#ParsedReport #CompletenessMedium
05-02-2024
Smargaft Harnesses EtherHiding for Stealthy C2 Hosting. Background
https://blog.xlab.qianxin.com/smargaft_abusing_binance-smart-contracts_en
Report completeness: Medium
Threats:
Smargaft
Etherhiding_technique
Mirai
Bashlite
Upx_tool
Minix
Netstat_tool
Victims:
China, Poland, Usa, Germany, France
Industry:
Financial
Geo:
Usa, China, Poland, Russian, Germany, France
CVEs:
CVE-2013-5948 [Vulners]
CVSS V3.1: 8.5,
Vulners: Exploitation: Unknown
X-Force: Risk: 9.3
X-Force: Patch: Official fix
Soft:
- t-mobile tm-ac1900 (3.0.0.4.376_3169)
- asus rt-ac68u firmware (3.0.0.4.374.4755, 3.0.0.4.374_4561, 3.0.0.4.374_4887)
- asus rt-ac68u (-)
CVE-2021-41653 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Unavailable
Soft:
- tp-link tl-wr840n firmware (letl-wr840n\(eu\)_v5_171211)
CVE-2020-8515 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Unavailable
Soft:
- draytek vigor2960 firmware (1.3.1)
- draytek vigor300b firmware (1.3.3, 1.4.2.1, 1.4.4)
- draytek vigor3900 firmware (1.4.4)
CVE-2021-45653 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: Unknown
X-Force: Risk: 3.9
X-Force: Patch: Official fix
Soft:
- netgear rbk352 firmware (<4.4.0.10)
- netgear rbr350 firmware (<4.4.0.10)
- netgear rbs350 firmware (<4.4.0.10)
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1190, T1059.004, T1001.003, T1547.001, T1203, T1016, T1090.003
IOCs:
Coin: 2
File: 2
IP: 1
Crypto:
binance, ethereum
Algorithms:
md5
Functions:
of
Languages:
javascript
Platforms:
x64, mips, arm, x86
Links:
05-02-2024
Smargaft Harnesses EtherHiding for Stealthy C2 Hosting. Background
https://blog.xlab.qianxin.com/smargaft_abusing_binance-smart-contracts_en
Report completeness: Medium
Threats:
Smargaft
Etherhiding_technique
Mirai
Bashlite
Upx_tool
Minix
Netstat_tool
Victims:
China, Poland, Usa, Germany, France
Industry:
Financial
Geo:
Usa, China, Poland, Russian, Germany, France
CVEs:
CVE-2013-5948 [Vulners]
CVSS V3.1: 8.5,
Vulners: Exploitation: Unknown
X-Force: Risk: 9.3
X-Force: Patch: Official fix
Soft:
- t-mobile tm-ac1900 (3.0.0.4.376_3169)
- asus rt-ac68u firmware (3.0.0.4.374.4755, 3.0.0.4.374_4561, 3.0.0.4.374_4887)
- asus rt-ac68u (-)
CVE-2021-41653 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Unavailable
Soft:
- tp-link tl-wr840n firmware (letl-wr840n\(eu\)_v5_171211)
CVE-2020-8515 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Unavailable
Soft:
- draytek vigor2960 firmware (1.3.1)
- draytek vigor300b firmware (1.3.3, 1.4.2.1, 1.4.4)
- draytek vigor3900 firmware (1.4.4)
CVE-2021-45653 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: Unknown
X-Force: Risk: 3.9
X-Force: Patch: Official fix
Soft:
- netgear rbk352 firmware (<4.4.0.10)
- netgear rbr350 firmware (<4.4.0.10)
- netgear rbs350 firmware (<4.4.0.10)
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1190, T1059.004, T1001.003, T1547.001, T1203, T1016, T1090.003
IOCs:
Coin: 2
File: 2
IP: 1
Crypto:
binance, ethereum
Algorithms:
md5
Functions:
of
Languages:
javascript
Platforms:
x64, mips, arm, x86
Links:
https://github.com/mcw0/PoC/blob/master/TVT-PoC.py?ref=blog.xlab.qianxin.com奇安信 X 实验室
Smargaft Harnesses EtherHiding for Stealthy C2 Hosting
The Smargaft botnet hosts its C2 via Binance Smart Contracts, showcasing another instance of EtherHiding.
Various signs indicate that the new dark magic has been unleashed. Stay Vigilant, Stay Safe.
Various signs indicate that the new dark magic has been unleashed. Stay Vigilant, Stay Safe.
CTT Report Hub
#ParsedReport #CompletenessMedium 05-02-2024 Smargaft Harnesses EtherHiding for Stealthy C2 Hosting. Background https://blog.xlab.qianxin.com/smargaft_abusing_binance-smart-contracts_en Report completeness: Medium Threats: Smargaft Etherhiding_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что был обнаружен новый ботнет под названием Smargaft, который использует смарт-цепочку Binance в качестве своего командно-контрольного сервера и использует преимущества технологии блокчейн. Smargaft специализируется на DDoS-атаках, выполнении системных команд и анонимных подключениях пользователей через прокси-сервер socks5. Это создает новую проблему для специалистов по кибербезопасности из-за использования смарт-контрактов и блокчейна для управления C2. Было замечено, что ботнет нацелен на устройства с различными архитектурами процессоров по всему миру, особенно в Китае, Польше, США, Германии и Франции. В статье подчеркивается необходимость усиленной идентификации и предотвращения возникающих киберугроз, таких как Smargaft, и поощряется сотрудничество в разработке эффективных стратегий борьбы с ними.
-----
Исследовательская группа по кибербезопасности XLab обнаружила новый ботнет под названием Smargaft.
Smargaft использует методы атаки, аналогичные ботнетам Mirai и Gafgyt, но сконструирован по-другому.
Smargaft использует Binance Smart Chain (BSC) в качестве своего сервера управления (C2) и распространяется с помощью сценариев оболочки.
Поставщики антивирусов ошибочно пометили Smargaft как Mirai, но он отличается от других и использует смарт-контракты Binance Smart Chain для своей инфраструктуры C2.
Smargaft специализируется на DDoS-атаках, выполнении системных команд и анонимных подключениях пользователей через socks5 proxy.
Он использует преимущества технологии блокчейн, в частности EtherHiding, для своего хостинга C2.
Использование смарт-контрактов и блокчейна для управления C2 представляет собой новую задачу для специалистов по кибербезопасности.
Binance Smart Chain - это блокчейн-платформа, аналогичная Ethereum, предназначенная для dApps и смарт-контрактов.
Smargaft использует смарт-контракты в смарт-цепочке Binance для хранения информации, связанной с C2, что затрудняет их запрет или удаление непосредственно из блокчейна.
Контрактный адрес ботнета Smargaft - 0xdf2208d4902aa1ec9a0957132ca86a4e1d40455b, и считается, что автор - россиянин.
Smargaft распространяется, используя известные уязвимости, и распространяет загрузчик для внедрения образца бота на целевые устройства.
Smargaft ориентирован на устройства с различными архитектурами процессоров, включая ARM, MIPS и X86/64.
Атаки Smargaft носят глобальный характер и не привязаны к какому-либо региону, при этом наиболее пострадавшими районами являются Китай, Польша, США, Германия и Франция.
Одновременные атаки несколькими ботнетами предполагают существование платформы DDoS, объединяющей различные ботнеты.
В статье обсуждаются технические детали, касающиеся реализации Smargaft, включая использование протокола JSON RPC, шифрование и дешифрование информации C2, стратегии сканирования и заражения, а также конкретные методы, используемые ботнетом.
XLab призывает к бдительности, усиленной идентификации и предотвращению возникающих киберугроз, таких как Smargaft.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что был обнаружен новый ботнет под названием Smargaft, который использует смарт-цепочку Binance в качестве своего командно-контрольного сервера и использует преимущества технологии блокчейн. Smargaft специализируется на DDoS-атаках, выполнении системных команд и анонимных подключениях пользователей через прокси-сервер socks5. Это создает новую проблему для специалистов по кибербезопасности из-за использования смарт-контрактов и блокчейна для управления C2. Было замечено, что ботнет нацелен на устройства с различными архитектурами процессоров по всему миру, особенно в Китае, Польше, США, Германии и Франции. В статье подчеркивается необходимость усиленной идентификации и предотвращения возникающих киберугроз, таких как Smargaft, и поощряется сотрудничество в разработке эффективных стратегий борьбы с ними.
-----
Исследовательская группа по кибербезопасности XLab обнаружила новый ботнет под названием Smargaft.
Smargaft использует методы атаки, аналогичные ботнетам Mirai и Gafgyt, но сконструирован по-другому.
Smargaft использует Binance Smart Chain (BSC) в качестве своего сервера управления (C2) и распространяется с помощью сценариев оболочки.
Поставщики антивирусов ошибочно пометили Smargaft как Mirai, но он отличается от других и использует смарт-контракты Binance Smart Chain для своей инфраструктуры C2.
Smargaft специализируется на DDoS-атаках, выполнении системных команд и анонимных подключениях пользователей через socks5 proxy.
Он использует преимущества технологии блокчейн, в частности EtherHiding, для своего хостинга C2.
Использование смарт-контрактов и блокчейна для управления C2 представляет собой новую задачу для специалистов по кибербезопасности.
Binance Smart Chain - это блокчейн-платформа, аналогичная Ethereum, предназначенная для dApps и смарт-контрактов.
Smargaft использует смарт-контракты в смарт-цепочке Binance для хранения информации, связанной с C2, что затрудняет их запрет или удаление непосредственно из блокчейна.
Контрактный адрес ботнета Smargaft - 0xdf2208d4902aa1ec9a0957132ca86a4e1d40455b, и считается, что автор - россиянин.
Smargaft распространяется, используя известные уязвимости, и распространяет загрузчик для внедрения образца бота на целевые устройства.
Smargaft ориентирован на устройства с различными архитектурами процессоров, включая ARM, MIPS и X86/64.
Атаки Smargaft носят глобальный характер и не привязаны к какому-либо региону, при этом наиболее пострадавшими районами являются Китай, Польша, США, Германия и Франция.
Одновременные атаки несколькими ботнетами предполагают существование платформы DDoS, объединяющей различные ботнеты.
В статье обсуждаются технические детали, касающиеся реализации Smargaft, включая использование протокола JSON RPC, шифрование и дешифрование информации C2, стратегии сканирования и заражения, а также конкретные методы, используемые ботнетом.
XLab призывает к бдительности, усиленной идентификации и предотвращению возникающих киберугроз, таких как Smargaft.
#ParsedReport #CompletenessHigh
05-02-2024
Kimsuky APT-Q-2. Kimsuky (APT-Q-2) secret theft operation disguised as software installation package
https://mp-weixin-qq-com.translate.goog/s?__biz=MzI2MDc2MDA4OA==&mid=2247509476&idx=1&sn=b0e09436095203b75710836d718d6699&chksm=eb3f7f9b7c2d9f7c2100ae4042ca2b6f455b7861453a14de70bdbb63aa85497ffa8a414a5ebc&scene=132&_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=en-US&_x_tr_pto=wapp
Report completeness: High
Actors/Campaigns:
Kimsuky
Threats:
Watering_hole_technique
Harpoon
Vmprotect_tool
Victims:
South korean national defense, Education, Energy, Government, Medical, Think tanks
Industry:
Government, Healthcare, Education, Energy
Geo:
Asia, Asian, Korean, Korea
ChatGPT TTPs:
T1204, T1566, T1189, T1204, T1064, T1134, T1059.003, T1053, T1140, T1045, have more...
IOCs:
Hash: 11
File: 8
Command: 1
Email: 8
Registry: 1
Domain: 1
Url: 7
Soft:
WeChat, Android
Algorithms:
base64, xor-cbc, md5, zip, sha512
Languages:
powershell
Platforms:
x86
05-02-2024
Kimsuky APT-Q-2. Kimsuky (APT-Q-2) secret theft operation disguised as software installation package
https://mp-weixin-qq-com.translate.goog/s?__biz=MzI2MDc2MDA4OA==&mid=2247509476&idx=1&sn=b0e09436095203b75710836d718d6699&chksm=eb3f7f9b7c2d9f7c2100ae4042ca2b6f455b7861453a14de70bdbb63aa85497ffa8a414a5ebc&scene=132&_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=en-US&_x_tr_pto=wapp
Report completeness: High
Actors/Campaigns:
Kimsuky
Threats:
Watering_hole_technique
Harpoon
Vmprotect_tool
Victims:
South korean national defense, Education, Energy, Government, Medical, Think tanks
Industry:
Government, Healthcare, Education, Energy
Geo:
Asia, Asian, Korean, Korea
ChatGPT TTPs:
do not use without manual checkT1204, T1566, T1189, T1204, T1064, T1134, T1059.003, T1053, T1140, T1045, have more...
IOCs:
Hash: 11
File: 8
Command: 1
Email: 8
Registry: 1
Domain: 1
Url: 7
Soft:
WeChat, Android
Algorithms:
base64, xor-cbc, md5, zip, sha512
Languages:
powershell
Platforms:
x86
微信公众平台
软件安装包伪装下的Kimsuky(APT-Q-2)窃密行动
近期奇安信威胁情报中心发现一批以韩国软件公司SGA旗下产品安装程序为伪装的窃密攻击样本,样本运行后释放正常的安装包迷惑受害者,暗中执行经过VMProtect处理的恶意DLL,恶意DLL由Go语言实现,收集信息回传给攻击者,然后清除攻击痕迹。
CTT Report Hub
#ParsedReport #CompletenessHigh 05-02-2024 Kimsuky APT-Q-2. Kimsuky (APT-Q-2) secret theft operation disguised as software installation package https://mp-weixin-qq-com.translate.goog/s?__biz=MzI2MDc2MDA4OA==&mid=2247509476&idx=1&sn=b0e09436095203b75710…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что Kimsuky, организация Advanced Persistent Threat (APT), проводит кибератаки, нацеленные в первую очередь на Южную Корею. Они используют различные тактики, такие как социальная инженерия и распространение вредоносного ПО через пакеты установки законного программного обеспечения. Вредоносная программа, известная как TrollAgent, собирает конфиденциальную информацию с зараженных устройств и отправляет ее на сервер управления (C&C). Программа-бэкдор, связанная с Kimsuky, обладает аналогичным кодом и возможностями самоудаления. Пользователям важно быть осторожными с фишинговыми атаками и регулярно обновлять свои системы для защиты от действий Kimsuky.
-----
Kimsuky - это организация APT, нацеленная на Южную Корею.
Они сосредоточены на таких секторах, как национальная оборона, образование, энергетика, правительство, медицинское обслуживание и аналитические центры.
Kimsuky использует социальную инженерию, электронные письма harpoon и атаки на водопой для распространения вредоносных программ.
Их методы атаки нацелены как на платформы Windows, так и на Android.
Они маскируют образцы атак под программы установки продуктов корейской компании-разработчика программного обеспечения.
Вредоносная программа собирает информацию с зараженных устройств и отправляет ее обратно злоумышленникам, прежде чем стереть доказательства атаки.
Анализ выявляет связи между образцами атак и другой вредоносной программой, используемой в качестве бэкдора.
Программа бэкдора работает как одиночная и взаимодействует с сервером управления (C&C).
Как программное обеспечение для кражи секретов, так и бэкдор обладают возможностями перекрытия кода и самоудаления.
Кимсуки использует сложную тактику, чтобы избежать обнаружения и помешать анализу.
Пользователям следует остерегаться фишинговых атак, избегать подозрительных ссылок и вложений электронной почты, а также регулярно обновлять свои системы и создавать резервные копии важных файлов.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что Kimsuky, организация Advanced Persistent Threat (APT), проводит кибератаки, нацеленные в первую очередь на Южную Корею. Они используют различные тактики, такие как социальная инженерия и распространение вредоносного ПО через пакеты установки законного программного обеспечения. Вредоносная программа, известная как TrollAgent, собирает конфиденциальную информацию с зараженных устройств и отправляет ее на сервер управления (C&C). Программа-бэкдор, связанная с Kimsuky, обладает аналогичным кодом и возможностями самоудаления. Пользователям важно быть осторожными с фишинговыми атаками и регулярно обновлять свои системы для защиты от действий Kimsuky.
-----
Kimsuky - это организация APT, нацеленная на Южную Корею.
Они сосредоточены на таких секторах, как национальная оборона, образование, энергетика, правительство, медицинское обслуживание и аналитические центры.
Kimsuky использует социальную инженерию, электронные письма harpoon и атаки на водопой для распространения вредоносных программ.
Их методы атаки нацелены как на платформы Windows, так и на Android.
Они маскируют образцы атак под программы установки продуктов корейской компании-разработчика программного обеспечения.
Вредоносная программа собирает информацию с зараженных устройств и отправляет ее обратно злоумышленникам, прежде чем стереть доказательства атаки.
Анализ выявляет связи между образцами атак и другой вредоносной программой, используемой в качестве бэкдора.
Программа бэкдора работает как одиночная и взаимодействует с сервером управления (C&C).
Как программное обеспечение для кражи секретов, так и бэкдор обладают возможностями перекрытия кода и самоудаления.
Кимсуки использует сложную тактику, чтобы избежать обнаружения и помешать анализу.
Пользователям следует остерегаться фишинговых атак, избегать подозрительных ссылок и вложений электронной почты, а также регулярно обновлять свои системы и создавать резервные копии важных файлов.
#ParsedReport #CompletenessLow
05-02-2024
BlueShell malware used to attack domestic Linux systems (2)
https://asec.ahnlab.com/ko/61293
Report completeness: Low
Actors/Campaigns:
Dalbit
Threats:
Blueshell
Geo:
Thailand, Chinese, Korea
ChatGPT TTPs:
T1016, T1059, T1083, T1071, T1213, T1022, T1485, T1219
IOCs:
File: 1
Hash: 12
IP: 2
Algorithms:
base64, xor, md5
Functions:
ReadMe, init
05-02-2024
BlueShell malware used to attack domestic Linux systems (2)
https://asec.ahnlab.com/ko/61293
Report completeness: Low
Actors/Campaigns:
Dalbit
Threats:
Blueshell
Geo:
Thailand, Chinese, Korea
ChatGPT TTPs:
do not use without manual checkT1016, T1059, T1083, T1071, T1213, T1022, T1485, T1219
IOCs:
File: 1
Hash: 12
IP: 2
Algorithms:
base64, xor, md5
Functions:
ReadMe, init
ASEC
국내 리눅스 시스템 공격에 사용되는 BlueShell 악성코드 (2) - ASEC
국내 리눅스 시스템 공격에 사용되는 BlueShell 악성코드 (2) ASEC
CTT Report Hub
#ParsedReport #CompletenessLow 05-02-2024 BlueShell malware used to attack domestic Linux systems (2) https://asec.ahnlab.com/ko/61293 Report completeness: Low Actors/Campaigns: Dalbit Threats: Blueshell Geo: Thailand, Chinese, Korea ChatGPT TTPs: do…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что вредоносная программа BlueShell использовалась в целевых атаках на системы Linux в Таиланде и Корее. Злоумышленник настроил BlueShell для работы только на определенных системах и продолжает создавать новые варианты вредоносного ПО. BlueShell - это вредоносная программа с бэкдором, которая может получать команды с сервера управления и выполнять вредоносные действия в зараженных системах. Вредоносная программа использует данные конфигурации, включая IP-адрес, номер порта и время ожидания. Настроенный вариант BlueShell не раскрывает командно-контрольный адрес или целевую систему, поскольку эта информация содержится в дроппере, который запускает вредоносное ПО. Была обнаружена новая вредоносная программа-дроппер под названием "top dropper", которая маскируется под команду Linux id и устанавливает как BlueShell dropper, так и бэкдор-вредоносное ПО. В блоге подчеркивается важность проверки уязвимостей, поддержания систем в актуальном состоянии и использования современного антивирусного программного обеспечения для предотвращения подобных угроз безопасности.
-----
Вредоносная программа BlueShell нацелена на системы Linux в Таиланде и Корее.
Вредоносная программа настроена для работы в определенных системах.
Злоумышленник продолжает создавать вариации вредоносного ПО BlueShell после публикации в блоге.
Вредоносная программа разработана на языке Go и поддерживает системы Windows, Linux и Mac.
Файл ReadMe указывает на китайского создателя.
BlueShell используется несколькими атакующими группами против внутренних целей.
BlueShell - это вредоносная программа с бэкдором, которая получает команды с сервера управления.
Функциональность включает удаленное выполнение команд, загрузку файлов и прокси-сервер Socks5.
BlueShell использует шифрование TLS, чтобы избежать обнаружения сети.
Данные конфигурации (IP-адрес сервера C&C, номер порта, время ожидания) обычно жестко закодированы, но вместо этого при недавних атаках декодируются из переменных окружения.
Имя хоста системы Linux используется для определения условий работы.
C&C-адрес BlueShell и информация о целевой системе содержатся в дроппере, который запускает вредоносную программу.
Новый дроппер под названием "top dropper" маскируется под команду Linux id и устанавливает как BlueShell dropper, так и вредоносное ПО с бэкдором.
Злоумышленник изменил двоичный файл команды id для сохранения.
Злоумышленник часто оставляет информацию о пути к исходному коду в двоичных файлах BlueShell, раскрывая свой рабочий путь.
С 2022 года в атаках использовались многочисленные экземпляры настроенной вредоносной программы BlueShell, в основном нацеленной на Южную Корею.
Поддержание систем в актуальном состоянии и использование обновленного антивирусного программного обеспечения имеет решающее значение для предотвращения заражения вредоносными программами.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что вредоносная программа BlueShell использовалась в целевых атаках на системы Linux в Таиланде и Корее. Злоумышленник настроил BlueShell для работы только на определенных системах и продолжает создавать новые варианты вредоносного ПО. BlueShell - это вредоносная программа с бэкдором, которая может получать команды с сервера управления и выполнять вредоносные действия в зараженных системах. Вредоносная программа использует данные конфигурации, включая IP-адрес, номер порта и время ожидания. Настроенный вариант BlueShell не раскрывает командно-контрольный адрес или целевую систему, поскольку эта информация содержится в дроппере, который запускает вредоносное ПО. Была обнаружена новая вредоносная программа-дроппер под названием "top dropper", которая маскируется под команду Linux id и устанавливает как BlueShell dropper, так и бэкдор-вредоносное ПО. В блоге подчеркивается важность проверки уязвимостей, поддержания систем в актуальном состоянии и использования современного антивирусного программного обеспечения для предотвращения подобных угроз безопасности.
-----
Вредоносная программа BlueShell нацелена на системы Linux в Таиланде и Корее.
Вредоносная программа настроена для работы в определенных системах.
Злоумышленник продолжает создавать вариации вредоносного ПО BlueShell после публикации в блоге.
Вредоносная программа разработана на языке Go и поддерживает системы Windows, Linux и Mac.
Файл ReadMe указывает на китайского создателя.
BlueShell используется несколькими атакующими группами против внутренних целей.
BlueShell - это вредоносная программа с бэкдором, которая получает команды с сервера управления.
Функциональность включает удаленное выполнение команд, загрузку файлов и прокси-сервер Socks5.
BlueShell использует шифрование TLS, чтобы избежать обнаружения сети.
Данные конфигурации (IP-адрес сервера C&C, номер порта, время ожидания) обычно жестко закодированы, но вместо этого при недавних атаках декодируются из переменных окружения.
Имя хоста системы Linux используется для определения условий работы.
C&C-адрес BlueShell и информация о целевой системе содержатся в дроппере, который запускает вредоносную программу.
Новый дроппер под названием "top dropper" маскируется под команду Linux id и устанавливает как BlueShell dropper, так и вредоносное ПО с бэкдором.
Злоумышленник изменил двоичный файл команды id для сохранения.
Злоумышленник часто оставляет информацию о пути к исходному коду в двоичных файлах BlueShell, раскрывая свой рабочий путь.
С 2022 года в атаках использовались многочисленные экземпляры настроенной вредоносной программы BlueShell, в основном нацеленной на Южную Корею.
Поддержание систем в актуальном состоянии и использование обновленного антивирусного программного обеспечения имеет решающее значение для предотвращения заражения вредоносными программами.
CTT Report Hub
#ParsedReport #CompletenessMedium 05-02-2024 Smargaft Harnesses EtherHiding for Stealthy C2 Hosting. Background https://blog.xlab.qianxin.com/smargaft_abusing_binance-smart-contracts_en Report completeness: Medium Threats: Smargaft Etherhiding_technique…
Интересная штука (уже не уникальная) про С2 и смарт-контракты.
#ParsedReport #CompletenessMedium
06-02-2024
Python Info-stealer Distributed by Malicious Excel Document
https://www.fortinet.com/blog/threat-research/python-info-stealer-malicious-excel-document
Report completeness: Medium
Threats:
Abobus_tool
Pyobfuscate_tool
Xworm_rat
Venomrat
Redline_stealer
Geo:
Vietnamese
ChatGPT TTPs:
T1193, T1140, T1204, T1064, T1070, T1086, T1486, T1485
IOCs:
File: 5
Registry: 1
IP: 5
Hash: 12
Soft:
Chrome, telegram
Algorithms:
zip, base64
Languages:
powershell, python
06-02-2024
Python Info-stealer Distributed by Malicious Excel Document
https://www.fortinet.com/blog/threat-research/python-info-stealer-malicious-excel-document
Report completeness: Medium
Threats:
Abobus_tool
Pyobfuscate_tool
Xworm_rat
Venomrat
Redline_stealer
Geo:
Vietnamese
ChatGPT TTPs:
do not use without manual checkT1193, T1140, T1204, T1064, T1070, T1086, T1486, T1485
IOCs:
File: 5
Registry: 1
IP: 5
Hash: 12
Soft:
Chrome, telegram
Algorithms:
zip, base64
Languages:
powershell, python
Fortinet Blog
Python Info-stealer Distributed by Malicious Excel Document
FortiGuard Labs has uncovered a malware campaign involving a python info-stealer distributed by Excel document. Learn more.…
CTT Report Hub
#ParsedReport #CompletenessMedium 06-02-2024 Python Info-stealer Distributed by Malicious Excel Document https://www.fortinet.com/blog/threat-research/python-info-stealer-malicious-excel-document Report completeness: Medium Threats: Abobus_tool Pyobfuscate_tool…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что FortiGuard Labs обнаружила программу-похититель информации в документе Excel, связанном с хакерской группой из Вьетнама. В статье подробно рассказывается об этапах атаки, целевых браузерах и наличии других связанных вредоносных кампаний. Хакеры используют простые загрузчики и эксплуатируют открытые платформы для распространения вредоносного ПО, оставляя "хлебные крошки" для идентификации.
-----
В январе 2024 года FortiGuard Labs обнаружила документ Excel, содержащий программу для кражи информации. Атака была связана с базирующейся во Вьетнаме группой, о которой ранее сообщалось в августе и сентябре 2023 года. В этой статье дается представление о различных этапах атаки и проливается свет на основную кампанию вредоносного ПО.
Начальный этап включает в себя документ Excel со скриптом VBA, который выполняет команду PowerShell для загрузки файла Windows Update.bat из filebin.net. Для облегчения правильного выполнения запутанного script.py загружаются дополнительные модули в виде Document.zip.
В отличие от предыдущей версии этого похитителя информации, о которой сообщалось в августе 2023 года, текущая script.py фокусируется только на сборе файлов cookie и данных для входа в систему из различных браузеров. Он ориентирован на широкий спектр браузеров, включая популярные, такие как Chrome и Edge, а также браузеры, специфичные для местного вьетнамского рынка, такие как Cc Cc browser.
Более того, помимо файлов, используемых в качестве переносчиков инфекции, несколько других файлов имеют общие характеристики с этой кампанией. К ним относятся запутанные пакетные файлы и файлы VBScript, которые выполняют код PowerShell, аналогичный файлам Windows Update.bat и test.vbs. Эти дополнительные загрузчики привели к обнаружению большего количества репозиториев, связанных с хакерской группой. Некоторые из этих репозиториев также содержали вредоносное ПО, используемое в других кампаниях, таких как XWorm, VenomRat, RedLine и другие.
Хотя конкретный файл, упомянутый на рисунке 10, получить не удалось, его название дало ключ к использованию файлов cookie в качестве приманки. Кроме того, был найден другой документ Word, который содержал файлы cookie Facebook и вредоносный макрос в истории чата. Полезной нагрузкой в данном случае был XWorm, и его варианты также были идентифицированы в репозиториях GitHub, упомянутых в разделе "Злоупотребляемые открытые платформы".
Злоумышленники, стоящие за этой кампанией, используют стратегию использования простых загрузчиков и открытых платформ, чтобы избежать обнаружения. Однако эта тактика непреднамеренно дает "хлебные крошки" для идентификации хакерской группы. Информация, извлеченная из файлов, выявила существование других файлов, используемых в связанных кампаниях, а также платформ социальных сетей, используемых для распространения вредоносных программ. Такие платформы не только обеспечивают удобство для пользователей, но и часто используются злоумышленниками.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что FortiGuard Labs обнаружила программу-похититель информации в документе Excel, связанном с хакерской группой из Вьетнама. В статье подробно рассказывается об этапах атаки, целевых браузерах и наличии других связанных вредоносных кампаний. Хакеры используют простые загрузчики и эксплуатируют открытые платформы для распространения вредоносного ПО, оставляя "хлебные крошки" для идентификации.
-----
В январе 2024 года FortiGuard Labs обнаружила документ Excel, содержащий программу для кражи информации. Атака была связана с базирующейся во Вьетнаме группой, о которой ранее сообщалось в августе и сентябре 2023 года. В этой статье дается представление о различных этапах атаки и проливается свет на основную кампанию вредоносного ПО.
Начальный этап включает в себя документ Excel со скриптом VBA, который выполняет команду PowerShell для загрузки файла Windows Update.bat из filebin.net. Для облегчения правильного выполнения запутанного script.py загружаются дополнительные модули в виде Document.zip.
В отличие от предыдущей версии этого похитителя информации, о которой сообщалось в августе 2023 года, текущая script.py фокусируется только на сборе файлов cookie и данных для входа в систему из различных браузеров. Он ориентирован на широкий спектр браузеров, включая популярные, такие как Chrome и Edge, а также браузеры, специфичные для местного вьетнамского рынка, такие как Cc Cc browser.
Более того, помимо файлов, используемых в качестве переносчиков инфекции, несколько других файлов имеют общие характеристики с этой кампанией. К ним относятся запутанные пакетные файлы и файлы VBScript, которые выполняют код PowerShell, аналогичный файлам Windows Update.bat и test.vbs. Эти дополнительные загрузчики привели к обнаружению большего количества репозиториев, связанных с хакерской группой. Некоторые из этих репозиториев также содержали вредоносное ПО, используемое в других кампаниях, таких как XWorm, VenomRat, RedLine и другие.
Хотя конкретный файл, упомянутый на рисунке 10, получить не удалось, его название дало ключ к использованию файлов cookie в качестве приманки. Кроме того, был найден другой документ Word, который содержал файлы cookie Facebook и вредоносный макрос в истории чата. Полезной нагрузкой в данном случае был XWorm, и его варианты также были идентифицированы в репозиториях GitHub, упомянутых в разделе "Злоупотребляемые открытые платформы".
Злоумышленники, стоящие за этой кампанией, используют стратегию использования простых загрузчиков и открытых платформ, чтобы избежать обнаружения. Однако эта тактика непреднамеренно дает "хлебные крошки" для идентификации хакерской группы. Информация, извлеченная из файлов, выявила существование других файлов, используемых в связанных кампаниях, а также платформ социальных сетей, используемых для распространения вредоносных программ. Такие платформы не только обеспечивают удобство для пользователей, но и часто используются злоумышленниками.
#ParsedReport #CompletenessLow
06-02-2024
Dark Web Profile: CyberNiggers
https://socradar.io/dark-web-profile-cyberniggers
Report completeness: Low
Actors/Campaigns:
Cyberniggers (motivation: financially_motivated, hacktivism)
Threats:
Credential_dumping_technique
Industry:
Aerospace, Financial, Energy, Military, Government
Geo:
Serbian, Turkey, Africa, Russia, India, Russian
TTPs:
Tactics: 12
Technics: 12
Soft:
MSSQL
Algorithms:
exhibit
06-02-2024
Dark Web Profile: CyberNiggers
https://socradar.io/dark-web-profile-cyberniggers
Report completeness: Low
Actors/Campaigns:
Cyberniggers (motivation: financially_motivated, hacktivism)
Threats:
Credential_dumping_technique
Industry:
Aerospace, Financial, Energy, Military, Government
Geo:
Serbian, Turkey, Africa, Russia, India, Russian
TTPs:
Tactics: 12
Technics: 12
Soft:
MSSQL
Algorithms:
exhibit
SOCRadar® Cyber Intelligence Inc.
Dark Web Profile: CyberNiggers
At the center of this virtual tumult stands a racist threat group that has re-emerged with heightened potency—CyberNiggers...
CTT Report Hub
#ParsedReport #CompletenessLow 06-02-2024 Dark Web Profile: CyberNiggers https://socradar.io/dark-web-profile-cyberniggers Report completeness: Low Actors/Campaigns: Cyberniggers (motivation: financially_motivated, hacktivism) Threats: Credential_dumping_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что расистская группа CyberNiggers, набирают силу и участвуют в кибератаках и потенциальных нарушениях. Группа, возглавляемая известным членом IntelBroker, нацелилась на различные организации и скомпрометировала их, создавая угрозы национальной безопасности и вызывая такие последствия, как репутационный ущерб и юридические последствия. Понимание этих угроз и реагирование на них имеет решающее значение для защиты критически важной инфраструктуры, национальной безопасности и личной неприкосновенности частной жизни.
-----
CyberNiggers, расистская группа угроз, вновь появилась с возросшей активностью на обновленных форумах. Их деятельность, включая кибератаки и потенциальные нарушения, подчеркивает эволюционирующий характер цифровых угроз.
Группа привлекла к себе внимание за продажу доступа к скомпрометированным системам и кражу конфиденциальных данных. IntelBroker, видный участник, играет значительную роль в деятельности киберпреступников. Они нацелены на такие организации, как General Electric, Агентство перспективных исследовательских проектов в области обороны (DARPA), Weee Grocery Service, Colonial Pipeline, Autotrader, Volvo, отели Hilton и AT&T.
Последствия их взломов варьируются от ущерба репутации до юридических последствий и проблем национальной безопасности. Понимание тактики киберпреступников и роли IntelBroker имеет решающее значение для организаций, имеющих дело с этими угрозами. Мотивы группы в первую очередь финансовые, но причастность IntelBroker к громким атакам поднимает вопросы об их возможностях и мотивации.
Взлом General Electric потенциально раскрыл критически важные оборонные проекты и сотрудничество с DARPA, что представляет прямую угрозу национальной безопасности.
Пострадавшие организации могут столкнуться с различными последствиями, включая репутационный ущерб, финансовые потери, судебные иски и штрафные санкции регулирующих органов. Киберпреступники в первую очередь нацелены на США, но также включают другие страны, такие как Великобритания, Южная Африка, Индия и Турция. Россия, похоже, исключена из их целей.
Поскольку ландшафт кибербезопасности требует бдительности, сотрудничества и надежных мер безопасности, понимание таких групп, как киберугрозники, и реагирование на них становится решающим для защиты критически важной инфраструктуры, национальной безопасности и конфиденциальности личности.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что расистская группа CyberNiggers, набирают силу и участвуют в кибератаках и потенциальных нарушениях. Группа, возглавляемая известным членом IntelBroker, нацелилась на различные организации и скомпрометировала их, создавая угрозы национальной безопасности и вызывая такие последствия, как репутационный ущерб и юридические последствия. Понимание этих угроз и реагирование на них имеет решающее значение для защиты критически важной инфраструктуры, национальной безопасности и личной неприкосновенности частной жизни.
-----
CyberNiggers, расистская группа угроз, вновь появилась с возросшей активностью на обновленных форумах. Их деятельность, включая кибератаки и потенциальные нарушения, подчеркивает эволюционирующий характер цифровых угроз.
Группа привлекла к себе внимание за продажу доступа к скомпрометированным системам и кражу конфиденциальных данных. IntelBroker, видный участник, играет значительную роль в деятельности киберпреступников. Они нацелены на такие организации, как General Electric, Агентство перспективных исследовательских проектов в области обороны (DARPA), Weee Grocery Service, Colonial Pipeline, Autotrader, Volvo, отели Hilton и AT&T.
Последствия их взломов варьируются от ущерба репутации до юридических последствий и проблем национальной безопасности. Понимание тактики киберпреступников и роли IntelBroker имеет решающее значение для организаций, имеющих дело с этими угрозами. Мотивы группы в первую очередь финансовые, но причастность IntelBroker к громким атакам поднимает вопросы об их возможностях и мотивации.
Взлом General Electric потенциально раскрыл критически важные оборонные проекты и сотрудничество с DARPA, что представляет прямую угрозу национальной безопасности.
Пострадавшие организации могут столкнуться с различными последствиями, включая репутационный ущерб, финансовые потери, судебные иски и штрафные санкции регулирующих органов. Киберпреступники в первую очередь нацелены на США, но также включают другие страны, такие как Великобритания, Южная Африка, Индия и Турция. Россия, похоже, исключена из их целей.
Поскольку ландшафт кибербезопасности требует бдительности, сотрудничества и надежных мер безопасности, понимание таких групп, как киберугрозники, и реагирование на них становится решающим для защиты критически важной инфраструктуры, национальной безопасности и конфиденциальности личности.
#ParsedReport #CompletenessLow
06-02-2024
Revenge RAT malware that operates fileless
https://asec.ahnlab.com/ko/61288
Report completeness: Low
Threats:
Revenge_rat
Trojan/win.generic.c4223332
Trojan/win.generic.c5583117
Dropper/win.generic.c5445718
Dropper/win.generic.r634030
TTPs:
Tactics: 2
Technics: 1
ChatGPT TTPs:
T1564, T1107, T1059.001, T1023, T1553.002, T1550.002, T1105, T1083, T1082, T1113, have more...
IOCs:
File: 10
Domain: 1
Hash: 10
Soft:
Windows Explorer, Windows Defender
Algorithms:
base64, md5, des
Languages:
powershell
06-02-2024
Revenge RAT malware that operates fileless
https://asec.ahnlab.com/ko/61288
Report completeness: Low
Threats:
Revenge_rat
Trojan/win.generic.c4223332
Trojan/win.generic.c5583117
Dropper/win.generic.c5445718
Dropper/win.generic.r634030
TTPs:
Tactics: 2
Technics: 1
ChatGPT TTPs:
do not use without manual checkT1564, T1107, T1059.001, T1023, T1553.002, T1550.002, T1105, T1083, T1082, T1113, have more...
IOCs:
File: 10
Domain: 1
Hash: 10
Soft:
Windows Explorer, Windows Defender
Algorithms:
base64, md5, des
Languages:
powershell
ASEC
Fileless로 동작하는 Revenge RAT 악성코드 - ASEC
Fileless로 동작하는 Revenge RAT 악성코드 ASEC
