CTT Report Hub
#ParsedReport #CompletenessHigh 12-02-2024 DarkGate: Opening Gates for Financially Motivated Threat Actors https://blog.eclecticiq.com/darkgate-opening-gates-for-financially-motivated-threat-actors Report completeness: High Actors/Campaigns: Ta577 (motivation:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в наблюдении и анализе возросшего распространения загрузчика DarkGate киберпреступниками, нацеленными на финансовые учреждения в Европе и США, после уничтожения ФБР инфраструктуры Qakbot. В нем освещается использование DarkGate для развертывания различных типов вредоносных программ, методы, используемые для распространения вредоносного ПО, сходство с IcedID, особенности версий DarkGate, эволюционирующие методы доставки и решающая роль инструментов "Вредоносное ПО как услуга", таких как DarkGate, в современных операциях по борьбе с киберпреступностью. Также предоставляются рекомендации по обнаружению для снижения риска, связанного с вредоносным ПО DarkGate.
-----
Аналитики по анализу киберугроз из EclecticIQ заметили увеличение распространения загрузчика DarkGate киберпреступниками после того, как ФБР уничтожило инфраструктуру Qakbot в августе 2023 года. С высокой степенью уверенности можно утверждать, что финансово мотивированные исполнители угроз и организации, использующие программы-вымогатели как услугу (RaaS), в основном используют DarkGate для нацеливания на финансовые учреждения в Европе и США. Загрузчик DarkGate используется для создания начальной точки опоры в корпоративных сетях, развертывания различных типов вредоносных программ, таких как программы-вымогатели, похитители информации и инструменты удаленного управления, а также для увеличения объема данных, извлекаемых для получения финансовой выгоды за счет успешных операций с программами-вымогателями. Операторы DarkGate использовали такие методы, как фишинговые электронные письма, злоупотребление законными сервисами, такими как Google DoubleClick Ad и облачное хранилище файлов, а также доставку вредоносных программ через зараженные вложения для распространения вредоносного ПО. Кроме того, существуют сходства в методах выполнения между DarkGate и IcedID, что предполагает потенциальное сотрудничество или совместное использование технологий участниками угроз. В тексте также описываются особенности DarkGate версий 5 и 6.1.6, включая тактику уклонения, методы расшифровки полезной нагрузки и параметры конфигурации. Было замечено, что субъекты угроз со временем адаптируют свои методы доставки, в частности, недавнее злоупотребление рекламными сервисами Google DoubleClick и переход к использованию форматов файлов CAB и MSI для распространения. Документ дает представление об эволюционирующей тактике и методах, используемых киберпреступниками, использующими DarkGate, подчеркивая решающую роль инструментов Malware-as-a-Service (MaaS), таких как DarkGate loader, в современных операциях по борьбе с киберпреступностью. Также предлагаются рекомендации по обнаружению для снижения риска, создаваемого вредоносным ПО DarkGate для конечных точек и сетей Windows.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в наблюдении и анализе возросшего распространения загрузчика DarkGate киберпреступниками, нацеленными на финансовые учреждения в Европе и США, после уничтожения ФБР инфраструктуры Qakbot. В нем освещается использование DarkGate для развертывания различных типов вредоносных программ, методы, используемые для распространения вредоносного ПО, сходство с IcedID, особенности версий DarkGate, эволюционирующие методы доставки и решающая роль инструментов "Вредоносное ПО как услуга", таких как DarkGate, в современных операциях по борьбе с киберпреступностью. Также предоставляются рекомендации по обнаружению для снижения риска, связанного с вредоносным ПО DarkGate.
-----
Аналитики по анализу киберугроз из EclecticIQ заметили увеличение распространения загрузчика DarkGate киберпреступниками после того, как ФБР уничтожило инфраструктуру Qakbot в августе 2023 года. С высокой степенью уверенности можно утверждать, что финансово мотивированные исполнители угроз и организации, использующие программы-вымогатели как услугу (RaaS), в основном используют DarkGate для нацеливания на финансовые учреждения в Европе и США. Загрузчик DarkGate используется для создания начальной точки опоры в корпоративных сетях, развертывания различных типов вредоносных программ, таких как программы-вымогатели, похитители информации и инструменты удаленного управления, а также для увеличения объема данных, извлекаемых для получения финансовой выгоды за счет успешных операций с программами-вымогателями. Операторы DarkGate использовали такие методы, как фишинговые электронные письма, злоупотребление законными сервисами, такими как Google DoubleClick Ad и облачное хранилище файлов, а также доставку вредоносных программ через зараженные вложения для распространения вредоносного ПО. Кроме того, существуют сходства в методах выполнения между DarkGate и IcedID, что предполагает потенциальное сотрудничество или совместное использование технологий участниками угроз. В тексте также описываются особенности DarkGate версий 5 и 6.1.6, включая тактику уклонения, методы расшифровки полезной нагрузки и параметры конфигурации. Было замечено, что субъекты угроз со временем адаптируют свои методы доставки, в частности, недавнее злоупотребление рекламными сервисами Google DoubleClick и переход к использованию форматов файлов CAB и MSI для распространения. Документ дает представление об эволюционирующей тактике и методах, используемых киберпреступниками, использующими DarkGate, подчеркивая решающую роль инструментов Malware-as-a-Service (MaaS), таких как DarkGate loader, в современных операциях по борьбе с киберпреступностью. Также предлагаются рекомендации по обнаружению для снижения риска, создаваемого вредоносным ПО DarkGate для конечных точек и сетей Windows.
#ParsedReport #CompletenessMedium
12-02-2024
Cyber spies Sticky Werewolf decided to clean out companies in Belarus under the guise of downloading CCleaner
https://habr.com/ru/companies/f_a_c_c_t/news/792672
Report completeness: Medium
Actors/Campaigns:
Sticky_werewolf (motivation: cyber_espionage)
Threats:
Ozone
Darktrack_rat
Meta_stealer
Redline_stealer
Victims:
Belarusian companies, Russian pharmaceuticals, Russian organizations
Industry:
Healthcare, Financial, Government
Geo:
Czech, Belarus, Belarusian, Russian, Russia
ChatGPT TTPs:
T1566, T1204, T1059, T1027, T1566.002, T1218, T1547, T1105
IOCs:
File: 11
Hash: 7
Path: 17
Command: 5
Url: 2
Domain: 1
IP: 1
Soft:
NSIS Installer
Algorithms:
md5, sha1, sha256
Languages:
autoit
12-02-2024
Cyber spies Sticky Werewolf decided to clean out companies in Belarus under the guise of downloading CCleaner
https://habr.com/ru/companies/f_a_c_c_t/news/792672
Report completeness: Medium
Actors/Campaigns:
Sticky_werewolf (motivation: cyber_espionage)
Threats:
Ozone
Darktrack_rat
Meta_stealer
Redline_stealer
Victims:
Belarusian companies, Russian pharmaceuticals, Russian organizations
Industry:
Healthcare, Financial, Government
Geo:
Czech, Belarus, Belarusian, Russian, Russia
ChatGPT TTPs:
do not use without manual checkT1566, T1204, T1059, T1027, T1566.002, T1218, T1547, T1105
IOCs:
File: 11
Hash: 7
Path: 17
Command: 5
Url: 2
Domain: 1
IP: 1
Soft:
NSIS Installer
Algorithms:
md5, sha1, sha256
Languages:
autoit
Хабр
Кибершпионы Sticky Werewolf решили почистить компании в Беларуси под видом загрузки CCleaner
Кибершпионская APT-группа Sticky Werewolf , вероятно , попыталась атаковать белорусские компании, рассылая под видом программы для очистки и оптимизации компьютера CCleaner6.20 троян удаленного...
CTT Report Hub
#ParsedReport #CompletenessMedium 12-02-2024 Cyber spies Sticky Werewolf decided to clean out companies in Belarus under the guise of downloading CCleaner https://habr.com/ru/companies/f_a_c_c_t/news/792672 Report completeness: Medium Actors/Campaigns:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что группа кибершпионов Sticky Werewolf пытается атаковать белорусские компании, маскируя троян удаленного доступа под легальное программное обеспечение, используя фишинговые электронные письма и выдавая себя за организации в предыдущих атаках.
-----
Кибершпионская группа APT Sticky Werewolf попыталась нацелиться на белорусские компании, замаскировав троян удаленного доступа Ozone RAT под программное обеспечение для очистки и оптимизации компьютеров CCleaner6.20. Аналитики обнаружили вредоносную ссылку и самораспаковывающийся архив с именем ccleaner_downloads.exe, загруженный на платформу VirusTotal, с указанием потенциального местоположения цели в Беларуси. Архив содержал запутанный скрипт AutoIt и BAT-файл, который вводил вредоносную программу в процесс ipconfig.exe, загружающий Ozone RAT. Sticky Werewolf, известный тем, что нацелен на государственные учреждения и финансовые компании в России и Беларуси, использует фишинговые электронные письма со ссылками на вредоносные файлы и такие инструменты, как Darktrack RAT, Ozone RAT и MetaStealer stealer. В ходе предыдущих атак группа выдавала себя за такие организации, как Министерство по чрезвычайным ситуациям и ФСБ, нацеливаясь на российские организации.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что группа кибершпионов Sticky Werewolf пытается атаковать белорусские компании, маскируя троян удаленного доступа под легальное программное обеспечение, используя фишинговые электронные письма и выдавая себя за организации в предыдущих атаках.
-----
Кибершпионская группа APT Sticky Werewolf попыталась нацелиться на белорусские компании, замаскировав троян удаленного доступа Ozone RAT под программное обеспечение для очистки и оптимизации компьютеров CCleaner6.20. Аналитики обнаружили вредоносную ссылку и самораспаковывающийся архив с именем ccleaner_downloads.exe, загруженный на платформу VirusTotal, с указанием потенциального местоположения цели в Беларуси. Архив содержал запутанный скрипт AutoIt и BAT-файл, который вводил вредоносную программу в процесс ipconfig.exe, загружающий Ozone RAT. Sticky Werewolf, известный тем, что нацелен на государственные учреждения и финансовые компании в России и Беларуси, использует фишинговые электронные письма со ссылками на вредоносные файлы и такие инструменты, как Darktrack RAT, Ozone RAT и MetaStealer stealer. В ходе предыдущих атак группа выдавала себя за такие организации, как Министерство по чрезвычайным ситуациям и ФСБ, нацеливаясь на российские организации.
#ParsedReport #CompletenessMedium
12-02-2024
Empty heading. HijackLoader Expands Techniques to Improve Defense Evasion
https://www.crowdstrike.com/blog/hijackloader-expands-techniques
Report completeness: Medium
Threats:
Hijackloader
Idat_loader
Process_hollowing_technique
Process_doppelganging_technique
Heavens_gate_technique
Cobalt_strike
Process_injection_technique
TTPs:
IOCs:
Url: 4
Path: 3
File: 4
Hash: 2
Algorithms:
xor
Functions:
Gate, WriteFileW
Win API:
RtlDecompressBuffer, NtWriteVirtualMemory, NtProtectVirtualMemory, CreateProcessW, NtReadFile, NtDelayExecution, NtCreateSection, NtMapViewOfSection, NtSuspendThread, NtGetContextThread, have more...
Platforms:
x64
Links:
12-02-2024
Empty heading. HijackLoader Expands Techniques to Improve Defense Evasion
https://www.crowdstrike.com/blog/hijackloader-expands-techniques
Report completeness: Medium
Threats:
Hijackloader
Idat_loader
Process_hollowing_technique
Process_doppelganging_technique
Heavens_gate_technique
Cobalt_strike
Process_injection_technique
TTPs:
IOCs:
Url: 4
Path: 3
File: 4
Hash: 2
Algorithms:
xor
Functions:
Gate, WriteFileW
Win API:
RtlDecompressBuffer, NtWriteVirtualMemory, NtProtectVirtualMemory, CreateProcessW, NtReadFile, NtDelayExecution, NtCreateSection, NtMapViewOfSection, NtSuspendThread, NtGetContextThread, have more...
Platforms:
x64
Links:
https://gist.github.com/Cr4sh/76b66b612a5d1dc2c614#file-wow64\_call-cpp-L61https://github.com/hasherezade/transacted\_hollowing/blob/main/transacted\_file.cpp#L13C29CrowdStrike.com
HijackLoader Expands Techniques to Improve Defense Evasion
Read this blog to learn about the HijackLoader sample that employs sophisticated evasion techniques to enhance the complexity of the threat.
CTT Report Hub
#ParsedReport #CompletenessMedium 12-02-2024 Empty heading. HijackLoader Expands Techniques to Improve Defense Evasion https://www.crowdstrike.com/blog/hijackloader-expands-techniques Report completeness: Medium Threats: Hijackloader Idat_loader Proce…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что вариант вредоносного ПО HijackLoader, проанализированный CrowdStrike, использует сложные методы уклонения, чтобы избежать обнаружения продуктами безопасности и скрытно выполнять вредоносные действия. CrowdStrike использует возможности машинного обучения и обнаружения на основе поведения для выявления и противодействия этой угрозе на ранних этапах цепочки атак, а в отчете тактика, методы и процедуры HijackLoader сопоставлены с платформой MITRE ATT&CK для дальнейшего анализа и сбора информации об угрозах.
-----
Вариант вредоносной программы HijackLoader, проанализированный CrowdStrike, использует сложные методы уклонения для расширения своих возможностей защиты от уклонения. В этом варианте используются такие методы, как углубление процесса, доппельгинг процесса, обход крюка Heaven's Gate и методы инъекции для развертывания нескольких этапов полезной нагрузки, таких как маяки Cobalt Strike. Вредоносная программа также использует интерактивные варианты опустошения процессов, чтобы динамически внедрять шелл-код в процессы и запускать их выполнение без приостановки. Используя разделы транзакций и комбинируя различные методы, вредоносная программа стремится избежать обнаружения продуктами безопасности и скрытно выполнять вредоносные действия. CrowdStrike использует возможности машинного обучения и обнаружения на основе поведения для выявления и противодействия HijackLoader и другим подобным угрозам на ранних этапах цепочки атак. Отчет, предоставленный CrowdStrike, также сопоставляет описанные тактики, методы и процедуры HijackLoader с платформой MITRE ATT&CK для дальнейшего анализа и выявления угроз.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что вариант вредоносного ПО HijackLoader, проанализированный CrowdStrike, использует сложные методы уклонения, чтобы избежать обнаружения продуктами безопасности и скрытно выполнять вредоносные действия. CrowdStrike использует возможности машинного обучения и обнаружения на основе поведения для выявления и противодействия этой угрозе на ранних этапах цепочки атак, а в отчете тактика, методы и процедуры HijackLoader сопоставлены с платформой MITRE ATT&CK для дальнейшего анализа и сбора информации об угрозах.
-----
Вариант вредоносной программы HijackLoader, проанализированный CrowdStrike, использует сложные методы уклонения для расширения своих возможностей защиты от уклонения. В этом варианте используются такие методы, как углубление процесса, доппельгинг процесса, обход крюка Heaven's Gate и методы инъекции для развертывания нескольких этапов полезной нагрузки, таких как маяки Cobalt Strike. Вредоносная программа также использует интерактивные варианты опустошения процессов, чтобы динамически внедрять шелл-код в процессы и запускать их выполнение без приостановки. Используя разделы транзакций и комбинируя различные методы, вредоносная программа стремится избежать обнаружения продуктами безопасности и скрытно выполнять вредоносные действия. CrowdStrike использует возможности машинного обучения и обнаружения на основе поведения для выявления и противодействия HijackLoader и другим подобным угрозам на ранних этапах цепочки атак. Отчет, предоставленный CrowdStrike, также сопоставляет описанные тактики, методы и процедуры HijackLoader с платформой MITRE ATT&CK для дальнейшего анализа и выявления угроз.
#ParsedReport #CompletenessLow
12-02-2024
PAPERWALL Chinese Websites Posing as Local News Outlets Target Global Audiences with Pro-Beijing Content
https://citizenlab.ca/2024/02/paperwall-chinese-websites-posing-as-local-news-outlets-with-pro-beijing-content
Report completeness: Low
Actors/Campaigns:
Paperwall (motivation: disinformation)
Haienergy
Wayback
Threats:
Viking
Magnitude
Melissa
Industry:
Healthcare, Education, Government, E-commerce, Entertainment, Financial
Geo:
Portugal, Asia, Netherlands, Ireland, Germany, Asia-pacific, Usa, Asian, Italy, America, Japan, Italian, Myanmar, Turkey, Taiwan, French, Russia, Spain, Romania, Sweden, Czech, Belgium, Mexico, Korean, American, Norway, Austria, China, Chile, Chinese, Denmark, Japanese, France, Finland, Ecuador, Korea, Poland, Colombia, Norwegian, Russian, Brazil, Switzerland, Luxembourg, Argentina, Spanish
ChatGPT TTPs:
T1566, T1565, T1204, T1583, T1590, T1584, T1020, T1071, T1588, T1048, have more...
IOCs:
Domain: 136
IP: 10
Soft:
Instagram, WhatsApp, WordPress, Chrome, Google Chrome
12-02-2024
PAPERWALL Chinese Websites Posing as Local News Outlets Target Global Audiences with Pro-Beijing Content
https://citizenlab.ca/2024/02/paperwall-chinese-websites-posing-as-local-news-outlets-with-pro-beijing-content
Report completeness: Low
Actors/Campaigns:
Paperwall (motivation: disinformation)
Haienergy
Wayback
Threats:
Viking
Magnitude
Melissa
Industry:
Healthcare, Education, Government, E-commerce, Entertainment, Financial
Geo:
Portugal, Asia, Netherlands, Ireland, Germany, Asia-pacific, Usa, Asian, Italy, America, Japan, Italian, Myanmar, Turkey, Taiwan, French, Russia, Spain, Romania, Sweden, Czech, Belgium, Mexico, Korean, American, Norway, Austria, China, Chile, Chinese, Denmark, Japanese, France, Finland, Ecuador, Korea, Poland, Colombia, Norwegian, Russian, Brazil, Switzerland, Luxembourg, Argentina, Spanish
ChatGPT TTPs:
do not use without manual checkT1566, T1565, T1204, T1583, T1590, T1584, T1020, T1071, T1588, T1048, have more...
IOCs:
Domain: 136
IP: 10
Soft:
Instagram, WhatsApp, WordPress, Chrome, Google Chrome
The Citizen Lab
PAPERWALL
A network of at least 123 websites operated from within the People’s Republic of China while posing as local news outlets in 30 countries across Europe, Asia, and Latin America, disseminates pro-Beijing disinformation and ad hominem attacks within much larger…
CTT Report Hub
#ParsedReport #CompletenessLow 12-02-2024 PAPERWALL Chinese Websites Posing as Local News Outlets Target Global Audiences with Pro-Beijing Content https://citizenlab.ca/2024/02/paperwall-chinese-websites-posing-as-local-news-outlets-with-pro-beijing-content…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что сеть под названием PAPERWALL, действующая из Китая, распространяет пропекинскую дезинформацию через замаскированные местные новостные агентства во многих странах. Кампания приписывается китайской PR-фирме и включает в себя сокрытие политического контента в коммерческих пресс-релизах, имитацию местных новостных агентств и усиление атак ad hominem. Кроме того, частные фирмы играют значительную роль в операциях китайского цифрового влияния, о чем свидетельствует структура сети. В отчете подчеркивается меняющийся ландшафт деятельности по оказанию влияния в Интернете в Китае и сотрудничество между частными фирмами и правительством в проведении операций по оказанию цифрового влияния.
-----
Краткое содержание:.
Сеть из 123 веб-сайтов, работающих в Китае, известная как PAPERWALL, распространяет пропекинскую дезинформацию, замаскированную под местные новостные агентства, в 30 странах. PAPERWALL отличается от HaiEnergy, но имеет общие черты. Кампания, приписываемая китайской PR-фирме, скрывает политическое содержание в коммерческих пресс-релизах и быстро удаляет агрессивные статьи, нападающие на критиков Пекина. Сеть имитирует местные новостные агентства в разных странах и усиливает атаки ad hominem. PAPERWALL черпает контент из Times Newswire, известной тем, что публикует материалы в поддержку Пекина. Частные фирмы играют значительную роль в операциях по цифровому влиянию в Китае, о чем свидетельствует структура сети. Хотя воздействие PAPERWALL минимально, существует риск непреднамеренного усиления. Times Newswire занимает центральное место в работе PAPERWALL, разделяя с сетью особенности тактики размещения и инфраструктуры. В отчете освещается меняющийся ландшафт деятельности по оказанию влияния в Интернете в Китае и партнерство между частными фирмами и правительством в проведении операций по оказанию цифрового влияния.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что сеть под названием PAPERWALL, действующая из Китая, распространяет пропекинскую дезинформацию через замаскированные местные новостные агентства во многих странах. Кампания приписывается китайской PR-фирме и включает в себя сокрытие политического контента в коммерческих пресс-релизах, имитацию местных новостных агентств и усиление атак ad hominem. Кроме того, частные фирмы играют значительную роль в операциях китайского цифрового влияния, о чем свидетельствует структура сети. В отчете подчеркивается меняющийся ландшафт деятельности по оказанию влияния в Интернете в Китае и сотрудничество между частными фирмами и правительством в проведении операций по оказанию цифрового влияния.
-----
Краткое содержание:.
Сеть из 123 веб-сайтов, работающих в Китае, известная как PAPERWALL, распространяет пропекинскую дезинформацию, замаскированную под местные новостные агентства, в 30 странах. PAPERWALL отличается от HaiEnergy, но имеет общие черты. Кампания, приписываемая китайской PR-фирме, скрывает политическое содержание в коммерческих пресс-релизах и быстро удаляет агрессивные статьи, нападающие на критиков Пекина. Сеть имитирует местные новостные агентства в разных странах и усиливает атаки ad hominem. PAPERWALL черпает контент из Times Newswire, известной тем, что публикует материалы в поддержку Пекина. Частные фирмы играют значительную роль в операциях по цифровому влиянию в Китае, о чем свидетельствует структура сети. Хотя воздействие PAPERWALL минимально, существует риск непреднамеренного усиления. Times Newswire занимает центральное место в работе PAPERWALL, разделяя с сетью особенности тактики размещения и инфраструктуры. В отчете освещается меняющийся ландшафт деятельности по оказанию влияния в Интернете в Китае и партнерство между частными фирмами и правительством в проведении операций по оказанию цифрового влияния.
#ParsedReport #CompletenessLow
12-02-2024
RustDoor. New MacOS Backdoor Written in Rust Shows Possible Link with Windows Ransomware Group
https://www.bitdefender.com/blog/labs/new-macos-backdoor-written-in-rust-shows-possible-link-with-windows-ransomware-group
Report completeness: Low
Threats:
Rustdoor
Taskkill
Blackbasta
Blackcat
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1547, T1059, T1027, T1560, T1071, T1105, T1036, T1012
IOCs:
File: 5
Hash: 33
IP: 2
Soft:
MacOS, Mac OS, Visual Studio, sysctl
Algorithms:
zip
Languages:
python, rust
Platforms:
intel, arm, apple
12-02-2024
RustDoor. New MacOS Backdoor Written in Rust Shows Possible Link with Windows Ransomware Group
https://www.bitdefender.com/blog/labs/new-macos-backdoor-written-in-rust-shows-possible-link-with-windows-ransomware-group
Report completeness: Low
Threats:
Rustdoor
Taskkill
Blackbasta
Blackcat
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1547, T1059, T1027, T1560, T1071, T1105, T1036, T1012
IOCs:
File: 5
Hash: 33
IP: 2
Soft:
MacOS, Mac OS, Visual Studio, sysctl
Algorithms:
zip
Languages:
python, rust
Platforms:
intel, arm, apple
Bitdefender Labs
New macOS Backdoor Written in Rust Shows Possible Link with Windows Ransomware Group
UPDATE:
Following our initial release, we have been contacted by our fellow researchers at Jamf who were able to identify three more samples that act like first-stage payloads.
Following our initial release, we have been contacted by our fellow researchers at Jamf who were able to identify three more samples that act like first-stage payloads.
CTT Report Hub
#ParsedReport #CompletenessLow 12-02-2024 RustDoor. New MacOS Backdoor Written in Rust Shows Possible Link with Windows Ransomware Group https://www.bitdefender.com/blog/labs/new-macos-backdoor-written-in-rust-shows-possible-link-with-windows-ransomware…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Исследователи Bitdefender обнаружили новый бэкдор, нацеленный на пользователей Mac OS, замаскированный под обновление Visual Studio, который работал незамеченным в течение как минимум трех месяцев с различными образцами, датируемыми ноябрем 2023 года. Вредоносная программа выпускается в нескольких вариантах, причем последняя версия может похвастаться сложной конфигурацией JSON и встроенным скриптом Apple для эксфильтрации данных. Один вариант фокусируется на извлечении определенных типов документов и сжатии их в ZIP-архивы. Вредоносная программа взаимодействует с серверами управления для выполнения таких задач, как сбор информации о компьютере и эксфильтрация файлов, возможно, связана с операторами программ-вымогателей, такими как BlackBasta и ALPHV/BlackCat.
-----
Исследователи Bitdefender выявили новый бэкдор, нацеленный на пользователей Mac OS, написанный на Rust и выдающий себя за обновление Visual Studio. Вредоносная программа работала незамеченной в течение как минимум трех месяцев, а различные образцы были обнаружены в начале ноября 2023 года. Бэкдор включает в себя несколько вариантов, причем самый последний содержит сложную конфигурацию JSON и встроенный скрипт Apple для эксфильтрации данных. Другой вариант фокусируется на эксфильтрации определенных типов документов из пользовательских папок и сжатии их в ZIP-архив. Самый ранний вариант менее сложен, ему не хватает встроенного скрипта и конфигурации. Вредоносная программа взаимодействует с серверами управления, используя различные конечные точки для выполнения таких задач, как сбор информации о компьютере и эксфильтрация файлов. Хотя существует недостаточно информации, чтобы окончательно приписать эту кампанию, на наличие связей с операторами программ-вымогателей, такими как BlackBasta и ALPHV/BlackCat, указывают артефакты и признаки компрометации.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Исследователи Bitdefender обнаружили новый бэкдор, нацеленный на пользователей Mac OS, замаскированный под обновление Visual Studio, который работал незамеченным в течение как минимум трех месяцев с различными образцами, датируемыми ноябрем 2023 года. Вредоносная программа выпускается в нескольких вариантах, причем последняя версия может похвастаться сложной конфигурацией JSON и встроенным скриптом Apple для эксфильтрации данных. Один вариант фокусируется на извлечении определенных типов документов и сжатии их в ZIP-архивы. Вредоносная программа взаимодействует с серверами управления для выполнения таких задач, как сбор информации о компьютере и эксфильтрация файлов, возможно, связана с операторами программ-вымогателей, такими как BlackBasta и ALPHV/BlackCat.
-----
Исследователи Bitdefender выявили новый бэкдор, нацеленный на пользователей Mac OS, написанный на Rust и выдающий себя за обновление Visual Studio. Вредоносная программа работала незамеченной в течение как минимум трех месяцев, а различные образцы были обнаружены в начале ноября 2023 года. Бэкдор включает в себя несколько вариантов, причем самый последний содержит сложную конфигурацию JSON и встроенный скрипт Apple для эксфильтрации данных. Другой вариант фокусируется на эксфильтрации определенных типов документов из пользовательских папок и сжатии их в ZIP-архив. Самый ранний вариант менее сложен, ему не хватает встроенного скрипта и конфигурации. Вредоносная программа взаимодействует с серверами управления, используя различные конечные точки для выполнения таких задач, как сбор информации о компьютере и эксфильтрация файлов. Хотя существует недостаточно информации, чтобы окончательно приписать эту кампанию, на наличие связей с операторами программ-вымогателей, такими как BlackBasta и ALPHV/BlackCat, указывают артефакты и признаки компрометации.
#ParsedReport #CompletenessLow
13-02-2024
Ivanti Connect Secure: Journey to the core of the DSLog backdoor
https://www.orangecyberdefense.com/global/blog/research/ivanti-connect-secure-journey-to-the-core-of-the-dslog-backdoor
Report completeness: Low
Threats:
Dslog
Victims:
Ivanti
Geo:
Chinese
CVEs:
CVE-2023-46805 [Vulners]
CVSS V3.1: 8.2,
Vulners: Exploitation: True
X-Force: Risk: 8.2
X-Force: Patch: Official fix
Soft:
- ivanti connect secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)
CVE-2024-21887 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: 9.1
X-Force: Patch: Official fix
Soft:
- ivanti connect secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)
CVE-2024-21893 [Vulners]
CVSS V3.1: 8.2,
Vulners: Exploitation: True
X-Force: Risk: 8.2
X-Force: Patch: Official fix
Soft:
- ivanti connect secure (9.0, 9.1, 21.9, 21.12, 22.1, 22.2, 22.3, 22.4, 22.6)
- ivanti neurons for zero-trust access (-)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)
CVE-2024-21888 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- ivanti connect secure (9.0, 9.1, 21.9, 21.12, 22.1, 22.2, 22.3, 22.4, 22.6)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)
ChatGPT TTPs:
T1190, T1199, T1133, T1021.001, T1552.004, T1190, T1547.013, T1070.004, T1553.007, T1486, have more...
IOCs:
File: 2
IP: 1
Soft:
Ivanti
Algorithms:
base64, sha256, rot47
Languages:
perl
13-02-2024
Ivanti Connect Secure: Journey to the core of the DSLog backdoor
https://www.orangecyberdefense.com/global/blog/research/ivanti-connect-secure-journey-to-the-core-of-the-dslog-backdoor
Report completeness: Low
Threats:
Dslog
Victims:
Ivanti
Geo:
Chinese
CVEs:
CVE-2023-46805 [Vulners]
CVSS V3.1: 8.2,
Vulners: Exploitation: True
X-Force: Risk: 8.2
X-Force: Patch: Official fix
Soft:
- ivanti connect secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)
CVE-2024-21887 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: 9.1
X-Force: Patch: Official fix
Soft:
- ivanti connect secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)
CVE-2024-21893 [Vulners]
CVSS V3.1: 8.2,
Vulners: Exploitation: True
X-Force: Risk: 8.2
X-Force: Patch: Official fix
Soft:
- ivanti connect secure (9.0, 9.1, 21.9, 21.12, 22.1, 22.2, 22.3, 22.4, 22.6)
- ivanti neurons for zero-trust access (-)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)
CVE-2024-21888 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- ivanti connect secure (9.0, 9.1, 21.9, 21.12, 22.1, 22.2, 22.3, 22.4, 22.6)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)
ChatGPT TTPs:
do not use without manual checkT1190, T1199, T1133, T1021.001, T1552.004, T1190, T1547.013, T1070.004, T1553.007, T1486, have more...
IOCs:
File: 2
IP: 1
Soft:
Ivanti
Algorithms:
base64, sha256, rot47
Languages:
perl
CTT Report Hub
#ParsedReport #CompletenessLow 13-02-2024 Ivanti Connect Secure: Journey to the core of the DSLog backdoor https://www.orangecyberdefense.com/global/blog/research/ivanti-connect-secure-journey-to-the-core-of-the-dslog-backdoor Report completeness: Low …
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что уязвимость подделки запросов на стороне сервера (SSRF) в устройствах Ivanti была использована злоумышленниками для внедрения бэкдора, позволяющего им выполнять команды с высокими привилегиями. Исследователи безопасности обнаружили бэкдор и опубликовали доказательство концепции (PoC). Бэкдор, скрытый в файле Perl, было трудно обнаружить из-за уникальных хэшей для каждого устройства и использования значений в шестнадцатеричном коде для команд. Для устранения проблемы была выпущена рекомендация об отключении и сбросе настроек к заводским настройкам устройств Ivanti с предложениями по исправлению, обновлениям и методам обнаружения компрометации.
-----
Уязвимость для подделки запросов на стороне сервера Ivanti (SSRF) (CVE-2024-21893) позволила злоумышленникам внедрить бэкдор в устройства Ivanti, управляемый с помощью базового механизма ключей API.
Доказательство концепции (PoC) уязвимости было общедоступным, и исследователи Rapid7 и AssetNote поделились подробностями.
Бэкдор, вставленный в Perl-файл DSLog.pm в строке 102, нацеленный на функцию DSLog::Msg.
Уникальный хэш для каждого устройства, используемый в бэкдоре, затруднял обнаружение на разных устройствах.
Злоумышленники очистили журналы .access, чтобы скрыть свои действия на скомпрометированных устройствах.
Шаги, рекомендованные CISA и Ivanti, включали отключение и сброс настроек к заводским настройкам всех устройств Ivanti, при этом Mandiant рекомендовала выполнить два последовательных обновления для предотвращения откатов.
Ivanti Integrity Checker Tool (ICT) рекомендует выполнять сканирование скомпрометированных устройств с рекомендациями по созданию моментальных снимков системы, памяти и извлечению данных журнала перед проведением сканирования.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что уязвимость подделки запросов на стороне сервера (SSRF) в устройствах Ivanti была использована злоумышленниками для внедрения бэкдора, позволяющего им выполнять команды с высокими привилегиями. Исследователи безопасности обнаружили бэкдор и опубликовали доказательство концепции (PoC). Бэкдор, скрытый в файле Perl, было трудно обнаружить из-за уникальных хэшей для каждого устройства и использования значений в шестнадцатеричном коде для команд. Для устранения проблемы была выпущена рекомендация об отключении и сбросе настроек к заводским настройкам устройств Ivanti с предложениями по исправлению, обновлениям и методам обнаружения компрометации.
-----
Уязвимость для подделки запросов на стороне сервера Ivanti (SSRF) (CVE-2024-21893) позволила злоумышленникам внедрить бэкдор в устройства Ivanti, управляемый с помощью базового механизма ключей API.
Доказательство концепции (PoC) уязвимости было общедоступным, и исследователи Rapid7 и AssetNote поделились подробностями.
Бэкдор, вставленный в Perl-файл DSLog.pm в строке 102, нацеленный на функцию DSLog::Msg.
Уникальный хэш для каждого устройства, используемый в бэкдоре, затруднял обнаружение на разных устройствах.
Злоумышленники очистили журналы .access, чтобы скрыть свои действия на скомпрометированных устройствах.
Шаги, рекомендованные CISA и Ivanti, включали отключение и сброс настроек к заводским настройкам всех устройств Ivanti, при этом Mandiant рекомендовала выполнить два последовательных обновления для предотвращения откатов.
Ivanti Integrity Checker Tool (ICT) рекомендует выполнять сканирование скомпрометированных устройств с рекомендациями по созданию моментальных снимков системы, памяти и извлечению данных журнала перед проведением сканирования.
#ParsedReport #CompletenessHigh
13-02-2024
CharmingCypress: Innovating Persistence
https://www.volexity.com/blog/2024/02/13/charmingcypress-innovating-persistence
Report completeness: High
Actors/Campaigns:
Charming_kitten
Apt42
Educated_manticore
Threats:
Charmingcypress
Spear-phishing_technique
Powerstar
Powerless
Noknok
Basicstar
Eyeglass
Typosquatting_technique
Korkuloader
Nircmd_tool
Glitch
Rathole
Mediapl
Victims:
Think tanks, Ngos, Journalists, Policy experts
Industry:
Ngo
Geo:
Iran, Iranian
TTPs:
Tactics: 2
Technics: 1
ChatGPT TTPs:
T1566, T1193, T1566.002, T1140, T1204.002, T1547.004, T1059.001, T1573, T1553.002, T1119, have more...
IOCs:
Domain: 11
Url: 3
File: 16
Path: 2
IP: 1
Registry: 2
Command: 1
Hash: 10
Soft:
WhatsApp, macOS, Telegram, Volexity Volcano, Microsoft Edge, Chrome
Algorithms:
sha1, base64, aes, md5
Functions:
SetNewConfig
Win API:
AmsiScanBuffer, EtwEventWrite
Languages:
powershell, visual_basic
Platforms:
apple
Links:
13-02-2024
CharmingCypress: Innovating Persistence
https://www.volexity.com/blog/2024/02/13/charmingcypress-innovating-persistence
Report completeness: High
Actors/Campaigns:
Charming_kitten
Apt42
Educated_manticore
Threats:
Charmingcypress
Spear-phishing_technique
Powerstar
Powerless
Noknok
Basicstar
Eyeglass
Typosquatting_technique
Korkuloader
Nircmd_tool
Glitch
Rathole
Mediapl
Victims:
Think tanks, Ngos, Journalists, Policy experts
Industry:
Ngo
Geo:
Iran, Iranian
TTPs:
Tactics: 2
Technics: 1
ChatGPT TTPs:
do not use without manual checkT1566, T1193, T1566.002, T1140, T1204.002, T1547.004, T1059.001, T1573, T1553.002, T1119, have more...
IOCs:
Domain: 11
Url: 3
File: 16
Path: 2
IP: 1
Registry: 2
Command: 1
Hash: 10
Soft:
WhatsApp, macOS, Telegram, Volexity Volcano, Microsoft Edge, Chrome
Algorithms:
sha1, base64, aes, md5
Functions:
SetNewConfig
Win API:
AmsiScanBuffer, EtwEventWrite
Languages:
powershell, visual_basic
Platforms:
apple
Links:
https://github.com/tedburke/CommandCamhttps://github.com/snail007/goproxyhttps://github.com/volexity/threat-intel/blob/main/2024/2024-02-13%20CharmingCypress/rules.yarhttps://github.com/volexity/threat-intel/blob/main/2024/2024-02-13%20CharmingCypress/iocs.csvhttps://github.com/rapiz1/ratholeVolexity
CharmingCypress: Innovating Persistence
Through its managed security services offerings, Volexity routinely identifies spear-phishing campaigns targeting its customers. One persistent threat actor, whose campaigns Volexity frequently observes, is the Iranian-origin threat actor CharmingCypress…