CTT Report Hub
3.39K subscribers
9.56K photos
6 videos
67 files
13.2K links
Threat Intelligence Report Hub
Download Telegram
CTT Report Hub
#ParsedReport #CompletenessMedium 05-02-2024 Smargaft Harnesses EtherHiding for Stealthy C2 Hosting. Background https://blog.xlab.qianxin.com/smargaft_abusing_binance-smart-contracts_en Report completeness: Medium Threats: Smargaft Etherhiding_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что был обнаружен новый ботнет под названием Smargaft, который использует смарт-цепочку Binance в качестве своего командно-контрольного сервера и использует преимущества технологии блокчейн. Smargaft специализируется на DDoS-атаках, выполнении системных команд и анонимных подключениях пользователей через прокси-сервер socks5. Это создает новую проблему для специалистов по кибербезопасности из-за использования смарт-контрактов и блокчейна для управления C2. Было замечено, что ботнет нацелен на устройства с различными архитектурами процессоров по всему миру, особенно в Китае, Польше, США, Германии и Франции. В статье подчеркивается необходимость усиленной идентификации и предотвращения возникающих киберугроз, таких как Smargaft, и поощряется сотрудничество в разработке эффективных стратегий борьбы с ними.
-----

Исследовательская группа по кибербезопасности XLab обнаружила новый ботнет под названием Smargaft.

Smargaft использует методы атаки, аналогичные ботнетам Mirai и Gafgyt, но сконструирован по-другому.

Smargaft использует Binance Smart Chain (BSC) в качестве своего сервера управления (C2) и распространяется с помощью сценариев оболочки.

Поставщики антивирусов ошибочно пометили Smargaft как Mirai, но он отличается от других и использует смарт-контракты Binance Smart Chain для своей инфраструктуры C2.

Smargaft специализируется на DDoS-атаках, выполнении системных команд и анонимных подключениях пользователей через socks5 proxy.

Он использует преимущества технологии блокчейн, в частности EtherHiding, для своего хостинга C2.

Использование смарт-контрактов и блокчейна для управления C2 представляет собой новую задачу для специалистов по кибербезопасности.

Binance Smart Chain - это блокчейн-платформа, аналогичная Ethereum, предназначенная для dApps и смарт-контрактов.

Smargaft использует смарт-контракты в смарт-цепочке Binance для хранения информации, связанной с C2, что затрудняет их запрет или удаление непосредственно из блокчейна.

Контрактный адрес ботнета Smargaft - 0xdf2208d4902aa1ec9a0957132ca86a4e1d40455b, и считается, что автор - россиянин.

Smargaft распространяется, используя известные уязвимости, и распространяет загрузчик для внедрения образца бота на целевые устройства.

Smargaft ориентирован на устройства с различными архитектурами процессоров, включая ARM, MIPS и X86/64.

Атаки Smargaft носят глобальный характер и не привязаны к какому-либо региону, при этом наиболее пострадавшими районами являются Китай, Польша, США, Германия и Франция.

Одновременные атаки несколькими ботнетами предполагают существование платформы DDoS, объединяющей различные ботнеты.

В статье обсуждаются технические детали, касающиеся реализации Smargaft, включая использование протокола JSON RPC, шифрование и дешифрование информации C2, стратегии сканирования и заражения, а также конкретные методы, используемые ботнетом.

XLab призывает к бдительности, усиленной идентификации и предотвращению возникающих киберугроз, таких как Smargaft.
#ParsedReport #CompletenessHigh
05-02-2024

Kimsuky APT-Q-2. Kimsuky (APT-Q-2) secret theft operation disguised as software installation package

https://mp-weixin-qq-com.translate.goog/s?__biz=MzI2MDc2MDA4OA==&mid=2247509476&idx=1&sn=b0e09436095203b75710836d718d6699&chksm=eb3f7f9b7c2d9f7c2100ae4042ca2b6f455b7861453a14de70bdbb63aa85497ffa8a414a5ebc&scene=132&_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=en-US&_x_tr_pto=wapp

Report completeness: High

Actors/Campaigns:
Kimsuky

Threats:
Watering_hole_technique
Harpoon
Vmprotect_tool

Victims:
South korean national defense, Education, Energy, Government, Medical, Think tanks

Industry:
Government, Healthcare, Education, Energy

Geo:
Asia, Asian, Korean, Korea

ChatGPT TTPs:
do not use without manual check
T1204, T1566, T1189, T1204, T1064, T1134, T1059.003, T1053, T1140, T1045, have more...

IOCs:
Hash: 11
File: 8
Command: 1
Email: 8
Registry: 1
Domain: 1
Url: 7

Soft:
WeChat, Android

Algorithms:
base64, xor-cbc, md5, zip, sha512

Languages:
powershell

Platforms:
x86
CTT Report Hub
#ParsedReport #CompletenessHigh 05-02-2024 Kimsuky APT-Q-2. Kimsuky (APT-Q-2) secret theft operation disguised as software installation package https://mp-weixin-qq-com.translate.goog/s?__biz=MzI2MDc2MDA4OA==&mid=2247509476&idx=1&sn=b0e09436095203b75710…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Kimsuky, организация Advanced Persistent Threat (APT), проводит кибератаки, нацеленные в первую очередь на Южную Корею. Они используют различные тактики, такие как социальная инженерия и распространение вредоносного ПО через пакеты установки законного программного обеспечения. Вредоносная программа, известная как TrollAgent, собирает конфиденциальную информацию с зараженных устройств и отправляет ее на сервер управления (C&C). Программа-бэкдор, связанная с Kimsuky, обладает аналогичным кодом и возможностями самоудаления. Пользователям важно быть осторожными с фишинговыми атаками и регулярно обновлять свои системы для защиты от действий Kimsuky.
-----

Kimsuky - это организация APT, нацеленная на Южную Корею.

Они сосредоточены на таких секторах, как национальная оборона, образование, энергетика, правительство, медицинское обслуживание и аналитические центры.

Kimsuky использует социальную инженерию, электронные письма harpoon и атаки на водопой для распространения вредоносных программ.

Их методы атаки нацелены как на платформы Windows, так и на Android.

Они маскируют образцы атак под программы установки продуктов корейской компании-разработчика программного обеспечения.

Вредоносная программа собирает информацию с зараженных устройств и отправляет ее обратно злоумышленникам, прежде чем стереть доказательства атаки.

Анализ выявляет связи между образцами атак и другой вредоносной программой, используемой в качестве бэкдора.

Программа бэкдора работает как одиночная и взаимодействует с сервером управления (C&C).

Как программное обеспечение для кражи секретов, так и бэкдор обладают возможностями перекрытия кода и самоудаления.

Кимсуки использует сложную тактику, чтобы избежать обнаружения и помешать анализу.

Пользователям следует остерегаться фишинговых атак, избегать подозрительных ссылок и вложений электронной почты, а также регулярно обновлять свои системы и создавать резервные копии важных файлов.
#ParsedReport #CompletenessLow
05-02-2024

BlueShell malware used to attack domestic Linux systems (2)

https://asec.ahnlab.com/ko/61293

Report completeness: Low

Actors/Campaigns:
Dalbit

Threats:
Blueshell

Geo:
Thailand, Chinese, Korea

ChatGPT TTPs:
do not use without manual check
T1016, T1059, T1083, T1071, T1213, T1022, T1485, T1219

IOCs:
File: 1
Hash: 12
IP: 2

Algorithms:
base64, xor, md5

Functions:
ReadMe, init
CTT Report Hub
#ParsedReport #CompletenessLow 05-02-2024 BlueShell malware used to attack domestic Linux systems (2) https://asec.ahnlab.com/ko/61293 Report completeness: Low Actors/Campaigns: Dalbit Threats: Blueshell Geo: Thailand, Chinese, Korea ChatGPT TTPs: do…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что вредоносная программа BlueShell использовалась в целевых атаках на системы Linux в Таиланде и Корее. Злоумышленник настроил BlueShell для работы только на определенных системах и продолжает создавать новые варианты вредоносного ПО. BlueShell - это вредоносная программа с бэкдором, которая может получать команды с сервера управления и выполнять вредоносные действия в зараженных системах. Вредоносная программа использует данные конфигурации, включая IP-адрес, номер порта и время ожидания. Настроенный вариант BlueShell не раскрывает командно-контрольный адрес или целевую систему, поскольку эта информация содержится в дроппере, который запускает вредоносное ПО. Была обнаружена новая вредоносная программа-дроппер под названием "top dropper", которая маскируется под команду Linux id и устанавливает как BlueShell dropper, так и бэкдор-вредоносное ПО. В блоге подчеркивается важность проверки уязвимостей, поддержания систем в актуальном состоянии и использования современного антивирусного программного обеспечения для предотвращения подобных угроз безопасности.
-----

Вредоносная программа BlueShell нацелена на системы Linux в Таиланде и Корее.

Вредоносная программа настроена для работы в определенных системах.

Злоумышленник продолжает создавать вариации вредоносного ПО BlueShell после публикации в блоге.

Вредоносная программа разработана на языке Go и поддерживает системы Windows, Linux и Mac.

Файл ReadMe указывает на китайского создателя.

BlueShell используется несколькими атакующими группами против внутренних целей.

BlueShell - это вредоносная программа с бэкдором, которая получает команды с сервера управления.

Функциональность включает удаленное выполнение команд, загрузку файлов и прокси-сервер Socks5.

BlueShell использует шифрование TLS, чтобы избежать обнаружения сети.

Данные конфигурации (IP-адрес сервера C&C, номер порта, время ожидания) обычно жестко закодированы, но вместо этого при недавних атаках декодируются из переменных окружения.

Имя хоста системы Linux используется для определения условий работы.

C&C-адрес BlueShell и информация о целевой системе содержатся в дроппере, который запускает вредоносную программу.

Новый дроппер под названием "top dropper" маскируется под команду Linux id и устанавливает как BlueShell dropper, так и вредоносное ПО с бэкдором.

Злоумышленник изменил двоичный файл команды id для сохранения.

Злоумышленник часто оставляет информацию о пути к исходному коду в двоичных файлах BlueShell, раскрывая свой рабочий путь.

С 2022 года в атаках использовались многочисленные экземпляры настроенной вредоносной программы BlueShell, в основном нацеленной на Южную Корею.

Поддержание систем в актуальном состоянии и использование обновленного антивирусного программного обеспечения имеет решающее значение для предотвращения заражения вредоносными программами.
Channel photo updated
#ParsedReport #CompletenessMedium
06-02-2024

Python Info-stealer Distributed by Malicious Excel Document

https://www.fortinet.com/blog/threat-research/python-info-stealer-malicious-excel-document

Report completeness: Medium

Threats:
Abobus_tool
Pyobfuscate_tool
Xworm_rat
Venomrat
Redline_stealer

Geo:
Vietnamese

ChatGPT TTPs:
do not use without manual check
T1193, T1140, T1204, T1064, T1070, T1086, T1486, T1485

IOCs:
File: 5
Registry: 1
IP: 5
Hash: 12

Soft:
Chrome, telegram

Algorithms:
zip, base64

Languages:
powershell, python
CTT Report Hub
#ParsedReport #CompletenessMedium 06-02-2024 Python Info-stealer Distributed by Malicious Excel Document https://www.fortinet.com/blog/threat-research/python-info-stealer-malicious-excel-document Report completeness: Medium Threats: Abobus_tool Pyobfuscate_tool…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что FortiGuard Labs обнаружила программу-похититель информации в документе Excel, связанном с хакерской группой из Вьетнама. В статье подробно рассказывается об этапах атаки, целевых браузерах и наличии других связанных вредоносных кампаний. Хакеры используют простые загрузчики и эксплуатируют открытые платформы для распространения вредоносного ПО, оставляя "хлебные крошки" для идентификации.
-----

В январе 2024 года FortiGuard Labs обнаружила документ Excel, содержащий программу для кражи информации. Атака была связана с базирующейся во Вьетнаме группой, о которой ранее сообщалось в августе и сентябре 2023 года. В этой статье дается представление о различных этапах атаки и проливается свет на основную кампанию вредоносного ПО.

Начальный этап включает в себя документ Excel со скриптом VBA, который выполняет команду PowerShell для загрузки файла Windows Update.bat из filebin.net. Для облегчения правильного выполнения запутанного script.py загружаются дополнительные модули в виде Document.zip.

В отличие от предыдущей версии этого похитителя информации, о которой сообщалось в августе 2023 года, текущая script.py фокусируется только на сборе файлов cookie и данных для входа в систему из различных браузеров. Он ориентирован на широкий спектр браузеров, включая популярные, такие как Chrome и Edge, а также браузеры, специфичные для местного вьетнамского рынка, такие как Cc Cc browser.

Более того, помимо файлов, используемых в качестве переносчиков инфекции, несколько других файлов имеют общие характеристики с этой кампанией. К ним относятся запутанные пакетные файлы и файлы VBScript, которые выполняют код PowerShell, аналогичный файлам Windows Update.bat и test.vbs. Эти дополнительные загрузчики привели к обнаружению большего количества репозиториев, связанных с хакерской группой. Некоторые из этих репозиториев также содержали вредоносное ПО, используемое в других кампаниях, таких как XWorm, VenomRat, RedLine и другие.

Хотя конкретный файл, упомянутый на рисунке 10, получить не удалось, его название дало ключ к использованию файлов cookie в качестве приманки. Кроме того, был найден другой документ Word, который содержал файлы cookie Facebook и вредоносный макрос в истории чата. Полезной нагрузкой в данном случае был XWorm, и его варианты также были идентифицированы в репозиториях GitHub, упомянутых в разделе "Злоупотребляемые открытые платформы".

Злоумышленники, стоящие за этой кампанией, используют стратегию использования простых загрузчиков и открытых платформ, чтобы избежать обнаружения. Однако эта тактика непреднамеренно дает "хлебные крошки" для идентификации хакерской группы. Информация, извлеченная из файлов, выявила существование других файлов, используемых в связанных кампаниях, а также платформ социальных сетей, используемых для распространения вредоносных программ. Такие платформы не только обеспечивают удобство для пользователей, но и часто используются злоумышленниками.
#ParsedReport #CompletenessLow
06-02-2024

Dark Web Profile: CyberNiggers

https://socradar.io/dark-web-profile-cyberniggers

Report completeness: Low

Actors/Campaigns:
Cyberniggers (motivation: financially_motivated, hacktivism)

Threats:
Credential_dumping_technique

Industry:
Aerospace, Financial, Energy, Military, Government

Geo:
Serbian, Turkey, Africa, Russia, India, Russian

TTPs:
Tactics: 12
Technics: 12

Soft:
MSSQL

Algorithms:
exhibit
CTT Report Hub
#ParsedReport #CompletenessLow 06-02-2024 Dark Web Profile: CyberNiggers https://socradar.io/dark-web-profile-cyberniggers Report completeness: Low Actors/Campaigns: Cyberniggers (motivation: financially_motivated, hacktivism) Threats: Credential_dumping_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что расистская группа CyberNiggers, набирают силу и участвуют в кибератаках и потенциальных нарушениях. Группа, возглавляемая известным членом IntelBroker, нацелилась на различные организации и скомпрометировала их, создавая угрозы национальной безопасности и вызывая такие последствия, как репутационный ущерб и юридические последствия. Понимание этих угроз и реагирование на них имеет решающее значение для защиты критически важной инфраструктуры, национальной безопасности и личной неприкосновенности частной жизни.
-----

CyberNiggers, расистская группа угроз, вновь появилась с возросшей активностью на обновленных форумах. Их деятельность, включая кибератаки и потенциальные нарушения, подчеркивает эволюционирующий характер цифровых угроз.

Группа привлекла к себе внимание за продажу доступа к скомпрометированным системам и кражу конфиденциальных данных. IntelBroker, видный участник, играет значительную роль в деятельности киберпреступников. Они нацелены на такие организации, как General Electric, Агентство перспективных исследовательских проектов в области обороны (DARPA), Weee Grocery Service, Colonial Pipeline, Autotrader, Volvo, отели Hilton и AT&T.

Последствия их взломов варьируются от ущерба репутации до юридических последствий и проблем национальной безопасности. Понимание тактики киберпреступников и роли IntelBroker имеет решающее значение для организаций, имеющих дело с этими угрозами. Мотивы группы в первую очередь финансовые, но причастность IntelBroker к громким атакам поднимает вопросы об их возможностях и мотивации.

Взлом General Electric потенциально раскрыл критически важные оборонные проекты и сотрудничество с DARPA, что представляет прямую угрозу национальной безопасности.

Пострадавшие организации могут столкнуться с различными последствиями, включая репутационный ущерб, финансовые потери, судебные иски и штрафные санкции регулирующих органов. Киберпреступники в первую очередь нацелены на США, но также включают другие страны, такие как Великобритания, Южная Африка, Индия и Турция. Россия, похоже, исключена из их целей.

Поскольку ландшафт кибербезопасности требует бдительности, сотрудничества и надежных мер безопасности, понимание таких групп, как киберугрозники, и реагирование на них становится решающим для защиты критически важной инфраструктуры, национальной безопасности и конфиденциальности личности.
#ParsedReport #CompletenessLow
06-02-2024

Revenge RAT malware that operates fileless

https://asec.ahnlab.com/ko/61288

Report completeness: Low

Threats:
Revenge_rat
Trojan/win.generic.c4223332
Trojan/win.generic.c5583117
Dropper/win.generic.c5445718
Dropper/win.generic.r634030

TTPs:
Tactics: 2
Technics: 1

ChatGPT TTPs:
do not use without manual check
T1564, T1107, T1059.001, T1023, T1553.002, T1550.002, T1105, T1083, T1082, T1113, have more...

IOCs:
File: 10
Domain: 1
Hash: 10

Soft:
Windows Explorer, Windows Defender

Algorithms:
base64, md5, des

Languages:
powershell