последующая полезная нагрузка "info_ps.bin" представляла собой сценарий PowerShell, предназначенный для сбора базовой информации о целевой машине. Сравнив структуру URL, выполняемые компоненты и другие факторы, исследователи пришли к выводу, что это действие было инициировано организацией Kimsuky. В то время как Kimsuky обычно использует файлы Lnk в качестве исходного вектора атаки, для выполнения своих задач он использует команды без файлов, такие как VBS и PowerShell. Примечательно, что этот инцидент также выявил использование облачных сервисов для связи, метод, который часто ассоциируется с организацией Group123 (ScarCruft).
#ParsedReport #CompletenessLow
05-02-2024

RAT malware being distributed disguised as gambling-related content

https://asec.ahnlab.com/ko/61250

Report completeness: Low

Threats:
Trojan/win.pwsx-gen
Vbkrypt

IOCs:
Hash: 9
Url: 1
IP: 2

Algorithms:
md5

Languages:
powershell
#ParsedReport #CompletenessMedium
05-02-2024

Smargaft Harnesses EtherHiding for Stealthy C2 Hosting. Background

https://blog.xlab.qianxin.com/smargaft_abusing_binance-smart-contracts_en

Report completeness: Medium

Threats:
Smargaft
Etherhiding_technique
Mirai
Bashlite
Upx_tool
Minix
Netstat_tool

Victims:
China, Poland, Usa, Germany, France

Industry:
Financial

Geo:
Usa, China, Poland, Russian, Germany, France

CVEs:
CVE-2013-5948 [Vulners]
CVSS V3.1: 8.5,
Vulners: Exploitation: Unknown
X-Force: Risk: 9.3
X-Force: Patch: Official fix
Soft:
- t-mobile tm-ac1900 (3.0.0.4.376_3169)
- asus rt-ac68u firmware (3.0.0.4.374.4755, 3.0.0.4.374_4561, 3.0.0.4.374_4887)
- asus rt-ac68u (-)

CVE-2021-41653 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Unavailable
Soft:
- tp-link tl-wr840n firmware (letl-wr840n\(eu\)_v5_171211)

CVE-2020-8515 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Unavailable
Soft:
- draytek vigor2960 firmware (1.3.1)
- draytek vigor300b firmware (1.3.3, 1.4.2.1, 1.4.4)
- draytek vigor3900 firmware (1.4.4)

CVE-2021-45653 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: Unknown
X-Force: Risk: 3.9
X-Force: Patch: Official fix
Soft:
- netgear rbk352 firmware (<4.4.0.10)
- netgear rbr350 firmware (<4.4.0.10)
- netgear rbs350 firmware (<4.4.0.10)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1190, T1059.004, T1001.003, T1547.001, T1203, T1016, T1090.003

IOCs:
Coin: 2
File: 2
IP: 1

Crypto:
binance, ethereum

Algorithms:
md5

Functions:
of

Languages:
javascript

Platforms:
x64, mips, arm, x86

Links:
https://github.com/mcw0/PoC/blob/master/TVT-PoC.py?ref=blog.xlab.qianxin.com
CTT Report Hub
#ParsedReport #CompletenessMedium 05-02-2024 Smargaft Harnesses EtherHiding for Stealthy C2 Hosting. Background https://blog.xlab.qianxin.com/smargaft_abusing_binance-smart-contracts_en Report completeness: Medium Threats: Smargaft Etherhiding_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что был обнаружен новый ботнет под названием Smargaft, который использует смарт-цепочку Binance в качестве своего командно-контрольного сервера и использует преимущества технологии блокчейн. Smargaft специализируется на DDoS-атаках, выполнении системных команд и анонимных подключениях пользователей через прокси-сервер socks5. Это создает новую проблему для специалистов по кибербезопасности из-за использования смарт-контрактов и блокчейна для управления C2. Было замечено, что ботнет нацелен на устройства с различными архитектурами процессоров по всему миру, особенно в Китае, Польше, США, Германии и Франции. В статье подчеркивается необходимость усиленной идентификации и предотвращения возникающих киберугроз, таких как Smargaft, и поощряется сотрудничество в разработке эффективных стратегий борьбы с ними.
-----

Исследовательская группа по кибербезопасности XLab обнаружила новый ботнет под названием Smargaft.

Smargaft использует методы атаки, аналогичные ботнетам Mirai и Gafgyt, но сконструирован по-другому.

Smargaft использует Binance Smart Chain (BSC) в качестве своего сервера управления (C2) и распространяется с помощью сценариев оболочки.

Поставщики антивирусов ошибочно пометили Smargaft как Mirai, но он отличается от других и использует смарт-контракты Binance Smart Chain для своей инфраструктуры C2.

Smargaft специализируется на DDoS-атаках, выполнении системных команд и анонимных подключениях пользователей через socks5 proxy.

Он использует преимущества технологии блокчейн, в частности EtherHiding, для своего хостинга C2.

Использование смарт-контрактов и блокчейна для управления C2 представляет собой новую задачу для специалистов по кибербезопасности.

Binance Smart Chain - это блокчейн-платформа, аналогичная Ethereum, предназначенная для dApps и смарт-контрактов.

Smargaft использует смарт-контракты в смарт-цепочке Binance для хранения информации, связанной с C2, что затрудняет их запрет или удаление непосредственно из блокчейна.

Контрактный адрес ботнета Smargaft - 0xdf2208d4902aa1ec9a0957132ca86a4e1d40455b, и считается, что автор - россиянин.

Smargaft распространяется, используя известные уязвимости, и распространяет загрузчик для внедрения образца бота на целевые устройства.

Smargaft ориентирован на устройства с различными архитектурами процессоров, включая ARM, MIPS и X86/64.

Атаки Smargaft носят глобальный характер и не привязаны к какому-либо региону, при этом наиболее пострадавшими районами являются Китай, Польша, США, Германия и Франция.

Одновременные атаки несколькими ботнетами предполагают существование платформы DDoS, объединяющей различные ботнеты.

В статье обсуждаются технические детали, касающиеся реализации Smargaft, включая использование протокола JSON RPC, шифрование и дешифрование информации C2, стратегии сканирования и заражения, а также конкретные методы, используемые ботнетом.

XLab призывает к бдительности, усиленной идентификации и предотвращению возникающих киберугроз, таких как Smargaft.
#ParsedReport #CompletenessHigh
05-02-2024

Kimsuky APT-Q-2. Kimsuky (APT-Q-2) secret theft operation disguised as software installation package

https://mp-weixin-qq-com.translate.goog/s?__biz=MzI2MDc2MDA4OA==&mid=2247509476&idx=1&sn=b0e09436095203b75710836d718d6699&chksm=eb3f7f9b7c2d9f7c2100ae4042ca2b6f455b7861453a14de70bdbb63aa85497ffa8a414a5ebc&scene=132&_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=en-US&_x_tr_pto=wapp

Report completeness: High

Actors/Campaigns:
Kimsuky

Threats:
Watering_hole_technique
Harpoon
Vmprotect_tool

Victims:
South korean national defense, Education, Energy, Government, Medical, Think tanks

Industry:
Government, Healthcare, Education, Energy

Geo:
Asia, Asian, Korean, Korea

ChatGPT TTPs:
do not use without manual check
T1204, T1566, T1189, T1204, T1064, T1134, T1059.003, T1053, T1140, T1045, have more...

IOCs:
Hash: 11
File: 8
Command: 1
Email: 8
Registry: 1
Domain: 1
Url: 7

Soft:
WeChat, Android

Algorithms:
base64, xor-cbc, md5, zip, sha512

Languages:
powershell

Platforms:
x86
CTT Report Hub
#ParsedReport #CompletenessHigh 05-02-2024 Kimsuky APT-Q-2. Kimsuky (APT-Q-2) secret theft operation disguised as software installation package https://mp-weixin-qq-com.translate.goog/s?__biz=MzI2MDc2MDA4OA==&mid=2247509476&idx=1&sn=b0e09436095203b75710…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Kimsuky, организация Advanced Persistent Threat (APT), проводит кибератаки, нацеленные в первую очередь на Южную Корею. Они используют различные тактики, такие как социальная инженерия и распространение вредоносного ПО через пакеты установки законного программного обеспечения. Вредоносная программа, известная как TrollAgent, собирает конфиденциальную информацию с зараженных устройств и отправляет ее на сервер управления (C&C). Программа-бэкдор, связанная с Kimsuky, обладает аналогичным кодом и возможностями самоудаления. Пользователям важно быть осторожными с фишинговыми атаками и регулярно обновлять свои системы для защиты от действий Kimsuky.
-----

Kimsuky - это организация APT, нацеленная на Южную Корею.

Они сосредоточены на таких секторах, как национальная оборона, образование, энергетика, правительство, медицинское обслуживание и аналитические центры.

Kimsuky использует социальную инженерию, электронные письма harpoon и атаки на водопой для распространения вредоносных программ.

Их методы атаки нацелены как на платформы Windows, так и на Android.

Они маскируют образцы атак под программы установки продуктов корейской компании-разработчика программного обеспечения.

Вредоносная программа собирает информацию с зараженных устройств и отправляет ее обратно злоумышленникам, прежде чем стереть доказательства атаки.

Анализ выявляет связи между образцами атак и другой вредоносной программой, используемой в качестве бэкдора.

Программа бэкдора работает как одиночная и взаимодействует с сервером управления (C&C).

Как программное обеспечение для кражи секретов, так и бэкдор обладают возможностями перекрытия кода и самоудаления.

Кимсуки использует сложную тактику, чтобы избежать обнаружения и помешать анализу.

Пользователям следует остерегаться фишинговых атак, избегать подозрительных ссылок и вложений электронной почты, а также регулярно обновлять свои системы и создавать резервные копии важных файлов.
#ParsedReport #CompletenessLow
05-02-2024

BlueShell malware used to attack domestic Linux systems (2)

https://asec.ahnlab.com/ko/61293

Report completeness: Low

Actors/Campaigns:
Dalbit

Threats:
Blueshell

Geo:
Thailand, Chinese, Korea

ChatGPT TTPs:
do not use without manual check
T1016, T1059, T1083, T1071, T1213, T1022, T1485, T1219

IOCs:
File: 1
Hash: 12
IP: 2

Algorithms:
base64, xor, md5

Functions:
ReadMe, init
CTT Report Hub
#ParsedReport #CompletenessLow 05-02-2024 BlueShell malware used to attack domestic Linux systems (2) https://asec.ahnlab.com/ko/61293 Report completeness: Low Actors/Campaigns: Dalbit Threats: Blueshell Geo: Thailand, Chinese, Korea ChatGPT TTPs: do…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что вредоносная программа BlueShell использовалась в целевых атаках на системы Linux в Таиланде и Корее. Злоумышленник настроил BlueShell для работы только на определенных системах и продолжает создавать новые варианты вредоносного ПО. BlueShell - это вредоносная программа с бэкдором, которая может получать команды с сервера управления и выполнять вредоносные действия в зараженных системах. Вредоносная программа использует данные конфигурации, включая IP-адрес, номер порта и время ожидания. Настроенный вариант BlueShell не раскрывает командно-контрольный адрес или целевую систему, поскольку эта информация содержится в дроппере, который запускает вредоносное ПО. Была обнаружена новая вредоносная программа-дроппер под названием "top dropper", которая маскируется под команду Linux id и устанавливает как BlueShell dropper, так и бэкдор-вредоносное ПО. В блоге подчеркивается важность проверки уязвимостей, поддержания систем в актуальном состоянии и использования современного антивирусного программного обеспечения для предотвращения подобных угроз безопасности.
-----

Вредоносная программа BlueShell нацелена на системы Linux в Таиланде и Корее.

Вредоносная программа настроена для работы в определенных системах.

Злоумышленник продолжает создавать вариации вредоносного ПО BlueShell после публикации в блоге.

Вредоносная программа разработана на языке Go и поддерживает системы Windows, Linux и Mac.

Файл ReadMe указывает на китайского создателя.

BlueShell используется несколькими атакующими группами против внутренних целей.

BlueShell - это вредоносная программа с бэкдором, которая получает команды с сервера управления.

Функциональность включает удаленное выполнение команд, загрузку файлов и прокси-сервер Socks5.

BlueShell использует шифрование TLS, чтобы избежать обнаружения сети.

Данные конфигурации (IP-адрес сервера C&C, номер порта, время ожидания) обычно жестко закодированы, но вместо этого при недавних атаках декодируются из переменных окружения.

Имя хоста системы Linux используется для определения условий работы.

C&C-адрес BlueShell и информация о целевой системе содержатся в дроппере, который запускает вредоносную программу.

Новый дроппер под названием "top dropper" маскируется под команду Linux id и устанавливает как BlueShell dropper, так и вредоносное ПО с бэкдором.

Злоумышленник изменил двоичный файл команды id для сохранения.

Злоумышленник часто оставляет информацию о пути к исходному коду в двоичных файлах BlueShell, раскрывая свой рабочий путь.

С 2022 года в атаках использовались многочисленные экземпляры настроенной вредоносной программы BlueShell, в основном нацеленной на Южную Корею.

Поддержание систем в актуальном состоянии и использование обновленного антивирусного программного обеспечения имеет решающее значение для предотвращения заражения вредоносными программами.
Channel photo updated
#ParsedReport #CompletenessMedium
06-02-2024

Python Info-stealer Distributed by Malicious Excel Document

https://www.fortinet.com/blog/threat-research/python-info-stealer-malicious-excel-document

Report completeness: Medium

Threats:
Abobus_tool
Pyobfuscate_tool
Xworm_rat
Venomrat
Redline_stealer

Geo:
Vietnamese

ChatGPT TTPs:
do not use without manual check
T1193, T1140, T1204, T1064, T1070, T1086, T1486, T1485

IOCs:
File: 5
Registry: 1
IP: 5
Hash: 12

Soft:
Chrome, telegram

Algorithms:
zip, base64

Languages:
powershell, python
CTT Report Hub
#ParsedReport #CompletenessMedium 06-02-2024 Python Info-stealer Distributed by Malicious Excel Document https://www.fortinet.com/blog/threat-research/python-info-stealer-malicious-excel-document Report completeness: Medium Threats: Abobus_tool Pyobfuscate_tool…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что FortiGuard Labs обнаружила программу-похититель информации в документе Excel, связанном с хакерской группой из Вьетнама. В статье подробно рассказывается об этапах атаки, целевых браузерах и наличии других связанных вредоносных кампаний. Хакеры используют простые загрузчики и эксплуатируют открытые платформы для распространения вредоносного ПО, оставляя "хлебные крошки" для идентификации.
-----

В январе 2024 года FortiGuard Labs обнаружила документ Excel, содержащий программу для кражи информации. Атака была связана с базирующейся во Вьетнаме группой, о которой ранее сообщалось в августе и сентябре 2023 года. В этой статье дается представление о различных этапах атаки и проливается свет на основную кампанию вредоносного ПО.

Начальный этап включает в себя документ Excel со скриптом VBA, который выполняет команду PowerShell для загрузки файла Windows Update.bat из filebin.net. Для облегчения правильного выполнения запутанного script.py загружаются дополнительные модули в виде Document.zip.

В отличие от предыдущей версии этого похитителя информации, о которой сообщалось в августе 2023 года, текущая script.py фокусируется только на сборе файлов cookie и данных для входа в систему из различных браузеров. Он ориентирован на широкий спектр браузеров, включая популярные, такие как Chrome и Edge, а также браузеры, специфичные для местного вьетнамского рынка, такие как Cc Cc browser.

Более того, помимо файлов, используемых в качестве переносчиков инфекции, несколько других файлов имеют общие характеристики с этой кампанией. К ним относятся запутанные пакетные файлы и файлы VBScript, которые выполняют код PowerShell, аналогичный файлам Windows Update.bat и test.vbs. Эти дополнительные загрузчики привели к обнаружению большего количества репозиториев, связанных с хакерской группой. Некоторые из этих репозиториев также содержали вредоносное ПО, используемое в других кампаниях, таких как XWorm, VenomRat, RedLine и другие.

Хотя конкретный файл, упомянутый на рисунке 10, получить не удалось, его название дало ключ к использованию файлов cookie в качестве приманки. Кроме того, был найден другой документ Word, который содержал файлы cookie Facebook и вредоносный макрос в истории чата. Полезной нагрузкой в данном случае был XWorm, и его варианты также были идентифицированы в репозиториях GitHub, упомянутых в разделе "Злоупотребляемые открытые платформы".

Злоумышленники, стоящие за этой кампанией, используют стратегию использования простых загрузчиков и открытых платформ, чтобы избежать обнаружения. Однако эта тактика непреднамеренно дает "хлебные крошки" для идентификации хакерской группы. Информация, извлеченная из файлов, выявила существование других файлов, используемых в связанных кампаниях, а также платформ социальных сетей, используемых для распространения вредоносных программ. Такие платформы не только обеспечивают удобство для пользователей, но и часто используются злоумышленниками.
#ParsedReport #CompletenessLow
06-02-2024

Dark Web Profile: CyberNiggers

https://socradar.io/dark-web-profile-cyberniggers

Report completeness: Low

Actors/Campaigns:
Cyberniggers (motivation: financially_motivated, hacktivism)

Threats:
Credential_dumping_technique

Industry:
Aerospace, Financial, Energy, Military, Government

Geo:
Serbian, Turkey, Africa, Russia, India, Russian

TTPs:
Tactics: 12
Technics: 12

Soft:
MSSQL

Algorithms:
exhibit