CTT Report Hub
3.39K subscribers
9.57K photos
6 videos
67 files
13.2K links
Threat Intelligence Report Hub
Download Telegram
#ParsedReport #CompletenessMedium
07-02-2024

Raspberry Robin Keeps Riding the Wave of Endless 1-Days

https://research.checkpoint.com/2024/raspberry-robin-keeps-riding-the-wave-of-endless-1-days

Report completeness: Medium

Actors/Campaigns:
Evil_corp
Ta505

Threats:
Raspberry_robin
Paexec_tool

CVEs:
CVE-2023-36802 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- microsoft windows 10 1809 (<10.0.17763.4851)
- microsoft windows 10 21h2 (<10.0.19044.3448)
- microsoft windows 10 22h2 (<10.0.19045.3448)
- microsoft windows 11 21h2 (<10.0.22000.2416)
- microsoft windows 11 22h2 (<10.0.22621.2275)
have more...
CVE-2023-29360 [Vulners]
CVSS V3.1: 8.4,
Vulners: Exploitation: Unknown
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- microsoft windows 10 1607 (<10.0.14393.5989)
- microsoft windows 10 1809 (<10.0.17763.4499)
- microsoft windows 10 21h2 (<10.0.19045.3087)
- microsoft windows 10 22h2 (<10.0.19045.3087)
- microsoft windows 11 21h2 (<10.0.22000.2057)
have more...
CVE-2021-1732 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- microsoft windows 10 (1803, 1809, 1909, 2004, 20h2)
- microsoft windows server 2019 (-)
- microsoft windows server 2016 (1909, 2004, 20h2)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1068, T1547, T1055, T1027, T1562, T1090, T1218, T1036, T1574, T1210, have more...

IOCs:
File: 14
Registry: 1
Hash: 17
Url: 4

Soft:
Discord, Event Tracing for Windows, Remote Desktop Services, PsExec, Sysinternals

Wallets:
harmony_wallet

Algorithms:
rc4

Functions:
GetDefaultLangId

Win API:
NtQuerySystemInformation, UuidCreate, UuidToStringW, GetUserDefaultLangID, GetModuleHandleW, NtTraceEvent, NtSetInformationThread, AbortSystemShutdownW, WNDPROC, ShutdownBlockReasonCreate, have more...
CTT Report Hub
#ParsedReport #CompletenessMedium 07-02-2024 Raspberry Robin Keeps Riding the Wave of Endless 1-Days https://research.checkpoint.com/2024/raspberry-robin-keeps-riding-the-wave-of-endless-1-days Report completeness: Medium Actors/Campaigns: Evil_corp Ta505…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что вредоносная программа под названием Raspberry Robin - это очень сложный и эволюционирующий червь, который активно распространяется с 2021 года. Он связан с различными группами киберпреступников и демонстрирует расширенные возможности, такие как использование новых эксплойтов до публичного раскрытия, изменение методов коммуникации, применение различных тактик повышения привилегий и использование методов уклонения, чтобы избежать обнаружения.
-----

В тексте обсуждается поведение и тактика вредоносного ПО, известного как Raspberry Robin, которое является широко распространенным червем, активно распространяющимся с 2021 года. Было замечено, что Raspberry Robin использует новые эксплойты 1-day LPE, что указывает на доступ к продавцу эксплойтов или возможность активной разработки эксплойтов. Червь постоянно развивается, добавляя новые функции и методы уклонения, чтобы улучшить свои возможности скрытности.

Raspberry Robin был связан с различными группами киберпреступников и служит посредником первоначального доступа для развертывания дополнительных вредоносных программ. Вредоносная программа была связана с использованием уязвимостей, таких как CVE-2023-36802 и CVE-2023-29360, в целях повышения привилегий. Он также продемонстрировал способность изменять свои методы коммуникации, тактику боковых перемещений и обходить механизмы обнаружения, чтобы избежать поведенческих сигнатур, основанных на предыдущих версиях.

Вредоносная программа использует различные методы повышения привилегий, такие как использование эксплойтов kernel LPE, специфичных для уязвимых версий Windows и номеров сборки. Она внедряет уникальные загрузчики в законные компоненты Windows для выполнения эксплойтов. Связь между Raspberry Robin и ее командно-контрольными серверами осуществляется с помощью модулей TOR, внедренных в такие процессы, как rundll32.exe.

Кроме того, Raspberry Robin использует несколько тактик уклонения, таких как проверка сред виртуальных машин, изменение стратегий бокового перемещения, уклонение от завершения работы системы с помощью специализированных процедур и обход мониторинга ETW путем исправления определенных API. Вредоносная программа использует PAExec.exe для бокового перемещения и избегает запуска в системах, защищенных унифицированным фильтром записи.
#ParsedReport #CompletenessLow
07-02-2024

Malware analysis report: Stealc stealer - part 2. Send Login Data Permalink

https://mssplab.github.io/threat-hunting/2024/02/01/malware-analysis-stealc-3.html

Report completeness: Low

Threats:
Stealc
Plymouth_actor
Qtox

Industry:
Entertainment, Financial

ChatGPT TTPs:
do not use without manual check
T1056, T1027, T1560, T1567, T1112, T1071, T1547, T1055

IOCs:
File: 16
Path: 4

Soft:
Chrome, Unix, Mozilla Firefox, component object model, discord, telegram, outlook, pidgin

Wallets:
metamask

Algorithms:
base64, aes, ecdsa

Functions:
mw_Decrypt_Using_AES, FindFirstFile, FindNextFile, ReadOnly

Win API:
SHGetFolderPathA, BcryptDecrypt, localalloc, Readfile, CreateFileA, CoCreateInstance, GetPath, RegQueryValueExA, CryptUnProtectData

Languages:
javascript

Links:
https://github.com/p3pperp0tts/malware\_decompiled\_code/blob/master/GrandSteal/GrandSteal.Client.Data/GrandSteal.Client.Data/Recovery/TelegramManager.cs
https://github.com/FarghlyMal/Decryptors-and-Extractors/tree/main/Stealc%20Stealer
CTT Report Hub
#ParsedReport #CompletenessLow 07-02-2024 Malware analysis report: Stealc stealer - part 2. Send Login Data Permalink https://mssplab.github.io/threat-hunting/2024/02/01/malware-analysis-stealc-3.html Report completeness: Low Threats: Stealc Plymouth_actor…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея: В аналитическом отчете подробно описываются функциональность и поведение Stealc, вредоносного ПО для кражи информации, продаваемого на российских подпольных форумах с 9 января 2023 года, которое отправляет различные конфиденциальные данные на сервер командования и контроля, демонстрируя при этом скрытное поведение, чтобы избежать обнаружения.
-----

В аналитическом отчете обсуждается Stealc, программа для кражи информации, продаваемая как вредоносное ПО в качестве сервиса на русскоязычных подпольных форумах с 9 января 2023 года. Stealc извлекает имена пользователей, пароли, криптокошельки, файлы cookie, данные кредитных карт и расширения браузера на сервер C2. Он манипулирует файлами, чтобы избежать обнаружения, расшифровывает данные для извлечения, обрабатывает Opera и Chrome аналогично, но Firefox по-другому. Stealc также нацелен на учетные данные Steam, данные сеанса Telegram и файлы qTox *.ini. Он расшифровывает ключи реестра Outlook и файлы конфигурации Pidgin. Вредоносная программа проявляет скрытное поведение, удаляя и выполняя дополнительные этапы, за которыми следует удаление загруженных библиотек DLL, самоудаление с компьютера и завершение процесса.
#ParsedReport #CompletenessMedium
07-02-2024

Doppelganger Dilemma: New XPhase Clipper s Proliferation via Deceptive Crypto Sites and Cloned YouTube Videos

https://cyble.com/blog/doppelganger-dilemma-new-xphase-clippers-proliferation-via-deceptive-crypto-sites-and-cloned-youtube-videos

Report completeness: Medium

Threats:
Xphase
Sysupdate

Victims:
Cryptocurrency users

Industry:
Financial

Geo:
Russian, Russia, Indian

TTPs:
Tactics: 7
Technics: 7

IOCs:
IP: 1
Url: 6
Email: 1
Domain: 2
File: 3
Path: 4
Registry: 1
Hash: 7

Wallets:
metamask

Crypto:
bitcoin, ethereum, tether, dogecoin

Algorithms:
sha256, exhibit, zip

Functions:
get_clipboard_content, set_clipboard_content

Languages:
visual_basic
CTT Report Hub
#ParsedReport #CompletenessMedium 07-02-2024 Doppelganger Dilemma: New XPhase Clipper s Proliferation via Deceptive Crypto Sites and Cloned YouTube Videos https://cyble.com/blog/doppelganger-dilemma-new-xphase-clippers-proliferation-via-deceptive-crypto…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея: Исследование Cyble выявило активную кампанию вредоносного ПО, нацеленную на пользователей криптовалюты через обманчивые веб-сайты, выдающие себя за законные криптоприложения, распространяющие полезную нагрузку clipper под названием XPhase. Задействованные субъекты угроз сосредотачиваются на перехвате и модификации адресов криптовалютных кошельков по всему миру, используя специализированные фишинговые сайты для индийских и российских пользователей, демонстрируя стойкость и адаптивность своих вредоносных схем. Цепочка заражения включает различные вредоносные исполняемые файлы и скрипты, ведущие к выполнению полезной нагрузки XPhase clipper. Вредоносные действия связаны с IP-адресом, управляемым Reg.Ru Хостингом в России, и участники угроз повторно используют адреса электронной почты, связанные с предыдущими фишинговыми кампаниями. Кроме того, использование клонированных видеороликов с авторитетных каналов YouTube показывает изобретательность участников угроз в распространении своего вредоносного ПО.
-----

Исследование Cyble выявило активную вредоносную кампанию, нацеленную на пользователей криптовалют, распространяющую полезную нагрузку clipper под названием XPhase через обманчивые веб-сайты, выдающие себя за законные криптографические приложения, такие как Metamask, Wazirx, Lunoapp и Cryptonotify. Злоумышленники, стоящие за кампанией, сосредоточены на перехвате и изменении адресов криптовалютных кошельков для перенаправления средств под свой контроль. Они нацелены на пользователей по всему миру, но создали специальные фишинговые сайты для индийских и российских пользователей. Цепочка заражения включает zip-файл с вредоносными исполняемыми файлами, VB-скрипт и файлы пакетных сценариев, приводящие к выполнению полезной нагрузки XPhase clipper в виде DLL-файла. Вредоносные действия связаны с IP-адресом, управляемым Reg.Ru Хостинг в России. TA повторно использовала адреса электронной почты, связанные с предыдущими фишинговыми кампаниями, демонстрируя настойчивость и адаптивность. Использование клонированных видеороликов с авторитетных каналов YouTube со значительной базой подписчиков демонстрирует изобретательность TA в распространении своих вредоносных схем.
#ParsedReport #CompletenessLow
07-02-2024

KV-Botnet: Don t call it a Comeback

https://blog.lumen.com/kv-botnet-dont-call-it-a-comeback

Report completeness: Low

Actors/Campaigns:
Volt_typhoon

Threats:
Kv-botnet
Beacon

Victims:
Netgear prosafe devices

Industry:
Government

Geo:
Chinese, China

ChatGPT TTPs:
do not use without manual check
T1583, T1584, T1071, T1132, T1027, T1040, T1105, T1566, T1083, T1485, have more...

IOCs:
IP: 25
Domain: 1
Hash: 52

Algorithms:
sha1, sha256

Platforms:
arm

Links:
https://github.com/blacklotuslabs/IOCs/blob/main/KVbotnet\_IOCs.txt
CTT Report Hub
#ParsedReport #CompletenessLow 07-02-2024 KV-Botnet: Don t call it a Comeback https://blog.lumen.com/kv-botnet-dont-call-it-a-comeback Report completeness: Low Actors/Campaigns: Volt_typhoon Threats: Kv-botnet Beacon Victims: Netgear prosafe devices…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея: Black Lotus Labs из Lumen сообщила об использовании KV-ботнета спонсируемыми государством субъектами в Китае для шпионской деятельности, нацеленной на критически важную инфраструктуру США. ФБР провело операцию по удалению, что привело к усилиям операторов по борьбе с этими действиями и восстановлению их контроля. Несмотря на попытки повторного заражения, активность ботнета снизилась, что подчеркивает сохраняющуюся угрозу, исходящую от скомпрометированных маршрутизаторов, и необходимость мер мониторинга и защиты.
-----

Лаборатория Black Lotus Labs из Lumen сообщила о том, что KV-ботнет используется спонсируемыми государством субъектами в Китае для шпионской деятельности, нацеленной на критически важную инфраструктуру США. ФБР провело операцию по уничтожению в декабре 2023 года, что привело к усилиям операторов ботнета по борьбе с этими действиями и восстановлению их структуры командования и контроля. Операторы нацелились на повторную эксплуатацию устройств NetGear ProSafe, что привело к заметному воздействию на кластеры ботнета. Вмешательство Lumen Technologies и действия ФБР существенно повлияли на работу ботнета. Несмотря на попытки повторного заражения, активность ботнета снизилась, а некоторые кластеры стали инертными. В отчете указывается на сохраняющуюся угрозу, исходящую от скомпрометированных маршрутизаторов и брандмауэров, подчеркивается необходимость мониторинга и мер защиты от таких атак. Продолжаются усилия по анализу и смягчению последствий, направленные на противодействие рискам, связанным с KV-ботнетом и аналогичными угрозами.
#ParsedReport #CompletenessMedium
08-02-2024

Maldocs of Word and Excel: Vigor of the Ages. Still used by top cybercrime gangs?

https://research.checkpoint.com/2024/maldocs-of-word-and-excel-vigor-of-the-ages

Report completeness: Medium

Actors/Campaigns:
Gamaredon
Pyration

Threats:
Agent_tesla
Cloudeye
Formbook
Wannacry
Eternalblue_vuln
Dridex
Velvetsweatshop_technique
Burden

Industry:
Financial, Healthcare

Geo:
India, Russia, Turkey, Russian, Pakistan

CVEs:
CVE-2017-0199 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 9.3
X-Force: Patch: Official fix
Soft:
- microsoft office (2007, 2013, 2010, 2016)
- microsoft windows 7 (*)
- microsoft windows server 2008 (r2, *)
- microsoft windows vista (*)
- microsoft windows server 2012 (-)
have more...
CVE-2018-0802 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- microsoft word (2013, 2016, 2010, 2007)
- microsoft office (2007, 2013, 2010, 2016)
- microsoft office compatibility pack (-)

CVE-2017-11882 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- microsoft office (2007, 2013, 2010, 2016)


ChatGPT TTPs:
do not use without manual check
T1566.002, T1204.002, T1566.001, T1027, T1059.005, T1047, T1588.002, T1193, T1218, T1071.001, have more...

IOCs:
Hash: 9
File: 5

Soft:
Microsoft Office, Microsoft Word, Microsoft Excel

Wallets:
harmony_wallet

Algorithms:
xor, aes, zip

Win Services:
bits

Languages:
python

Links:
https://github.com/decalage2/oletools/wiki/olevba
https://github.com/decalage2/ViperMonkey
CTT Report Hub
#ParsedReport #CompletenessMedium 08-02-2024 Maldocs of Word and Excel: Vigor of the Ages. Still used by top cybercrime gangs? https://research.checkpoint.com/2024/maldocs-of-word-and-excel-vigor-of-the-ages Report completeness: Medium Actors/Campaigns:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в использовании вредоносных документов (maldocs) для распространения различных известных семейств вредоносных программ в 2023 году, нацеленных на прибыльные секторы, такие как финансы/банковское дело, правительство и здравоохранение. В нем освещаются проблемы обнаружения и пресечения этих угроз из-за короткого времени активности maldocs и обманной тактики, используемой для уклонения от обнаружения. Кроме того, в тексте обсуждается сложность шелл-кодов внутри maldocs, шифрование, защита паролем и постоянная угроза старых CVE в рисках кибербезопасности, связанных с maldocs.
-----

В тексте подчеркивается использование вредоносных документов (maldocs) для распространения различных известных семейств вредоносных программ в 2023 году. В нем упоминаются конкретные семейства вредоносных программ, такие как Gamaredon APT, Agent Tesla, GuLoader и Formbook, которые распространялись через maldocs. Операторы, стоящие за этими maldocs, фокусируются на таких прибыльных секторах, как финансы/банковское дело, государственное управление и здравоохранение. В тексте также подчеркивается сложность своевременного обнаружения и пресечения этих угроз, поскольку у maldocs короткое время активности, что затрудняет их обнаружение решениями безопасности. Кроме того, в нем обсуждаются уловки, используемые в maldocs для обмана как людей, так и автоматизированных систем, такие как использование удаленных шаблонов или ссылок без расширений, чтобы скрыть свои вредоносные намерения. Шелл-коды внутри maldocs выделены как сложные и запутанные, требующие детального анализа. Кроме того, в тексте исследуется использование шифрования и защиты паролем для затруднения анализа. В заключение статьи признается постоянная угроза, исходящая от старых CVE, и необходимость постоянной бдительности при устранении рисков кибербезопасности, связанных с maldocs.
#ParsedReport #CompletenessLow
08-02-2024

Unmasking the Dot Stealer

https://labs.k7computing.com/index.php/unmasking-the-dot-stealer

Report completeness: Low

Threats:
Dot-stealer

ChatGPT TTPs:
do not use without manual check
T1059, T1562.001, T1027, T1533, T1005, T1113, T1071.001, T1496, T1505, T1082, have more...

IOCs:
File: 4
Path: 1
Hash: 1

Soft:
Telegram

Algorithms:
zip
CTT Report Hub
#ParsedReport #CompletenessLow 08-02-2024 Unmasking the Dot Stealer https://labs.k7computing.com/index.php/unmasking-the-dot-stealer Report completeness: Low Threats: Dot-stealer ChatGPT TTPs: do not use without manual check T1059, T1562.001, T1027, T1533…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что вредоносная программа DotStealer крадет конфиденциальную пользовательскую информацию, фильтрует ее через учетную запись Telegram, использует различные тактики, чтобы избежать обнаружения, такие как проверка на наличие изолированных сред, и отправляет украденные данные через Telegram. В нем подчеркивается важность защиты от атак вредоносных программ и рекомендуется использовать такое решение для обеспечения безопасности, как K7 Total Security.
-----

В тексте описывается поведение вредоносной программы DotStealer, которая крадет информацию о пользователях, такую как учетные данные для входа в систему, данные кредитной карты, системную информацию и данные браузера. Украденная информация выводится через учетную запись Telegram. Вредоносная программа создает новый каталог, используя имя пользователя, и копирует себя как temporallogger.exe. Она использует алгоритм Rot13 для расшифровки токена Telegram и идентификатора чата для входа в учетную запись. Вредоносная программа проверяет наличие контролируемых сред путем сравнения с черным списком перед запуском и завершает работу, если обнаруживает изолированную среду. Она также создает файл .bat для выполнения temporallogger.exe, удаляя при этом исходный файл вредоносной программы. Вредоносная программа собирает данные кредитной карты, URL-адреса для загрузки из браузера, данные cookie-файлов и делает скриншоты рабочего стола, которые отправляются через Telegram. Защита от атак вредоносных программ подчеркивается как важная, с рекомендацией использовать решение для обеспечения безопасности, такое как K7 Total Security.
#ParsedReport #CompletenessLow
08-02-2024

The Nine Lives of Commando Cat: Analysing a Novel Malware Campaign Targeting Docker

https://www.cadosecurity.com/the-nine-lives-of-commando-cat-analysing-a-novel-malware-campaign-targeting-docker

Report completeness: Low

Actors/Campaigns:
Commando_cat
Unc2891
Teamtnt

Threats:
Tinyshell
Gs-netcat
Netcat_tool
Bpfdoor
Xmrig_miner
Cetus

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1190, T1552, T1562, T1070.004, T1059, T1547, T1027, T1047, T1574

IOCs:
IP: 2
Domain: 1
File: 14
Hash: 4

Soft:
Docker, curl, sudo, Unix, systemd, alpine

Algorithms:
base64, exhibit

Links:
https://github.com/creaktive/tsh
https://github.com/lukaszlach/commando
https://github.com/cado-security