CTT Report Hub
3.4K subscribers
9.59K photos
6 videos
67 files
13.2K links
Threat Intelligence Report Hub
Download Telegram
#ParsedReport #CompletenessMedium
12-02-2024

Empty heading. HijackLoader Expands Techniques to Improve Defense Evasion

https://www.crowdstrike.com/blog/hijackloader-expands-techniques

Report completeness: Medium

Threats:
Hijackloader
Idat_loader
Process_hollowing_technique
Process_doppelganging_technique
Heavens_gate_technique
Cobalt_strike
Process_injection_technique

TTPs:

IOCs:
Url: 4
Path: 3
File: 4
Hash: 2

Algorithms:
xor

Functions:
Gate, WriteFileW

Win API:
RtlDecompressBuffer, NtWriteVirtualMemory, NtProtectVirtualMemory, CreateProcessW, NtReadFile, NtDelayExecution, NtCreateSection, NtMapViewOfSection, NtSuspendThread, NtGetContextThread, have more...

Platforms:
x64

Links:
https://gist.github.com/Cr4sh/76b66b612a5d1dc2c614#file-wow64\_call-cpp-L61
https://github.com/hasherezade/transacted\_hollowing/blob/main/transacted\_file.cpp#L13C29
CTT Report Hub
#ParsedReport #CompletenessMedium 12-02-2024 Empty heading. HijackLoader Expands Techniques to Improve Defense Evasion https://www.crowdstrike.com/blog/hijackloader-expands-techniques Report completeness: Medium Threats: Hijackloader Idat_loader Proce…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что вариант вредоносного ПО HijackLoader, проанализированный CrowdStrike, использует сложные методы уклонения, чтобы избежать обнаружения продуктами безопасности и скрытно выполнять вредоносные действия. CrowdStrike использует возможности машинного обучения и обнаружения на основе поведения для выявления и противодействия этой угрозе на ранних этапах цепочки атак, а в отчете тактика, методы и процедуры HijackLoader сопоставлены с платформой MITRE ATT&CK для дальнейшего анализа и сбора информации об угрозах.
-----

Вариант вредоносной программы HijackLoader, проанализированный CrowdStrike, использует сложные методы уклонения для расширения своих возможностей защиты от уклонения. В этом варианте используются такие методы, как углубление процесса, доппельгинг процесса, обход крюка Heaven's Gate и методы инъекции для развертывания нескольких этапов полезной нагрузки, таких как маяки Cobalt Strike. Вредоносная программа также использует интерактивные варианты опустошения процессов, чтобы динамически внедрять шелл-код в процессы и запускать их выполнение без приостановки. Используя разделы транзакций и комбинируя различные методы, вредоносная программа стремится избежать обнаружения продуктами безопасности и скрытно выполнять вредоносные действия. CrowdStrike использует возможности машинного обучения и обнаружения на основе поведения для выявления и противодействия HijackLoader и другим подобным угрозам на ранних этапах цепочки атак. Отчет, предоставленный CrowdStrike, также сопоставляет описанные тактики, методы и процедуры HijackLoader с платформой MITRE ATT&CK для дальнейшего анализа и выявления угроз.
#ParsedReport #CompletenessLow
12-02-2024

PAPERWALL Chinese Websites Posing as Local News Outlets Target Global Audiences with Pro-Beijing Content

https://citizenlab.ca/2024/02/paperwall-chinese-websites-posing-as-local-news-outlets-with-pro-beijing-content

Report completeness: Low

Actors/Campaigns:
Paperwall (motivation: disinformation)
Haienergy
Wayback

Threats:
Viking
Magnitude
Melissa

Industry:
Healthcare, Education, Government, E-commerce, Entertainment, Financial

Geo:
Portugal, Asia, Netherlands, Ireland, Germany, Asia-pacific, Usa, Asian, Italy, America, Japan, Italian, Myanmar, Turkey, Taiwan, French, Russia, Spain, Romania, Sweden, Czech, Belgium, Mexico, Korean, American, Norway, Austria, China, Chile, Chinese, Denmark, Japanese, France, Finland, Ecuador, Korea, Poland, Colombia, Norwegian, Russian, Brazil, Switzerland, Luxembourg, Argentina, Spanish

ChatGPT TTPs:
do not use without manual check
T1566, T1565, T1204, T1583, T1590, T1584, T1020, T1071, T1588, T1048, have more...

IOCs:
Domain: 136
IP: 10

Soft:
Instagram, WhatsApp, WordPress, Chrome, Google Chrome
CTT Report Hub
#ParsedReport #CompletenessLow 12-02-2024 PAPERWALL Chinese Websites Posing as Local News Outlets Target Global Audiences with Pro-Beijing Content https://citizenlab.ca/2024/02/paperwall-chinese-websites-posing-as-local-news-outlets-with-pro-beijing-content…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что сеть под названием PAPERWALL, действующая из Китая, распространяет пропекинскую дезинформацию через замаскированные местные новостные агентства во многих странах. Кампания приписывается китайской PR-фирме и включает в себя сокрытие политического контента в коммерческих пресс-релизах, имитацию местных новостных агентств и усиление атак ad hominem. Кроме того, частные фирмы играют значительную роль в операциях китайского цифрового влияния, о чем свидетельствует структура сети. В отчете подчеркивается меняющийся ландшафт деятельности по оказанию влияния в Интернете в Китае и сотрудничество между частными фирмами и правительством в проведении операций по оказанию цифрового влияния.
-----

Краткое содержание:.

Сеть из 123 веб-сайтов, работающих в Китае, известная как PAPERWALL, распространяет пропекинскую дезинформацию, замаскированную под местные новостные агентства, в 30 странах. PAPERWALL отличается от HaiEnergy, но имеет общие черты. Кампания, приписываемая китайской PR-фирме, скрывает политическое содержание в коммерческих пресс-релизах и быстро удаляет агрессивные статьи, нападающие на критиков Пекина. Сеть имитирует местные новостные агентства в разных странах и усиливает атаки ad hominem. PAPERWALL черпает контент из Times Newswire, известной тем, что публикует материалы в поддержку Пекина. Частные фирмы играют значительную роль в операциях по цифровому влиянию в Китае, о чем свидетельствует структура сети. Хотя воздействие PAPERWALL минимально, существует риск непреднамеренного усиления. Times Newswire занимает центральное место в работе PAPERWALL, разделяя с сетью особенности тактики размещения и инфраструктуры. В отчете освещается меняющийся ландшафт деятельности по оказанию влияния в Интернете в Китае и партнерство между частными фирмами и правительством в проведении операций по оказанию цифрового влияния.
#ParsedReport #CompletenessLow
12-02-2024

RustDoor. New MacOS Backdoor Written in Rust Shows Possible Link with Windows Ransomware Group

https://www.bitdefender.com/blog/labs/new-macos-backdoor-written-in-rust-shows-possible-link-with-windows-ransomware-group

Report completeness: Low

Threats:
Rustdoor
Taskkill
Blackbasta
Blackcat

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1547, T1059, T1027, T1560, T1071, T1105, T1036, T1012

IOCs:
File: 5
Hash: 33
IP: 2

Soft:
MacOS, Mac OS, Visual Studio, sysctl

Algorithms:
zip

Languages:
python, rust

Platforms:
intel, arm, apple
CTT Report Hub
#ParsedReport #CompletenessLow 12-02-2024 RustDoor. New MacOS Backdoor Written in Rust Shows Possible Link with Windows Ransomware Group https://www.bitdefender.com/blog/labs/new-macos-backdoor-written-in-rust-shows-possible-link-with-windows-ransomware…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Исследователи Bitdefender обнаружили новый бэкдор, нацеленный на пользователей Mac OS, замаскированный под обновление Visual Studio, который работал незамеченным в течение как минимум трех месяцев с различными образцами, датируемыми ноябрем 2023 года. Вредоносная программа выпускается в нескольких вариантах, причем последняя версия может похвастаться сложной конфигурацией JSON и встроенным скриптом Apple для эксфильтрации данных. Один вариант фокусируется на извлечении определенных типов документов и сжатии их в ZIP-архивы. Вредоносная программа взаимодействует с серверами управления для выполнения таких задач, как сбор информации о компьютере и эксфильтрация файлов, возможно, связана с операторами программ-вымогателей, такими как BlackBasta и ALPHV/BlackCat.
-----

Исследователи Bitdefender выявили новый бэкдор, нацеленный на пользователей Mac OS, написанный на Rust и выдающий себя за обновление Visual Studio. Вредоносная программа работала незамеченной в течение как минимум трех месяцев, а различные образцы были обнаружены в начале ноября 2023 года. Бэкдор включает в себя несколько вариантов, причем самый последний содержит сложную конфигурацию JSON и встроенный скрипт Apple для эксфильтрации данных. Другой вариант фокусируется на эксфильтрации определенных типов документов из пользовательских папок и сжатии их в ZIP-архив. Самый ранний вариант менее сложен, ему не хватает встроенного скрипта и конфигурации. Вредоносная программа взаимодействует с серверами управления, используя различные конечные точки для выполнения таких задач, как сбор информации о компьютере и эксфильтрация файлов. Хотя существует недостаточно информации, чтобы окончательно приписать эту кампанию, на наличие связей с операторами программ-вымогателей, такими как BlackBasta и ALPHV/BlackCat, указывают артефакты и признаки компрометации.
#ParsedReport #CompletenessLow
13-02-2024

Ivanti Connect Secure: Journey to the core of the DSLog backdoor

https://www.orangecyberdefense.com/global/blog/research/ivanti-connect-secure-journey-to-the-core-of-the-dslog-backdoor

Report completeness: Low

Threats:
Dslog

Victims:
Ivanti

Geo:
Chinese

CVEs:
CVE-2023-46805 [Vulners]
CVSS V3.1: 8.2,
Vulners: Exploitation: True
X-Force: Risk: 8.2
X-Force: Patch: Official fix
Soft:
- ivanti connect secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)

CVE-2024-21887 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: 9.1
X-Force: Patch: Official fix
Soft:
- ivanti connect secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)

CVE-2024-21893 [Vulners]
CVSS V3.1: 8.2,
Vulners: Exploitation: True
X-Force: Risk: 8.2
X-Force: Patch: Official fix
Soft:
- ivanti connect secure (9.0, 9.1, 21.9, 21.12, 22.1, 22.2, 22.3, 22.4, 22.6)
- ivanti neurons for zero-trust access (-)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)

CVE-2024-21888 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- ivanti connect secure (9.0, 9.1, 21.9, 21.12, 22.1, 22.2, 22.3, 22.4, 22.6)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)


ChatGPT TTPs:
do not use without manual check
T1190, T1199, T1133, T1021.001, T1552.004, T1190, T1547.013, T1070.004, T1553.007, T1486, have more...

IOCs:
File: 2
IP: 1

Soft:
Ivanti

Algorithms:
base64, sha256, rot47

Languages:
perl
CTT Report Hub
#ParsedReport #CompletenessLow 13-02-2024 Ivanti Connect Secure: Journey to the core of the DSLog backdoor https://www.orangecyberdefense.com/global/blog/research/ivanti-connect-secure-journey-to-the-core-of-the-dslog-backdoor Report completeness: Low …
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что уязвимость подделки запросов на стороне сервера (SSRF) в устройствах Ivanti была использована злоумышленниками для внедрения бэкдора, позволяющего им выполнять команды с высокими привилегиями. Исследователи безопасности обнаружили бэкдор и опубликовали доказательство концепции (PoC). Бэкдор, скрытый в файле Perl, было трудно обнаружить из-за уникальных хэшей для каждого устройства и использования значений в шестнадцатеричном коде для команд. Для устранения проблемы была выпущена рекомендация об отключении и сбросе настроек к заводским настройкам устройств Ivanti с предложениями по исправлению, обновлениям и методам обнаружения компрометации.
-----

Уязвимость для подделки запросов на стороне сервера Ivanti (SSRF) (CVE-2024-21893) позволила злоумышленникам внедрить бэкдор в устройства Ivanti, управляемый с помощью базового механизма ключей API.

Доказательство концепции (PoC) уязвимости было общедоступным, и исследователи Rapid7 и AssetNote поделились подробностями.

Бэкдор, вставленный в Perl-файл DSLog.pm в строке 102, нацеленный на функцию DSLog::Msg.

Уникальный хэш для каждого устройства, используемый в бэкдоре, затруднял обнаружение на разных устройствах.

Злоумышленники очистили журналы .access, чтобы скрыть свои действия на скомпрометированных устройствах.

Шаги, рекомендованные CISA и Ivanti, включали отключение и сброс настроек к заводским настройкам всех устройств Ivanti, при этом Mandiant рекомендовала выполнить два последовательных обновления для предотвращения откатов.

Ivanti Integrity Checker Tool (ICT) рекомендует выполнять сканирование скомпрометированных устройств с рекомендациями по созданию моментальных снимков системы, памяти и извлечению данных журнала перед проведением сканирования.
#ParsedReport #CompletenessHigh
13-02-2024

CharmingCypress: Innovating Persistence

https://www.volexity.com/blog/2024/02/13/charmingcypress-innovating-persistence

Report completeness: High

Actors/Campaigns:
Charming_kitten
Apt42
Educated_manticore

Threats:
Charmingcypress
Spear-phishing_technique
Powerstar
Powerless
Noknok
Basicstar
Eyeglass
Typosquatting_technique
Korkuloader
Nircmd_tool
Glitch
Rathole
Mediapl

Victims:
Think tanks, Ngos, Journalists, Policy experts

Industry:
Ngo

Geo:
Iran, Iranian

TTPs:
Tactics: 2
Technics: 1

ChatGPT TTPs:
do not use without manual check
T1566, T1193, T1566.002, T1140, T1204.002, T1547.004, T1059.001, T1573, T1553.002, T1119, have more...

IOCs:
Domain: 11
Url: 3
File: 16
Path: 2
IP: 1
Registry: 2
Command: 1
Hash: 10

Soft:
WhatsApp, macOS, Telegram, Volexity Volcano, Microsoft Edge, Chrome

Algorithms:
sha1, base64, aes, md5

Functions:
SetNewConfig

Win API:
AmsiScanBuffer, EtwEventWrite

Languages:
powershell, visual_basic

Platforms:
apple

Links:
https://github.com/tedburke/CommandCam
https://github.com/snail007/goproxy
https://github.com/volexity/threat-intel/blob/main/2024/2024-02-13%20CharmingCypress/rules.yar
https://github.com/volexity/threat-intel/blob/main/2024/2024-02-13%20CharmingCypress/iocs.csv
https://github.com/rapiz1/rathole
CTT Report Hub
#ParsedReport #CompletenessHigh 13-02-2024 CharmingCypress: Innovating Persistence https://www.volexity.com/blog/2024/02/13/charmingcypress-innovating-persistence Report completeness: High Actors/Campaigns: Charming_kitten Apt42 Educated_manticore Threats:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в детальном мониторинге и анализе фишинговых кампаний, проводимых группой по борьбе с угрозами иранского происхождения CharmingCypress, которая нацелена на организации и отдельных лиц, занимающихся политической разведкой, аналитическими центрами, НПО и журналистикой. CharmingCypress использует различные тактики социальной инженерии, поддельные платформы для вебинаров, методы подмены и загруженные вредоносными программами VPN-приложения для развертывания вредоносных программ и ведения слежки за своими целями. Организациям и частным лицам рекомендуется ознакомиться с тактикой CharmingCypress и компонентами вредоносного ПО, чтобы усилить свою защиту от этой постоянной угрозы.
-----

Volexity отслеживает фишинговые кампании, проводимые хакером иранского происхождения CharmingCypress, нацеленные на аналитические центры, НПО и журналистов.

CharmingCypress использует тактику социальной инженерии в фишинговых кампаниях и недавно создала поддельную платформу для вебинаров для распространения вредоносных VPN-приложений.

CharmingCypress использует различные методы, включая подмену, домены с опечатками, цепочки перенаправлений, скомпрометированные учетные записи электронной почты и множество личностей в своей фишинговой деятельности.

Исполнитель угроз распространяет вредоносное ПО через архивы RAR, содержащие файлы LNK, и использует загруженные вредоносными программами VPN-приложения для развертывания вредоносного ПО.

CharmingCypress создала поддельные профили вебинаров, связанные с экспертами по ближневосточной политике, указав, что они были целями кампании.

Загруженные вредоносными программами VPN-приложения развернули бэкдоры под названием POWERLESS в системах Windows и NOKNOK в системах macOS.

Volexity обнаружила недокументированный бэкдор под названием BASICSTAR, используемый CharmingCypress для сбора системной информации и выполнения команд.

CharmingCypress использует дополнительные инструменты, такие как средства перехвата информации в браузере, модули сохранения и скрипты PowerShell для кражи данных и наблюдения.

Исполнитель угроз нацелен на журналистов, активистов, ученых и политических экспертов, демонстрируя высокий уровень приверженности проведению слежки и регулярно адаптируя методы для достижения максимального успеха.
#ParsedReport #CompletenessMedium
13-02-2024

Bumblebee Buzzes Back in Black

https://www.proofpoint.com/us/blog/threat-insight/bumblebee-buzzes-back-black

Report completeness: Medium

Actors/Campaigns:
Ta579
Ta576 (motivation: financially_motivated)
Ta866 (motivation: financially_motivated)
Ta582
Ta2541
Ta571
Ta577
Ta544
Ta558

Threats:
Bumblebee
Smuggling_technique
Darkgate
Qakbot
Pikabot

Industry:
Aerospace

CVEs:
CVE-2023-38831 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- rarlab winrar (<6.23)


ChatGPT TTPs:
do not use without manual check
T1566, T1204, T1059, T1105, T1027, T1190, T1567, T1086, T1218

IOCs:
Email: 1
Url: 4
Hash: 4
Domain: 1
IP: 1

Algorithms:
rc4, sha256, zip

Languages:
powershell
CTT Report Hub
#ParsedReport #CompletenessMedium 13-02-2024 Bumblebee Buzzes Back in Black https://www.proofpoint.com/us/blog/threat-insight/bumblebee-buzzes-back-black Report completeness: Medium Actors/Campaigns: Ta579 Ta576 (motivation: financially_motivated) Ta866…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в следующем: исследователи Proofpoint выявили возрождение вредоносного ПО Bumblebee, сложного загрузчика, пользующегося популярностью у киберпреступников, после четырехмесячного отсутствия. Эта недавняя кампания демонстрирует изменения в методах распространения и потенциальную привязку к известному субъекту угрозы в будущем. Возрождение Bumblebee является частью более широкого роста активности киберпреступников, когда различные субъекты угроз и вредоносное ПО возвращаются после периодов бездействия. Анализ показывает, что устойчиво высокие темпы работы киберпреступников, как ожидается, сохранятся в течение всего года.
-----

Исследователи Proofpoint недавно обнаружили возрождение вредоносного ПО Bumblebee 8 февраля 2024 года после четырехмесячного отсутствия. Bumblebee - это сложный загрузчик, пользующийся популярностью у различных участников киберпреступных угроз с момента его первоначального появления в марте 2022 года. Вредоносная программа работает, используя документы с поддержкой макросов VBA в своей цепочке атак, метод, который в последнее время реже используется участниками угроз из-за усиления мер безопасности, введенных Microsoft в 2022 году. Цепочка атак включает вредоносные документы Word, содержащие команду PowerShell, которая загружает и выполняет следующий этап с удаленного сервера, что в конечном итоге приводит к развертыванию библиотеки DLL Bumblebee.

Заслуживающие внимания изменения в этой недавней кампании Bumblebee включают в себя переход от ранее наблюдавшихся методов распространения. В прошлых кампаниях по распространению Bumblebee использовались электронные письма с URL-адресами, ведущими к загрузке DLL-файлов, HTML-вложения, использующие уязвимости WinRAR, заархивированные вложения VBS, использующие PowerShell, и заархивированные файлы LNK для загрузки исполняемых файлов. Из примерно 230 кампаний Bumblebee, выявленных с 2022 года, лишь небольшое число включало макросы, причем наиболее часто использовались макросы XL4 и VBA.

В настоящее время Proofpoint не относит это действие к конкретному субъекту угрозы, хотя некоторые характеристики, такие как тема приманки голосовой почты и использование URL-адресов OneDrive, предполагают сходство с предыдущими действиями TA579. Продолжение расследований может привести к тому, что в будущем эта кампания будет приписана известному исполнителю угрозы. Анализ показывает, что загрузчик Bumblebee с высокой степенью уверенности может служить в качестве средства первоначального доступа для доставки последующих полезных нагрузок, таких как программы-вымогатели.

Возрождение Bumblebee совпадает с более широким ростом активности киберпреступников, когда различные субъекты угроз и вредоносные программы возвращаются после длительных периодов бездействия. Примечательными примерами являются повторные появления TA576 на налоговую тематику, сложного TA866, оператора постэксплуатации TA582 и участника ecrime TA2541. Вредоносная программа DarkGate также появилась вновь, выпущенная TA571 с новым обновлением (версия 6.1.6) после некоторого перерыва. Кроме того, основные участники электронной преступности TA577, TA544 и TA558 вернулись в конце января, а TA577 повторно внедрила вредоносное ПО Qbot после его сбоя в августе.

В течение года исследователи Proofpoint ожидают сохранения высокого уровня активности киберугроз, при этом субъекты угроз внедряют новые цепочки атак, эволюционируют тактики уклонения и обновляют вредоносное ПО. Текущая тенденция предполагает сохранение высоких темпов работы киберпреступников до ожидаемых перерывов в летнее время.