CTT Report Hub
#ParsedReport #CompletenessHigh 06-02-2024 Pacific Rim: RedCurl cyber spies target Australia, Singapore and Hong Kong https://www.facct.ru/blog/redcurl-2024 Report completeness: High Actors/Campaigns: Red_wolf (motivation: cyber_espionage, information_theft)…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что русскоязычная хакерская группа под названием RedCurl проводит кибершпионажные атаки с 2018 года, причем их недавние атаки были нацелены на компании в Австралии, Сингапуре и Гонконге. Они используют фишинг электронной почты в качестве точки входа, но внедрили использование SVG-файлов, замаскированных под службу безопасной передачи почты, чтобы обманом заставить пользователей загружать вредоносный контент. Процесс атаки включает в себя несколько этапов, при этом для получения контроля над скомпрометированными системами используются различные вредоносные компоненты. RedCurl также использует моментальный снимок базы данных Active Directory для эксфильтрации данных через облачные диски, контролируемые злоумышленниками.
-----
Русскоязычная хакерская группа RedCurl проводит кибершпионажные атаки с 2018 года. Их недавние атаки в октябре 2023 года были нацелены на компании в Австралии, Сингапуре и Гонконге, в частности, в сфере строительства, логистики, авиаперевозок и горнодобывающей промышленности. Злоумышленники стремятся собрать ценную информацию, такую как деловая переписка, личные файлы и юридические документы, в течение периода от 2 до 6 месяцев.
Точка входа RedCurl остается неизменной, используя фишинг электронной почты для нацеливания на сотрудников атакованной компании. Однако они внедрили обновленный этап в своей цепочке заражения, используя файлы SVG для имитации службы безопасной передачи почты. Эти файлы предназначены для того, чтобы обманом заставить пользователей загружать вредоносный контент.
Процесс атаки включает в себя несколько этапов. Сначала RedCurl отправляет электронное письмо с файлом SVG, замаскированным под службу безопасной передачи. При нажатии на файл выполняются команды, запускающие RedCurl.LNK, DLL-файл, ответственный за загрузку следующего этапа и отображение сайта honeypot. На этом этапе в планировщике задач Windows создается задача для подключения RedCurl.Загрузчик к системе. Загрузчик собирает системную информацию и отправляет ее на сервер управления (C2).
RedCurl.Загрузчик использует два адреса C2 при загрузке данных и получении следующего этапа. Он отправляет собранные данные на каждый адрес C2 с помощью POST-запросов. Однако подробности следующего этапа (RedCurl.Extractor) были недоступны во время расследования.
В прошлых атаках RedCurl.Extractor использовался для извлечения и закрепления следующего этапа (RedCurl.FSABIN) в зараженной системе. RedCurl.FSABIN предоставляет злоумышленникам удаленный контроль над скомпрометированной системой и позволяет выполнять BAT-скрипты (RedCurl.Commands). Этап связывается с сервером C2 для получения ключей дешифрования и зашифрованных BAT-скриптов, которые затем расшифровываются и выполняются в зараженной системе.
В блоге также упоминается дополнительный RedCurl.ISO-файл без компонента SVG. Этот файл имитировал электронное письмо с информацией о резюме в LinkedIn, что указывает на потенциальную атаку, направленную против австралийской компании. RedCurl.SimpleDownloader, связанный с этой атакой, загружается и выполняется с помощью утилиты pcalua.exe.
В ходе расследования также был обнаружен снимок базы данных Active Directory, принадлежащей австралийской логистической компании. Это указывает на то, что RedCurl использует AD Explorer для создания снимков базы данных и их эксфильтрации через облачные диски, контролируемые злоумышленниками.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что русскоязычная хакерская группа под названием RedCurl проводит кибершпионажные атаки с 2018 года, причем их недавние атаки были нацелены на компании в Австралии, Сингапуре и Гонконге. Они используют фишинг электронной почты в качестве точки входа, но внедрили использование SVG-файлов, замаскированных под службу безопасной передачи почты, чтобы обманом заставить пользователей загружать вредоносный контент. Процесс атаки включает в себя несколько этапов, при этом для получения контроля над скомпрометированными системами используются различные вредоносные компоненты. RedCurl также использует моментальный снимок базы данных Active Directory для эксфильтрации данных через облачные диски, контролируемые злоумышленниками.
-----
Русскоязычная хакерская группа RedCurl проводит кибершпионажные атаки с 2018 года. Их недавние атаки в октябре 2023 года были нацелены на компании в Австралии, Сингапуре и Гонконге, в частности, в сфере строительства, логистики, авиаперевозок и горнодобывающей промышленности. Злоумышленники стремятся собрать ценную информацию, такую как деловая переписка, личные файлы и юридические документы, в течение периода от 2 до 6 месяцев.
Точка входа RedCurl остается неизменной, используя фишинг электронной почты для нацеливания на сотрудников атакованной компании. Однако они внедрили обновленный этап в своей цепочке заражения, используя файлы SVG для имитации службы безопасной передачи почты. Эти файлы предназначены для того, чтобы обманом заставить пользователей загружать вредоносный контент.
Процесс атаки включает в себя несколько этапов. Сначала RedCurl отправляет электронное письмо с файлом SVG, замаскированным под службу безопасной передачи. При нажатии на файл выполняются команды, запускающие RedCurl.LNK, DLL-файл, ответственный за загрузку следующего этапа и отображение сайта honeypot. На этом этапе в планировщике задач Windows создается задача для подключения RedCurl.Загрузчик к системе. Загрузчик собирает системную информацию и отправляет ее на сервер управления (C2).
RedCurl.Загрузчик использует два адреса C2 при загрузке данных и получении следующего этапа. Он отправляет собранные данные на каждый адрес C2 с помощью POST-запросов. Однако подробности следующего этапа (RedCurl.Extractor) были недоступны во время расследования.
В прошлых атаках RedCurl.Extractor использовался для извлечения и закрепления следующего этапа (RedCurl.FSABIN) в зараженной системе. RedCurl.FSABIN предоставляет злоумышленникам удаленный контроль над скомпрометированной системой и позволяет выполнять BAT-скрипты (RedCurl.Commands). Этап связывается с сервером C2 для получения ключей дешифрования и зашифрованных BAT-скриптов, которые затем расшифровываются и выполняются в зараженной системе.
В блоге также упоминается дополнительный RedCurl.ISO-файл без компонента SVG. Этот файл имитировал электронное письмо с информацией о резюме в LinkedIn, что указывает на потенциальную атаку, направленную против австралийской компании. RedCurl.SimpleDownloader, связанный с этой атакой, загружается и выполняется с помощью утилиты pcalua.exe.
В ходе расследования также был обнаружен снимок базы данных Active Directory, принадлежащей австралийской логистической компании. Это указывает на то, что RedCurl использует AD Explorer для создания снимков базы данных и их эксфильтрации через облачные диски, контролируемые злоумышленниками.
#ParsedReport #CompletenessHigh
06-02-2024
Dead-end job
https://www.group-ib.com/blog/resumelooters
Report completeness: High
Actors/Campaigns:
Resumelooters (motivation: cyber_criminal)
Gambleforce
Lazarus
Dream_job
Threats:
Beef_framework_tool
Sqlmap_tool
Acunetix_tool
X-ray_tool
Metasploit_tool
Lighthouse
Dirsearch_tool
Powerplant
Cerberus
Opendir
Industry:
Financial, Entertainment, Logistic, Retail
Geo:
India, Russia, Turkey, Asia-pacific, Taiwan, Mexico, Brazil, Italy, Spanish, Apac, Thailand, Usa, Chinese, Vietnam
TTPs:
Tactics: 2
Technics: 7
IOCs:
IP: 4
File: 33
Domain: 15
Url: 17
Soft:
Telegram, Microsoft Office, Photoshop, Chrome, Opera
Algorithms:
base64
Functions:
login, loadcanvas, createXmlHttp, XMLHttpRequest, vg_time
Languages:
php, powershell, javascript, java, python
Links:
06-02-2024
Dead-end job
https://www.group-ib.com/blog/resumelooters
Report completeness: High
Actors/Campaigns:
Resumelooters (motivation: cyber_criminal)
Gambleforce
Lazarus
Dream_job
Threats:
Beef_framework_tool
Sqlmap_tool
Acunetix_tool
X-ray_tool
Metasploit_tool
Lighthouse
Dirsearch_tool
Powerplant
Cerberus
Opendir
Industry:
Financial, Entertainment, Logistic, Retail
Geo:
India, Russia, Turkey, Asia-pacific, Taiwan, Mexico, Brazil, Italy, Spanish, Apac, Thailand, Usa, Chinese, Vietnam
TTPs:
Tactics: 2
Technics: 7
IOCs:
IP: 4
File: 33
Domain: 15
Url: 17
Soft:
Telegram, Microsoft Office, Photoshop, Chrome, Opera
Algorithms:
base64
Functions:
login, loadcanvas, createXmlHttp, XMLHttpRequest, vg_time
Languages:
php, powershell, javascript, java, python
Links:
https://github.com/chaitin/xray
CTT Report Hub
#ParsedReport #CompletenessHigh 06-02-2024 Dead-end job https://www.group-ib.com/blog/resumelooters Report completeness: High Actors/Campaigns: Resumelooters (motivation: cyber_criminal) Gambleforce Lazarus Dream_job Threats: Beef_framework_tool Sqlmap_tool…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что существует банда киберпреступников под названием ResumeLooters, которая нацелена на агентства по трудоустройству и розничные компании в Азиатско-Тихоокеанском регионе. Они используют SQL-инъекции для кражи пользовательских баз данных, содержащих персональные данные, которые они продают в Telegram-каналах. Группа также заражает веб-сайты по поиску работы скриптами XSS и фишинговыми формами. Group-IB, компания по кибербезопасности, отслеживает атаки и отправляет уведомления компаниям-мишеням. ResumeLooters использует различные инструменты тестирования на проникновение и вредоносные методы для проведения своих атак. Существует риск того, что украденные данные могут быть использованы другими группами угроз, и организациям рекомендуется внедрять такие меры безопасности, как параметризованные инструкции, проверка ввода и брандмауэры веб-приложений. Решение Group-IB для защиты от мошенничества предлагает профилирование поведения пользователей на основе искусственного интеллекта для обнаружения и блокирования мошеннических действий.
-----
ResumeLooters - это киберпреступная банда, нацеленная на агентства по трудоустройству и розничные компании в регионе Азиатско-Тихоокеанского региона.
Они скомпрометировали 65 веб-сайтов в период с ноября по декабрь определенного года.
Атаки с использованием SQL-инъекций являются их основным методом кражи пользовательских баз данных, содержащих конфиденциальные персональные данные.
Они продают украденные данные по Telegram-каналам.
Они заражают законные веб-сайты по поиску работы скриптами XSS для отображения фишинговых форм.
Group-IB, компания по кибербезопасности, сообщила об аналогичных атаках со стороны другой группы под названием GambleForce в регионе APAC.
ResumeLooters в первую очередь ориентирован на страны Азиатско-Тихоокеанского региона, но также скомпрометировал компании за пределами APAC.
Они используют различные инструменты тестирования на проникновение, такие как sqlmap, Acunetix, Beef Framework, X-Ray, Metasploit, ARL и Dirsearch.
Группа внедряет XSS-скрипты в веб-формы и вставляет вредоносные скрипты на законные веб-сайты.
На их вредоносном сервере размещены инструменты с открытым исходным кодом и самописные скрипты для подключения к целевым веб-сайтам и анализа данных.
Были идентифицированы по меньшей мере два аккаунта Telegram, связанных с злоумышленниками.
В результате атак раскрываются личные данные соискателей работы, которые могут быть использованы продвинутыми группами постоянных угроз.
Параметризованные инструкции, проверка входных данных и реализация WAF рекомендуются для защиты от SQL-инъекций и XSS-атак.
Решение Group-IB для защиты от мошенничества использует искусственный интеллект для выявления и блокирования вредоносной активности ботов.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что существует банда киберпреступников под названием ResumeLooters, которая нацелена на агентства по трудоустройству и розничные компании в Азиатско-Тихоокеанском регионе. Они используют SQL-инъекции для кражи пользовательских баз данных, содержащих персональные данные, которые они продают в Telegram-каналах. Группа также заражает веб-сайты по поиску работы скриптами XSS и фишинговыми формами. Group-IB, компания по кибербезопасности, отслеживает атаки и отправляет уведомления компаниям-мишеням. ResumeLooters использует различные инструменты тестирования на проникновение и вредоносные методы для проведения своих атак. Существует риск того, что украденные данные могут быть использованы другими группами угроз, и организациям рекомендуется внедрять такие меры безопасности, как параметризованные инструкции, проверка ввода и брандмауэры веб-приложений. Решение Group-IB для защиты от мошенничества предлагает профилирование поведения пользователей на основе искусственного интеллекта для обнаружения и блокирования мошеннических действий.
-----
ResumeLooters - это киберпреступная банда, нацеленная на агентства по трудоустройству и розничные компании в регионе Азиатско-Тихоокеанского региона.
Они скомпрометировали 65 веб-сайтов в период с ноября по декабрь определенного года.
Атаки с использованием SQL-инъекций являются их основным методом кражи пользовательских баз данных, содержащих конфиденциальные персональные данные.
Они продают украденные данные по Telegram-каналам.
Они заражают законные веб-сайты по поиску работы скриптами XSS для отображения фишинговых форм.
Group-IB, компания по кибербезопасности, сообщила об аналогичных атаках со стороны другой группы под названием GambleForce в регионе APAC.
ResumeLooters в первую очередь ориентирован на страны Азиатско-Тихоокеанского региона, но также скомпрометировал компании за пределами APAC.
Они используют различные инструменты тестирования на проникновение, такие как sqlmap, Acunetix, Beef Framework, X-Ray, Metasploit, ARL и Dirsearch.
Группа внедряет XSS-скрипты в веб-формы и вставляет вредоносные скрипты на законные веб-сайты.
На их вредоносном сервере размещены инструменты с открытым исходным кодом и самописные скрипты для подключения к целевым веб-сайтам и анализа данных.
Были идентифицированы по меньшей мере два аккаунта Telegram, связанных с злоумышленниками.
В результате атак раскрываются личные данные соискателей работы, которые могут быть использованы продвинутыми группами постоянных угроз.
Параметризованные инструкции, проверка входных данных и реализация WAF рекомендуются для защиты от SQL-инъекций и XSS-атак.
Решение Group-IB для защиты от мошенничества использует искусственный интеллект для выявления и блокирования вредоносной активности ботов.
#INSECA #education
Коллеги из INSECA выпустили первый русскоязычный курс по работе с платформой OpenCTI.
На курсе дают пошаговую инструкцию, доступ к виртуальной машине платформы ОpenCTI и практические задания с обратной связью от эксперта. Также вы сможете самостоятельно подключить индикаторы (IOC) и TI-отчеты и использовать в работе продукты компании Технологии киберугроз (бренд RST Cloud Russia).
После освоения курса вы научитесь:
— свободно ориентироваться в интерфейсе и функционале платформы ОpenCTI;
— разворачивать платформу ОpenCTI для личного пользования и подключать коннекторы;
— настраивать платформу под рабочие задачи;
— обслуживать платформу, выявлять и решать неполадки.
Набор открыт, начать можно уже сейчас.
Коллеги из INSECA выпустили первый русскоязычный курс по работе с платформой OpenCTI.
На курсе дают пошаговую инструкцию, доступ к виртуальной машине платформы ОpenCTI и практические задания с обратной связью от эксперта. Также вы сможете самостоятельно подключить индикаторы (IOC) и TI-отчеты и использовать в работе продукты компании Технологии киберугроз (бренд RST Cloud Russia).
После освоения курса вы научитесь:
— свободно ориентироваться в интерфейсе и функционале платформы ОpenCTI;
— разворачивать платформу ОpenCTI для личного пользования и подключать коннекторы;
— настраивать платформу под рабочие задачи;
— обслуживать платформу, выявлять и решать неполадки.
Набор открыт, начать можно уже сейчас.
inseca.tech
Работа с OpenCTI — курс по платформе анализа киберугроз с практикой | INSECA
Научись пользоваться платформой OpenCTI. Программа на 70% из практических заданий. Бесплатный демодоступ курса. Государственная лицензия. Резидент "Сколково".
👍2🔥1💩1
CTT Report Hub pinned «#INSECA #education Коллеги из INSECA выпустили первый русскоязычный курс по работе с платформой OpenCTI. На курсе дают пошаговую инструкцию, доступ к виртуальной машине платформы ОpenCTI и практические задания с обратной связью от эксперта. Также вы сможете…»
#cyberthreattech
Ну и напомню, что у нас есть офф. коннекторы к OpenCTI в их репе.
Мы вливаем в OpenCTI IOC-и с контекстом.
Также мы разбираем TI-отчеты на запчасти и вытаскиваем связи между этими объектами, генерим саммари на русском и вливаем в OpenCTI в STIX-формате.
Ну и напомню, что у нас есть офф. коннекторы к OpenCTI в их репе.
Мы вливаем в OpenCTI IOC-и с контекстом.
Также мы разбираем TI-отчеты на запчасти и вытаскиваем связи между этими объектами, генерим саммари на русском и вливаем в OpenCTI в STIX-формате.
#ParsedReport #CompletenessMedium
07-02-2024
Pony \| Fareit. _Overview
https://rexorvc0.com/2024/02/04/Pony_Fareit
Report completeness: Medium
Actors/Campaigns:
Cobalt
Ta505
Ta544
Threats:
Pony
Process_injection_technique
Process_hollowing_technique
Upx_tool
Industry:
Education
TTPs:
Tactics: 3
Technics: 0
ChatGPT TTPs:
T1566, T1190, T1059.001, T1547, T1107, T1055, T1071, T1027, T1583
IOCs:
Hash: 10
Soft:
VirtualBox
Algorithms:
zip
Links:
07-02-2024
Pony \| Fareit. _Overview
https://rexorvc0.com/2024/02/04/Pony_Fareit
Report completeness: Medium
Actors/Campaigns:
Cobalt
Ta505
Ta544
Threats:
Pony
Process_injection_technique
Process_hollowing_technique
Upx_tool
Industry:
Education
TTPs:
Tactics: 3
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1566, T1190, T1059.001, T1547, T1107, T1055, T1071, T1027, T1583
IOCs:
Hash: 10
Soft:
VirtualBox
Algorithms:
zip
Links:
https://github.com/vc0RExor/Quick-Analysis/assets/91592110/RexorVc0
Pony | Fareit
Threat Researcher
CTT Report Hub
#ParsedReport #CompletenessMedium 07-02-2024 Pony \| Fareit. _Overview https://rexorvc0.com/2024/02/04/Pony_Fareit Report completeness: Medium Actors/Campaigns: Cobalt Ta505 Ta544 Threats: Pony Process_injection_technique Process_hollowing_technique Upx_tool…
#ParsedReport #ExtractedSchema
Classified images:
schema: 5, windows: 4, code: 25, table: 3, chats: 1, dump: 1
Classified images:
schema: 5, windows: 4, code: 25, table: 3, chats: 1, dump: 1
CTT Report Hub
#ParsedReport #CompletenessMedium 07-02-2024 Pony \| Fareit. _Overview https://rexorvc0.com/2024/02/04/Pony_Fareit Report completeness: Medium Actors/Campaigns: Cobalt Ta505 Ta544 Threats: Pony Process_injection_technique Process_hollowing_technique Upx_tool…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
В тексте обсуждается Pony, сложная и давно существующая вредоносная программа, которая используется для кражи информации, распространения других вредоносных программ и работы в качестве ботнета. Она обычно используется преступными группами для кражи данных и получения финансовой выгоды, часто распространяется различными способами, такими как фишинговые кампании и поддельные программы. Pony взаимодействует с вредоносными серверами, использует удаление процессов для вставки кода в целевые процессы и позволяет удаленно управлять запуском дальнейших атак.
-----
В тексте обсуждается Pony, вредоносное ПО, которое используется уже более 10 лет и все еще обновляется и распространяется. В основном оно используется для кражи информации, запуска других вредоносных программ и в качестве ботнета. Pony был замечен в фишинговых кампаниях, наборах эксплойтов и поддельных программах. Он обычно используется преступными группами для кражи данных и зарабатывания денег. Вредоносное ПО обычно распространяется через документы или сжатые файлы, а также поддерживает постоянство с помощью вспомогательных файлов и внедряет код в легитимные .Сетевые инструменты. Pony взаимодействует с целевыми веб-сайтами после кражи данных и системной информации. Он использует прерывание процесса для вставки кода в целевые процессы и устанавливает связь с сервером управления. Вредоносной программой можно управлять удаленно для запуска дополнительных атак. Некоторые образцы Pony включают URL-адреса для связи с сервером C&C, часто размещаемые на эксплуатируемых законных веб-сайтах компаний.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
В тексте обсуждается Pony, сложная и давно существующая вредоносная программа, которая используется для кражи информации, распространения других вредоносных программ и работы в качестве ботнета. Она обычно используется преступными группами для кражи данных и получения финансовой выгоды, часто распространяется различными способами, такими как фишинговые кампании и поддельные программы. Pony взаимодействует с вредоносными серверами, использует удаление процессов для вставки кода в целевые процессы и позволяет удаленно управлять запуском дальнейших атак.
-----
В тексте обсуждается Pony, вредоносное ПО, которое используется уже более 10 лет и все еще обновляется и распространяется. В основном оно используется для кражи информации, запуска других вредоносных программ и в качестве ботнета. Pony был замечен в фишинговых кампаниях, наборах эксплойтов и поддельных программах. Он обычно используется преступными группами для кражи данных и зарабатывания денег. Вредоносное ПО обычно распространяется через документы или сжатые файлы, а также поддерживает постоянство с помощью вспомогательных файлов и внедряет код в легитимные .Сетевые инструменты. Pony взаимодействует с целевыми веб-сайтами после кражи данных и системной информации. Он использует прерывание процесса для вставки кода в целевые процессы и устанавливает связь с сервером управления. Вредоносной программой можно управлять удаленно для запуска дополнительных атак. Некоторые образцы Pony включают URL-адреса для связи с сервером C&C, часто размещаемые на эксплуатируемых законных веб-сайтах компаний.
#ParsedReport #CompletenessMedium
07-02-2024
Raspberry Robin Keeps Riding the Wave of Endless 1-Days
https://research.checkpoint.com/2024/raspberry-robin-keeps-riding-the-wave-of-endless-1-days
Report completeness: Medium
Actors/Campaigns:
Evil_corp
Ta505
Threats:
Raspberry_robin
Paexec_tool
CVEs:
CVE-2023-36802 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- microsoft windows 10 1809 (<10.0.17763.4851)
- microsoft windows 10 21h2 (<10.0.19044.3448)
- microsoft windows 10 22h2 (<10.0.19045.3448)
- microsoft windows 11 21h2 (<10.0.22000.2416)
- microsoft windows 11 22h2 (<10.0.22621.2275)
have more...
CVE-2023-29360 [Vulners]
CVSS V3.1: 8.4,
Vulners: Exploitation: Unknown
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- microsoft windows 10 1607 (<10.0.14393.5989)
- microsoft windows 10 1809 (<10.0.17763.4499)
- microsoft windows 10 21h2 (<10.0.19045.3087)
- microsoft windows 10 22h2 (<10.0.19045.3087)
- microsoft windows 11 21h2 (<10.0.22000.2057)
have more...
CVE-2021-1732 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- microsoft windows 10 (1803, 1809, 1909, 2004, 20h2)
- microsoft windows server 2019 (-)
- microsoft windows server 2016 (1909, 2004, 20h2)
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1068, T1547, T1055, T1027, T1562, T1090, T1218, T1036, T1574, T1210, have more...
IOCs:
File: 14
Registry: 1
Hash: 17
Url: 4
Soft:
Discord, Event Tracing for Windows, Remote Desktop Services, PsExec, Sysinternals
Wallets:
harmony_wallet
Algorithms:
rc4
Functions:
GetDefaultLangId
Win API:
NtQuerySystemInformation, UuidCreate, UuidToStringW, GetUserDefaultLangID, GetModuleHandleW, NtTraceEvent, NtSetInformationThread, AbortSystemShutdownW, WNDPROC, ShutdownBlockReasonCreate, have more...
07-02-2024
Raspberry Robin Keeps Riding the Wave of Endless 1-Days
https://research.checkpoint.com/2024/raspberry-robin-keeps-riding-the-wave-of-endless-1-days
Report completeness: Medium
Actors/Campaigns:
Evil_corp
Ta505
Threats:
Raspberry_robin
Paexec_tool
CVEs:
CVE-2023-36802 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- microsoft windows 10 1809 (<10.0.17763.4851)
- microsoft windows 10 21h2 (<10.0.19044.3448)
- microsoft windows 10 22h2 (<10.0.19045.3448)
- microsoft windows 11 21h2 (<10.0.22000.2416)
- microsoft windows 11 22h2 (<10.0.22621.2275)
have more...
CVE-2023-29360 [Vulners]
CVSS V3.1: 8.4,
Vulners: Exploitation: Unknown
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- microsoft windows 10 1607 (<10.0.14393.5989)
- microsoft windows 10 1809 (<10.0.17763.4499)
- microsoft windows 10 21h2 (<10.0.19045.3087)
- microsoft windows 10 22h2 (<10.0.19045.3087)
- microsoft windows 11 21h2 (<10.0.22000.2057)
have more...
CVE-2021-1732 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- microsoft windows 10 (1803, 1809, 1909, 2004, 20h2)
- microsoft windows server 2019 (-)
- microsoft windows server 2016 (1909, 2004, 20h2)
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1068, T1547, T1055, T1027, T1562, T1090, T1218, T1036, T1574, T1210, have more...
IOCs:
File: 14
Registry: 1
Hash: 17
Url: 4
Soft:
Discord, Event Tracing for Windows, Remote Desktop Services, PsExec, Sysinternals
Wallets:
harmony_wallet
Algorithms:
rc4
Functions:
GetDefaultLangId
Win API:
NtQuerySystemInformation, UuidCreate, UuidToStringW, GetUserDefaultLangID, GetModuleHandleW, NtTraceEvent, NtSetInformationThread, AbortSystemShutdownW, WNDPROC, ShutdownBlockReasonCreate, have more...
Check Point Research
Raspberry Robin Keeps Riding the Wave of Endless 1-Days - Check Point Research
Key Findings Introduction Raspberry Robin is a widely distributed worm first reported by Red Canary in 2021. Its capabilities and evasions in addition to its very active distribution made it one of the most intriguing malware out there. We at Check Point…
CTT Report Hub
#ParsedReport #CompletenessMedium 07-02-2024 Raspberry Robin Keeps Riding the Wave of Endless 1-Days https://research.checkpoint.com/2024/raspberry-robin-keeps-riding-the-wave-of-endless-1-days Report completeness: Medium Actors/Campaigns: Evil_corp Ta505…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что вредоносная программа под названием Raspberry Robin - это очень сложный и эволюционирующий червь, который активно распространяется с 2021 года. Он связан с различными группами киберпреступников и демонстрирует расширенные возможности, такие как использование новых эксплойтов до публичного раскрытия, изменение методов коммуникации, применение различных тактик повышения привилегий и использование методов уклонения, чтобы избежать обнаружения.
-----
В тексте обсуждается поведение и тактика вредоносного ПО, известного как Raspberry Robin, которое является широко распространенным червем, активно распространяющимся с 2021 года. Было замечено, что Raspberry Robin использует новые эксплойты 1-day LPE, что указывает на доступ к продавцу эксплойтов или возможность активной разработки эксплойтов. Червь постоянно развивается, добавляя новые функции и методы уклонения, чтобы улучшить свои возможности скрытности.
Raspberry Robin был связан с различными группами киберпреступников и служит посредником первоначального доступа для развертывания дополнительных вредоносных программ. Вредоносная программа была связана с использованием уязвимостей, таких как CVE-2023-36802 и CVE-2023-29360, в целях повышения привилегий. Он также продемонстрировал способность изменять свои методы коммуникации, тактику боковых перемещений и обходить механизмы обнаружения, чтобы избежать поведенческих сигнатур, основанных на предыдущих версиях.
Вредоносная программа использует различные методы повышения привилегий, такие как использование эксплойтов kernel LPE, специфичных для уязвимых версий Windows и номеров сборки. Она внедряет уникальные загрузчики в законные компоненты Windows для выполнения эксплойтов. Связь между Raspberry Robin и ее командно-контрольными серверами осуществляется с помощью модулей TOR, внедренных в такие процессы, как rundll32.exe.
Кроме того, Raspberry Robin использует несколько тактик уклонения, таких как проверка сред виртуальных машин, изменение стратегий бокового перемещения, уклонение от завершения работы системы с помощью специализированных процедур и обход мониторинга ETW путем исправления определенных API. Вредоносная программа использует PAExec.exe для бокового перемещения и избегает запуска в системах, защищенных унифицированным фильтром записи.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что вредоносная программа под названием Raspberry Robin - это очень сложный и эволюционирующий червь, который активно распространяется с 2021 года. Он связан с различными группами киберпреступников и демонстрирует расширенные возможности, такие как использование новых эксплойтов до публичного раскрытия, изменение методов коммуникации, применение различных тактик повышения привилегий и использование методов уклонения, чтобы избежать обнаружения.
-----
В тексте обсуждается поведение и тактика вредоносного ПО, известного как Raspberry Robin, которое является широко распространенным червем, активно распространяющимся с 2021 года. Было замечено, что Raspberry Robin использует новые эксплойты 1-day LPE, что указывает на доступ к продавцу эксплойтов или возможность активной разработки эксплойтов. Червь постоянно развивается, добавляя новые функции и методы уклонения, чтобы улучшить свои возможности скрытности.
Raspberry Robin был связан с различными группами киберпреступников и служит посредником первоначального доступа для развертывания дополнительных вредоносных программ. Вредоносная программа была связана с использованием уязвимостей, таких как CVE-2023-36802 и CVE-2023-29360, в целях повышения привилегий. Он также продемонстрировал способность изменять свои методы коммуникации, тактику боковых перемещений и обходить механизмы обнаружения, чтобы избежать поведенческих сигнатур, основанных на предыдущих версиях.
Вредоносная программа использует различные методы повышения привилегий, такие как использование эксплойтов kernel LPE, специфичных для уязвимых версий Windows и номеров сборки. Она внедряет уникальные загрузчики в законные компоненты Windows для выполнения эксплойтов. Связь между Raspberry Robin и ее командно-контрольными серверами осуществляется с помощью модулей TOR, внедренных в такие процессы, как rundll32.exe.
Кроме того, Raspberry Robin использует несколько тактик уклонения, таких как проверка сред виртуальных машин, изменение стратегий бокового перемещения, уклонение от завершения работы системы с помощью специализированных процедур и обход мониторинга ETW путем исправления определенных API. Вредоносная программа использует PAExec.exe для бокового перемещения и избегает запуска в системах, защищенных унифицированным фильтром записи.
#ParsedReport #CompletenessLow
07-02-2024
Malware analysis report: Stealc stealer - part 2. Send Login Data Permalink
https://mssplab.github.io/threat-hunting/2024/02/01/malware-analysis-stealc-3.html
Report completeness: Low
Threats:
Stealc
Plymouth_actor
Qtox
Industry:
Entertainment, Financial
ChatGPT TTPs:
T1056, T1027, T1560, T1567, T1112, T1071, T1547, T1055
IOCs:
File: 16
Path: 4
Soft:
Chrome, Unix, Mozilla Firefox, component object model, discord, telegram, outlook, pidgin
Wallets:
metamask
Algorithms:
base64, aes, ecdsa
Functions:
mw_Decrypt_Using_AES, FindFirstFile, FindNextFile, ReadOnly
Win API:
SHGetFolderPathA, BcryptDecrypt, localalloc, Readfile, CreateFileA, CoCreateInstance, GetPath, RegQueryValueExA, CryptUnProtectData
Languages:
javascript
Links:
07-02-2024
Malware analysis report: Stealc stealer - part 2. Send Login Data Permalink
https://mssplab.github.io/threat-hunting/2024/02/01/malware-analysis-stealc-3.html
Report completeness: Low
Threats:
Stealc
Plymouth_actor
Qtox
Industry:
Entertainment, Financial
ChatGPT TTPs:
do not use without manual checkT1056, T1027, T1560, T1567, T1112, T1071, T1547, T1055
IOCs:
File: 16
Path: 4
Soft:
Chrome, Unix, Mozilla Firefox, component object model, discord, telegram, outlook, pidgin
Wallets:
metamask
Algorithms:
base64, aes, ecdsa
Functions:
mw_Decrypt_Using_AES, FindFirstFile, FindNextFile, ReadOnly
Win API:
SHGetFolderPathA, BcryptDecrypt, localalloc, Readfile, CreateFileA, CoCreateInstance, GetPath, RegQueryValueExA, CryptUnProtectData
Languages:
javascript
Links:
https://github.com/p3pperp0tts/malware\_decompiled\_code/blob/master/GrandSteal/GrandSteal.Client.Data/GrandSteal.Client.Data/Recovery/TelegramManager.cshttps://github.com/FarghlyMal/Decryptors-and-Extractors/tree/main/Stealc%20StealerMSSP Research Lab
Malware analysis report: Stealc stealer - part 3
This is a last part of our analysis report of Stealc, an information stealer promoted by its supposed developer Plymouth on Russian-language underground forums and sold as malware as a service since January 9, 2023.
CTT Report Hub
#ParsedReport #CompletenessLow 07-02-2024 Malware analysis report: Stealc stealer - part 2. Send Login Data Permalink https://mssplab.github.io/threat-hunting/2024/02/01/malware-analysis-stealc-3.html Report completeness: Low Threats: Stealc Plymouth_actor…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея: В аналитическом отчете подробно описываются функциональность и поведение Stealc, вредоносного ПО для кражи информации, продаваемого на российских подпольных форумах с 9 января 2023 года, которое отправляет различные конфиденциальные данные на сервер командования и контроля, демонстрируя при этом скрытное поведение, чтобы избежать обнаружения.
-----
В аналитическом отчете обсуждается Stealc, программа для кражи информации, продаваемая как вредоносное ПО в качестве сервиса на русскоязычных подпольных форумах с 9 января 2023 года. Stealc извлекает имена пользователей, пароли, криптокошельки, файлы cookie, данные кредитных карт и расширения браузера на сервер C2. Он манипулирует файлами, чтобы избежать обнаружения, расшифровывает данные для извлечения, обрабатывает Opera и Chrome аналогично, но Firefox по-другому. Stealc также нацелен на учетные данные Steam, данные сеанса Telegram и файлы qTox *.ini. Он расшифровывает ключи реестра Outlook и файлы конфигурации Pidgin. Вредоносная программа проявляет скрытное поведение, удаляя и выполняя дополнительные этапы, за которыми следует удаление загруженных библиотек DLL, самоудаление с компьютера и завершение процесса.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея: В аналитическом отчете подробно описываются функциональность и поведение Stealc, вредоносного ПО для кражи информации, продаваемого на российских подпольных форумах с 9 января 2023 года, которое отправляет различные конфиденциальные данные на сервер командования и контроля, демонстрируя при этом скрытное поведение, чтобы избежать обнаружения.
-----
В аналитическом отчете обсуждается Stealc, программа для кражи информации, продаваемая как вредоносное ПО в качестве сервиса на русскоязычных подпольных форумах с 9 января 2023 года. Stealc извлекает имена пользователей, пароли, криптокошельки, файлы cookie, данные кредитных карт и расширения браузера на сервер C2. Он манипулирует файлами, чтобы избежать обнаружения, расшифровывает данные для извлечения, обрабатывает Opera и Chrome аналогично, но Firefox по-другому. Stealc также нацелен на учетные данные Steam, данные сеанса Telegram и файлы qTox *.ini. Он расшифровывает ключи реестра Outlook и файлы конфигурации Pidgin. Вредоносная программа проявляет скрытное поведение, удаляя и выполняя дополнительные этапы, за которыми следует удаление загруженных библиотек DLL, самоудаление с компьютера и завершение процесса.
#ParsedReport #CompletenessMedium
07-02-2024
Doppelganger Dilemma: New XPhase Clipper s Proliferation via Deceptive Crypto Sites and Cloned YouTube Videos
https://cyble.com/blog/doppelganger-dilemma-new-xphase-clippers-proliferation-via-deceptive-crypto-sites-and-cloned-youtube-videos
Report completeness: Medium
Threats:
Xphase
Sysupdate
Victims:
Cryptocurrency users
Industry:
Financial
Geo:
Russian, Russia, Indian
TTPs:
Tactics: 7
Technics: 7
IOCs:
IP: 1
Url: 6
Email: 1
Domain: 2
File: 3
Path: 4
Registry: 1
Hash: 7
Wallets:
metamask
Crypto:
bitcoin, ethereum, tether, dogecoin
Algorithms:
sha256, exhibit, zip
Functions:
get_clipboard_content, set_clipboard_content
Languages:
visual_basic
07-02-2024
Doppelganger Dilemma: New XPhase Clipper s Proliferation via Deceptive Crypto Sites and Cloned YouTube Videos
https://cyble.com/blog/doppelganger-dilemma-new-xphase-clippers-proliferation-via-deceptive-crypto-sites-and-cloned-youtube-videos
Report completeness: Medium
Threats:
Xphase
Sysupdate
Victims:
Cryptocurrency users
Industry:
Financial
Geo:
Russian, Russia, Indian
TTPs:
Tactics: 7
Technics: 7
IOCs:
IP: 1
Url: 6
Email: 1
Domain: 2
File: 3
Path: 4
Registry: 1
Hash: 7
Wallets:
metamask
Crypto:
bitcoin, ethereum, tether, dogecoin
Algorithms:
sha256, exhibit, zip
Functions:
get_clipboard_content, set_clipboard_content
Languages:
visual_basic
Cyble
XPhase Clipper Spreads Via Fake Crypto Sites, Videos
XPhase Clipper malware targets crypto users via fake sites and cloned YouTube videos, intercepting wallet addresses to steal funds. Stay informed with Cyble.
CTT Report Hub
#ParsedReport #CompletenessMedium 07-02-2024 Doppelganger Dilemma: New XPhase Clipper s Proliferation via Deceptive Crypto Sites and Cloned YouTube Videos https://cyble.com/blog/doppelganger-dilemma-new-xphase-clippers-proliferation-via-deceptive-crypto…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея: Исследование Cyble выявило активную кампанию вредоносного ПО, нацеленную на пользователей криптовалюты через обманчивые веб-сайты, выдающие себя за законные криптоприложения, распространяющие полезную нагрузку clipper под названием XPhase. Задействованные субъекты угроз сосредотачиваются на перехвате и модификации адресов криптовалютных кошельков по всему миру, используя специализированные фишинговые сайты для индийских и российских пользователей, демонстрируя стойкость и адаптивность своих вредоносных схем. Цепочка заражения включает различные вредоносные исполняемые файлы и скрипты, ведущие к выполнению полезной нагрузки XPhase clipper. Вредоносные действия связаны с IP-адресом, управляемым Reg.Ru Хостингом в России, и участники угроз повторно используют адреса электронной почты, связанные с предыдущими фишинговыми кампаниями. Кроме того, использование клонированных видеороликов с авторитетных каналов YouTube показывает изобретательность участников угроз в распространении своего вредоносного ПО.
-----
Исследование Cyble выявило активную вредоносную кампанию, нацеленную на пользователей криптовалют, распространяющую полезную нагрузку clipper под названием XPhase через обманчивые веб-сайты, выдающие себя за законные криптографические приложения, такие как Metamask, Wazirx, Lunoapp и Cryptonotify. Злоумышленники, стоящие за кампанией, сосредоточены на перехвате и изменении адресов криптовалютных кошельков для перенаправления средств под свой контроль. Они нацелены на пользователей по всему миру, но создали специальные фишинговые сайты для индийских и российских пользователей. Цепочка заражения включает zip-файл с вредоносными исполняемыми файлами, VB-скрипт и файлы пакетных сценариев, приводящие к выполнению полезной нагрузки XPhase clipper в виде DLL-файла. Вредоносные действия связаны с IP-адресом, управляемым Reg.Ru Хостинг в России. TA повторно использовала адреса электронной почты, связанные с предыдущими фишинговыми кампаниями, демонстрируя настойчивость и адаптивность. Использование клонированных видеороликов с авторитетных каналов YouTube со значительной базой подписчиков демонстрирует изобретательность TA в распространении своих вредоносных схем.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея: Исследование Cyble выявило активную кампанию вредоносного ПО, нацеленную на пользователей криптовалюты через обманчивые веб-сайты, выдающие себя за законные криптоприложения, распространяющие полезную нагрузку clipper под названием XPhase. Задействованные субъекты угроз сосредотачиваются на перехвате и модификации адресов криптовалютных кошельков по всему миру, используя специализированные фишинговые сайты для индийских и российских пользователей, демонстрируя стойкость и адаптивность своих вредоносных схем. Цепочка заражения включает различные вредоносные исполняемые файлы и скрипты, ведущие к выполнению полезной нагрузки XPhase clipper. Вредоносные действия связаны с IP-адресом, управляемым Reg.Ru Хостингом в России, и участники угроз повторно используют адреса электронной почты, связанные с предыдущими фишинговыми кампаниями. Кроме того, использование клонированных видеороликов с авторитетных каналов YouTube показывает изобретательность участников угроз в распространении своего вредоносного ПО.
-----
Исследование Cyble выявило активную вредоносную кампанию, нацеленную на пользователей криптовалют, распространяющую полезную нагрузку clipper под названием XPhase через обманчивые веб-сайты, выдающие себя за законные криптографические приложения, такие как Metamask, Wazirx, Lunoapp и Cryptonotify. Злоумышленники, стоящие за кампанией, сосредоточены на перехвате и изменении адресов криптовалютных кошельков для перенаправления средств под свой контроль. Они нацелены на пользователей по всему миру, но создали специальные фишинговые сайты для индийских и российских пользователей. Цепочка заражения включает zip-файл с вредоносными исполняемыми файлами, VB-скрипт и файлы пакетных сценариев, приводящие к выполнению полезной нагрузки XPhase clipper в виде DLL-файла. Вредоносные действия связаны с IP-адресом, управляемым Reg.Ru Хостинг в России. TA повторно использовала адреса электронной почты, связанные с предыдущими фишинговыми кампаниями, демонстрируя настойчивость и адаптивность. Использование клонированных видеороликов с авторитетных каналов YouTube со значительной базой подписчиков демонстрирует изобретательность TA в распространении своих вредоносных схем.