CTT Report Hub
3.4K subscribers
9.59K photos
6 videos
67 files
13.2K links
Threat Intelligence Report Hub
Download Telegram
#ParsedReport #CompletenessHigh
12-02-2024

ClearFake Campaign - Delivering Malware via Fake Browser Updates

https://www.bridewell.com/insights/blogs/detail/clearfake-campaign

Report completeness: High

Actors/Campaigns:
Ta569

Threats:
Clearfake
Etherhiding_technique
Process_injection_technique
Amadey
Watering_hole_technique
Xmrig_miner
Redline_stealer
Socgholish_loader
Lumma_stealer
Raccoon_stealer
Stealc
Hijackloader
Systembc
Chromeloader
Credential_dumping_technique

Industry:
Financial

TTPs:
Tactics: 1
Technics: 19

IOCs:
File: 11
Command: 1
Hash: 6
Url: 6
Domain: 3
IP: 27

Soft:
WordPress, Chrome, Microsoft Edge, Microsoft Defender

Crypto:
binance, bitcoin, ethereum

Algorithms:
base64

Languages:
javascript, powershell, php
CTT Report Hub
#ParsedReport #CompletenessHigh 12-02-2024 ClearFake Campaign - Delivering Malware via Fake Browser Updates https://www.bridewell.com/insights/blogs/detail/clearfake-campaign Report completeness: High Actors/Campaigns: Ta569 Threats: Clearfake Etherhiding_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - вредоносная кампания ClearFake, представляющая собой вредоносный фреймворк JavaScript, который использует тактику социальной инженерии, чтобы обманом заставить жертв загрузить вредоносную полезную нагрузку. Вредоносное ПО эволюционировало, чтобы использовать технику EtherHiding, и распространяется через скомпрометированные веб-сайты с помощью плагинов WordPress. С кампанией вредоносного по связаны различные вредоносные действия, такие как кража информации, программы-вымогатели и механизмы сохранения данных.
-----

В тексте обсуждается вредоносная кампания ClearFake, вредоносный фреймворк JavaScript, выявленный в июле 2023 года. Первоначально названный из-за отсутствия методов запутывания, ClearFake использует тактику социальной инженерии для предоставления жертвам поддельных страниц обновлений браузера, что приводит к загрузке вредоносной полезной нагрузки. Вредоносная программа эволюционировала, чтобы использовать технологию EtherHiding, используя смарт-цепочку Binance для сокрытия полезной нагрузки и доставки файлов JavaScript второго этапа. Субъекты угроз внедряют вредоносный код на скомпрометированные веб-сайты с помощью плагинов WordPress, размещая вредоносный контент и выполняя его, когда жертвы посещают сайты. Анализ инцидентов выявил распространение ChromeSetup.exe вредоносного ПО, способного к краже информации с помощью различных методов, таких как внедрение процессов и запросы WMI. Вредоносная программа взаимодействует с внешними IP-адресами для управления, и наблюдаются дополнительные полезные нагрузки, приписываемые Amadey и другим семействам вредоносных программ, включая программы-вымогатели и похитители информации. Вредоносная программа Amadey также демонстрирует механизмы сохранения и тактику обхода защиты.
#ParsedReport #CompletenessHigh
12-02-2024

DarkGate: Opening Gates for Financially Motivated Threat Actors

https://blog.eclecticiq.com/darkgate-opening-gates-for-financially-motivated-threat-actors

Report completeness: High

Actors/Campaigns:
Ta577 (motivation: financially_motivated)
Bianlian (motivation: financially_motivated)
Lunar_spider
Shathak

Threats:
Darkgate
Qakbot
Blackbasta
Ducktail_stealer
Seo_poisoning_technique
Icedid
Rastafareye_actor
Hvnc_tool
Polymorphism_technique
Process_injection_technique
Netpass_tool
Lolbas_technique
Lolbin_technique
Dll_sideloading_technique
Bianlian_ransomware
Cobalt_strike

Victims:
Financial institutions, Bank deutsches kraftfahrzeuggewerbe (bdk)

Industry:
Financial

Geo:
Ukraine, Russia, Russian, Germany, Usa, German

ChatGPT TTPs:
do not use without manual check
T1566, T1193, T1204, T1486, T1027, T1218, T1059, T1070, T1014, T1568, have more...

IOCs:
File: 8
Url: 2
Domain: 3
Hash: 13

Soft:
PSexec, Windows Defender, Curl, Windows registry, ChatGPT

Algorithms:
zip, xor, md5, base64

Languages:
visual_basic, autoit, cscript
CTT Report Hub
#ParsedReport #CompletenessHigh 12-02-2024 DarkGate: Opening Gates for Financially Motivated Threat Actors https://blog.eclecticiq.com/darkgate-opening-gates-for-financially-motivated-threat-actors Report completeness: High Actors/Campaigns: Ta577 (motivation:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в наблюдении и анализе возросшего распространения загрузчика DarkGate киберпреступниками, нацеленными на финансовые учреждения в Европе и США, после уничтожения ФБР инфраструктуры Qakbot. В нем освещается использование DarkGate для развертывания различных типов вредоносных программ, методы, используемые для распространения вредоносного ПО, сходство с IcedID, особенности версий DarkGate, эволюционирующие методы доставки и решающая роль инструментов "Вредоносное ПО как услуга", таких как DarkGate, в современных операциях по борьбе с киберпреступностью. Также предоставляются рекомендации по обнаружению для снижения риска, связанного с вредоносным ПО DarkGate.
-----

Аналитики по анализу киберугроз из EclecticIQ заметили увеличение распространения загрузчика DarkGate киберпреступниками после того, как ФБР уничтожило инфраструктуру Qakbot в августе 2023 года. С высокой степенью уверенности можно утверждать, что финансово мотивированные исполнители угроз и организации, использующие программы-вымогатели как услугу (RaaS), в основном используют DarkGate для нацеливания на финансовые учреждения в Европе и США. Загрузчик DarkGate используется для создания начальной точки опоры в корпоративных сетях, развертывания различных типов вредоносных программ, таких как программы-вымогатели, похитители информации и инструменты удаленного управления, а также для увеличения объема данных, извлекаемых для получения финансовой выгоды за счет успешных операций с программами-вымогателями. Операторы DarkGate использовали такие методы, как фишинговые электронные письма, злоупотребление законными сервисами, такими как Google DoubleClick Ad и облачное хранилище файлов, а также доставку вредоносных программ через зараженные вложения для распространения вредоносного ПО. Кроме того, существуют сходства в методах выполнения между DarkGate и IcedID, что предполагает потенциальное сотрудничество или совместное использование технологий участниками угроз. В тексте также описываются особенности DarkGate версий 5 и 6.1.6, включая тактику уклонения, методы расшифровки полезной нагрузки и параметры конфигурации. Было замечено, что субъекты угроз со временем адаптируют свои методы доставки, в частности, недавнее злоупотребление рекламными сервисами Google DoubleClick и переход к использованию форматов файлов CAB и MSI для распространения. Документ дает представление об эволюционирующей тактике и методах, используемых киберпреступниками, использующими DarkGate, подчеркивая решающую роль инструментов Malware-as-a-Service (MaaS), таких как DarkGate loader, в современных операциях по борьбе с киберпреступностью. Также предлагаются рекомендации по обнаружению для снижения риска, создаваемого вредоносным ПО DarkGate для конечных точек и сетей Windows.
#ParsedReport #CompletenessMedium
12-02-2024

Cyber spies Sticky Werewolf decided to clean out companies in Belarus under the guise of downloading CCleaner

https://habr.com/ru/companies/f_a_c_c_t/news/792672

Report completeness: Medium

Actors/Campaigns:
Sticky_werewolf (motivation: cyber_espionage)

Threats:
Ozone
Darktrack_rat
Meta_stealer
Redline_stealer

Victims:
Belarusian companies, Russian pharmaceuticals, Russian organizations

Industry:
Healthcare, Financial, Government

Geo:
Czech, Belarus, Belarusian, Russian, Russia

ChatGPT TTPs:
do not use without manual check
T1566, T1204, T1059, T1027, T1566.002, T1218, T1547, T1105

IOCs:
File: 11
Hash: 7
Path: 17
Command: 5
Url: 2
Domain: 1
IP: 1

Soft:
NSIS Installer

Algorithms:
md5, sha1, sha256

Languages:
autoit
CTT Report Hub
#ParsedReport #CompletenessMedium 12-02-2024 Cyber spies Sticky Werewolf decided to clean out companies in Belarus under the guise of downloading CCleaner https://habr.com/ru/companies/f_a_c_c_t/news/792672 Report completeness: Medium Actors/Campaigns:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что группа кибершпионов Sticky Werewolf пытается атаковать белорусские компании, маскируя троян удаленного доступа под легальное программное обеспечение, используя фишинговые электронные письма и выдавая себя за организации в предыдущих атаках.
-----

Кибершпионская группа APT Sticky Werewolf попыталась нацелиться на белорусские компании, замаскировав троян удаленного доступа Ozone RAT под программное обеспечение для очистки и оптимизации компьютеров CCleaner6.20. Аналитики обнаружили вредоносную ссылку и самораспаковывающийся архив с именем ccleaner_downloads.exe, загруженный на платформу VirusTotal, с указанием потенциального местоположения цели в Беларуси. Архив содержал запутанный скрипт AutoIt и BAT-файл, который вводил вредоносную программу в процесс ipconfig.exe, загружающий Ozone RAT. Sticky Werewolf, известный тем, что нацелен на государственные учреждения и финансовые компании в России и Беларуси, использует фишинговые электронные письма со ссылками на вредоносные файлы и такие инструменты, как Darktrack RAT, Ozone RAT и MetaStealer stealer. В ходе предыдущих атак группа выдавала себя за такие организации, как Министерство по чрезвычайным ситуациям и ФСБ, нацеливаясь на российские организации.
#ParsedReport #CompletenessMedium
12-02-2024

Empty heading. HijackLoader Expands Techniques to Improve Defense Evasion

https://www.crowdstrike.com/blog/hijackloader-expands-techniques

Report completeness: Medium

Threats:
Hijackloader
Idat_loader
Process_hollowing_technique
Process_doppelganging_technique
Heavens_gate_technique
Cobalt_strike
Process_injection_technique

TTPs:

IOCs:
Url: 4
Path: 3
File: 4
Hash: 2

Algorithms:
xor

Functions:
Gate, WriteFileW

Win API:
RtlDecompressBuffer, NtWriteVirtualMemory, NtProtectVirtualMemory, CreateProcessW, NtReadFile, NtDelayExecution, NtCreateSection, NtMapViewOfSection, NtSuspendThread, NtGetContextThread, have more...

Platforms:
x64

Links:
https://gist.github.com/Cr4sh/76b66b612a5d1dc2c614#file-wow64\_call-cpp-L61
https://github.com/hasherezade/transacted\_hollowing/blob/main/transacted\_file.cpp#L13C29
CTT Report Hub
#ParsedReport #CompletenessMedium 12-02-2024 Empty heading. HijackLoader Expands Techniques to Improve Defense Evasion https://www.crowdstrike.com/blog/hijackloader-expands-techniques Report completeness: Medium Threats: Hijackloader Idat_loader Proce…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что вариант вредоносного ПО HijackLoader, проанализированный CrowdStrike, использует сложные методы уклонения, чтобы избежать обнаружения продуктами безопасности и скрытно выполнять вредоносные действия. CrowdStrike использует возможности машинного обучения и обнаружения на основе поведения для выявления и противодействия этой угрозе на ранних этапах цепочки атак, а в отчете тактика, методы и процедуры HijackLoader сопоставлены с платформой MITRE ATT&CK для дальнейшего анализа и сбора информации об угрозах.
-----

Вариант вредоносной программы HijackLoader, проанализированный CrowdStrike, использует сложные методы уклонения для расширения своих возможностей защиты от уклонения. В этом варианте используются такие методы, как углубление процесса, доппельгинг процесса, обход крюка Heaven's Gate и методы инъекции для развертывания нескольких этапов полезной нагрузки, таких как маяки Cobalt Strike. Вредоносная программа также использует интерактивные варианты опустошения процессов, чтобы динамически внедрять шелл-код в процессы и запускать их выполнение без приостановки. Используя разделы транзакций и комбинируя различные методы, вредоносная программа стремится избежать обнаружения продуктами безопасности и скрытно выполнять вредоносные действия. CrowdStrike использует возможности машинного обучения и обнаружения на основе поведения для выявления и противодействия HijackLoader и другим подобным угрозам на ранних этапах цепочки атак. Отчет, предоставленный CrowdStrike, также сопоставляет описанные тактики, методы и процедуры HijackLoader с платформой MITRE ATT&CK для дальнейшего анализа и выявления угроз.
#ParsedReport #CompletenessLow
12-02-2024

PAPERWALL Chinese Websites Posing as Local News Outlets Target Global Audiences with Pro-Beijing Content

https://citizenlab.ca/2024/02/paperwall-chinese-websites-posing-as-local-news-outlets-with-pro-beijing-content

Report completeness: Low

Actors/Campaigns:
Paperwall (motivation: disinformation)
Haienergy
Wayback

Threats:
Viking
Magnitude
Melissa

Industry:
Healthcare, Education, Government, E-commerce, Entertainment, Financial

Geo:
Portugal, Asia, Netherlands, Ireland, Germany, Asia-pacific, Usa, Asian, Italy, America, Japan, Italian, Myanmar, Turkey, Taiwan, French, Russia, Spain, Romania, Sweden, Czech, Belgium, Mexico, Korean, American, Norway, Austria, China, Chile, Chinese, Denmark, Japanese, France, Finland, Ecuador, Korea, Poland, Colombia, Norwegian, Russian, Brazil, Switzerland, Luxembourg, Argentina, Spanish

ChatGPT TTPs:
do not use without manual check
T1566, T1565, T1204, T1583, T1590, T1584, T1020, T1071, T1588, T1048, have more...

IOCs:
Domain: 136
IP: 10

Soft:
Instagram, WhatsApp, WordPress, Chrome, Google Chrome
CTT Report Hub
#ParsedReport #CompletenessLow 12-02-2024 PAPERWALL Chinese Websites Posing as Local News Outlets Target Global Audiences with Pro-Beijing Content https://citizenlab.ca/2024/02/paperwall-chinese-websites-posing-as-local-news-outlets-with-pro-beijing-content…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что сеть под названием PAPERWALL, действующая из Китая, распространяет пропекинскую дезинформацию через замаскированные местные новостные агентства во многих странах. Кампания приписывается китайской PR-фирме и включает в себя сокрытие политического контента в коммерческих пресс-релизах, имитацию местных новостных агентств и усиление атак ad hominem. Кроме того, частные фирмы играют значительную роль в операциях китайского цифрового влияния, о чем свидетельствует структура сети. В отчете подчеркивается меняющийся ландшафт деятельности по оказанию влияния в Интернете в Китае и сотрудничество между частными фирмами и правительством в проведении операций по оказанию цифрового влияния.
-----

Краткое содержание:.

Сеть из 123 веб-сайтов, работающих в Китае, известная как PAPERWALL, распространяет пропекинскую дезинформацию, замаскированную под местные новостные агентства, в 30 странах. PAPERWALL отличается от HaiEnergy, но имеет общие черты. Кампания, приписываемая китайской PR-фирме, скрывает политическое содержание в коммерческих пресс-релизах и быстро удаляет агрессивные статьи, нападающие на критиков Пекина. Сеть имитирует местные новостные агентства в разных странах и усиливает атаки ad hominem. PAPERWALL черпает контент из Times Newswire, известной тем, что публикует материалы в поддержку Пекина. Частные фирмы играют значительную роль в операциях по цифровому влиянию в Китае, о чем свидетельствует структура сети. Хотя воздействие PAPERWALL минимально, существует риск непреднамеренного усиления. Times Newswire занимает центральное место в работе PAPERWALL, разделяя с сетью особенности тактики размещения и инфраструктуры. В отчете освещается меняющийся ландшафт деятельности по оказанию влияния в Интернете в Китае и партнерство между частными фирмами и правительством в проведении операций по оказанию цифрового влияния.
#ParsedReport #CompletenessLow
12-02-2024

RustDoor. New MacOS Backdoor Written in Rust Shows Possible Link with Windows Ransomware Group

https://www.bitdefender.com/blog/labs/new-macos-backdoor-written-in-rust-shows-possible-link-with-windows-ransomware-group

Report completeness: Low

Threats:
Rustdoor
Taskkill
Blackbasta
Blackcat

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1547, T1059, T1027, T1560, T1071, T1105, T1036, T1012

IOCs:
File: 5
Hash: 33
IP: 2

Soft:
MacOS, Mac OS, Visual Studio, sysctl

Algorithms:
zip

Languages:
python, rust

Platforms:
intel, arm, apple
CTT Report Hub
#ParsedReport #CompletenessLow 12-02-2024 RustDoor. New MacOS Backdoor Written in Rust Shows Possible Link with Windows Ransomware Group https://www.bitdefender.com/blog/labs/new-macos-backdoor-written-in-rust-shows-possible-link-with-windows-ransomware…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Исследователи Bitdefender обнаружили новый бэкдор, нацеленный на пользователей Mac OS, замаскированный под обновление Visual Studio, который работал незамеченным в течение как минимум трех месяцев с различными образцами, датируемыми ноябрем 2023 года. Вредоносная программа выпускается в нескольких вариантах, причем последняя версия может похвастаться сложной конфигурацией JSON и встроенным скриптом Apple для эксфильтрации данных. Один вариант фокусируется на извлечении определенных типов документов и сжатии их в ZIP-архивы. Вредоносная программа взаимодействует с серверами управления для выполнения таких задач, как сбор информации о компьютере и эксфильтрация файлов, возможно, связана с операторами программ-вымогателей, такими как BlackBasta и ALPHV/BlackCat.
-----

Исследователи Bitdefender выявили новый бэкдор, нацеленный на пользователей Mac OS, написанный на Rust и выдающий себя за обновление Visual Studio. Вредоносная программа работала незамеченной в течение как минимум трех месяцев, а различные образцы были обнаружены в начале ноября 2023 года. Бэкдор включает в себя несколько вариантов, причем самый последний содержит сложную конфигурацию JSON и встроенный скрипт Apple для эксфильтрации данных. Другой вариант фокусируется на эксфильтрации определенных типов документов из пользовательских папок и сжатии их в ZIP-архив. Самый ранний вариант менее сложен, ему не хватает встроенного скрипта и конфигурации. Вредоносная программа взаимодействует с серверами управления, используя различные конечные точки для выполнения таких задач, как сбор информации о компьютере и эксфильтрация файлов. Хотя существует недостаточно информации, чтобы окончательно приписать эту кампанию, на наличие связей с операторами программ-вымогателей, такими как BlackBasta и ALPHV/BlackCat, указывают артефакты и признаки компрометации.