#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
В тексте обсуждается возрождение хорошо известной китайской группы исполнителей угроз, the 8220 Gang, с новой кампанией, нацеленной на облачную инфраструктуру, с мая 2023 по февраль 2024 года. Эта кампания демонстрирует их продвинутую тактику, такую как использование уязвимостей как на платформах Linux, так и на Windows, использование сложных методов уклонения и сосредоточение внимания на деятельности по криптомайнингу. Развивающийся подход группы представляет серьезную угрозу для организаций, полагающихся на облачную инфраструктуру, подчеркивая необходимость усиления мер безопасности для борьбы с их сложными технологиями.
-----

Банда 8220, хорошо известная китайская группа исполнителей угроз, вновь появилась с новой кампанией, посвященной облачной инфраструктуре, которая продлится с мая 2023 по февраль 2024 года. Эта кампания демонстрирует переход группы к более изощренной тактике, нацеленной на такие уязвимости, как CVE-2021-44228 и CVE-2022-26134 как на платформах Linux, так и Windows. Используя интернет-сканирование в поисках уязвимых приложений, банда получает несанкционированный доступ к облачным системам, используя незащищенные уязвимости. Оказавшись внутри, они используют передовые методы обхода, такие как отключение принудительного обеспечения безопасности и изменение правил брандмауэра. Такая эволюция их подхода представляет серьезную угрозу для организаций, полагающихся на облачную инфраструктуру, и подчеркивает необходимость усиления мер безопасности.

В этой последней кампании банда 8220 использует Windows PowerShell для выполнения без файлов, что приводит к развертыванию криптоминера. Группа использует новые методы, такие как боковая загрузка библиотеки DLL, обход контроля учетных записей пользователей (UAC) и модификация AMSIscanBuffer и ETWEventWrite для оптимизации скрытности и уклонения. Эта тактика демонстрирует изобретательность группы в обходе мер безопасности и отличает эту кампанию от предыдущих случаев. Что касается Linux, основное внимание по-прежнему уделяется криптоджекингу, при этом группа использует знакомые инструменты, такие как masscan и spirit для разведки, но обновляет их до более новых версий.

Тактика, используемая бандой 8220 в системах Windows, включает в себя различные методы обхода антивирусных систем и систем обнаружения конечных точек, наряду с использованием атак без файлов и дополнительной загрузки DLL. Они исправляют такие функции, как AmsiScanBuffer, чтобы обойти механизмы безопасности и избежать обнаружения. Группа также использует такие методы, как создание каталога с конечным разделителем, используя API CreateDirectory с префиксом unc, чтобы обойти ограничения Windows, с последующим выполнением законной программы, подверженной боковой загрузке DLL.

Выполнение полезной нагрузки включает в себя сложные этапы, включая PowerShell для выполнения без файлов, развертывание криптоминера и использование новых методов обхода. Сосредоточенность группы на системах Windows демонстрирует их способность адаптировать и совершенствовать свою тактику для эффективного обхода мер безопасности. Их кампания в Linux в первую очередь направлена на криптоджекинг, использующий сценарии оболочки для загрузки вредоносных программ и майнеров, с акцентом на разведку и распространение.

В то время как кампания банды 8220 в Linux претерпела незначительные изменения, их кампания в Windows демонстрирует значительные улучшения в тактике и методах уклонения. Организации должны сохранять бдительность, регулярно обновлять системы безопасности и обучать пользователей передовым методам кибербезопасности, чтобы смягчить возникающие угрозы, исходящие от таких групп, как банда 8220. Надежные антивирусные решения, регулярное обновление программного обеспечения, обучение пользователей, фильтрация электронной почты, мониторинг сети и резервное копирование данных являются важными мерами для повышения уровня безопасности от таких сложных угроз.

#ParsedReport #CompletenessMedium
22-02-2024

Web3 Crypto Malware: Angel Drainer From Phishing Sites to Malicious Injections

https://blog.sucuri.net/2024/02/web3-crypto-malware-angel-drainer.html

Report completeness: Medium

Actors/Campaigns:
Darkhotel
Turla

Threats:
Angel_drainer
Socgholish_loader
Pandora
Rilide

Industry:
Financial, Education, Petroleum

Geo:
Moscow, Bulgaria, Russia

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1566, T1190, T1059, T1199, T1547, T1574, T1600, T1583, T1584

IOCs:
Url: 7
Domain: 43
IP: 4
File: 4
Coin: 2

Soft:
WordPress

Wallets:
metamask

Crypto:
bitcoin, ethereum, binance, apecoin, chainlink

Algorithms:
xor, base64

Win API:
Polygon

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
В тексте обсуждается всплеск атак со стороны новой формы вредоносного ПО для веб-сайтов, нацеленного на Web3 и криптовалютные активы, использующего криптодрейнеры для кражи и перераспределения активов. В нем освещается рост вредоносных программ, связанных с криптографией, и веб-взломов, особое внимание уделяется вредоносному ПО Angel Drainer, его механизмам и последствиям для владельцев веб-сайтов. Подчеркивается важность бдительности и упреждающих мер безопасности для устранения развивающихся киберугроз в экосистеме Web3.
-----

Всплеск атак со стороны новой формы вредоносного ПО для веб-сайтов, нацеленного на Web3 и криптовалютные активы, с января 2024 года.

Использование криптодрейнеров в этих атаках для кражи и перераспределения активов из скомпрометированных кошельков.

Angel Drainer - известный криптодрейнер, вызывающий нарушения безопасности в экосистеме Web3.

Более 20 000 уникальных фишинговых сайтов Web3, созданных злоумышленниками в 2023 году.

Проверка сайта выявила самый массовый вариант использования Angel Drainer на более чем 550 сайтах в феврале.

Рост криптовалют и блокчейн-технологий привлекает киберпреступников для разработки вредоносных программ, связанных с криптографией, и веб-взломов.

Экосистема Web3 становится мишенью для киберпреступников из-за вовлеченности пользователей и финансовых транзакций.

Angel Drainer обманывает посетителей веб-сайта, заставляя их подключать кошельки к вредоносным сайтам для доступа к средствам и их перевода.

Рекомендации для владельцев веб-сайтов по защите от заражения вредоносными программами включают регулярные обновления, надежные пароли, резервные копии и брандмауэры.

Денис Синегубко, старший исследователь вредоносных программ Sucuri, анализирует возникающие угрозы и создает решения для обеспечения безопасности.

#ParsedReport #CompletenessHigh
22-02-2024

Cisco Talos Blog. TinyTurla-NG in-depth tooling and command and control analysis

https://blog.talosintelligence.com/tinyturla-ng-tooling-and-c2

Report completeness: High

Actors/Campaigns:
Turla

Threats:
Tinyturla-ng
Credential_harvesting_technique
Chisel_tool
Turlapower-ng
Upx_tool

Victims:
Polish ngos

Industry:
Ngo

Geo:
Polish

ChatGPT TTPs:
do not use without manual check
T1105, T1059, T1071, T1041, T1552, T1557, T1110, T1027, T1150, T1068, have more...

IOCs:
Path: 7
IP: 2
Domain: 8
File: 1
Command: 1
Hash: 5

Soft:
WordPress, Google Chrome, Microsoft Edge

Algorithms:
zip, base64

Functions:
exec, passthru, system, shell_exec

Languages:
powershell, golang, php

Links:
https://github.com/Cisco-Talos/IOCs/tree/main/2024/02
https://github.com/jpillora/chisel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в выявлении и анализе новых вредоносных компонентов, используемых группой Turla Advanced Persistent Threat (APT), с акцентом на функционирование сценариев command and control (C2), развертывании бэкдоров, команд PowerShell и дополнительных вредоносных модулей. Исследование, проведенное Cisco Talos и CERT.НПО раскрывает внутреннюю работу скриптов C2, как работают различные вредоносные компоненты, а также использование группой Turla нескольких семейств вредоносных программ и тактик для поддержания связи и осуществления вредоносных действий.
-----

Новые вредоносные компоненты, используемые группой Turla Advanced Persistent Threat (APT), идентифицированные Cisco Talos и CERT.NGO.

Анализ раскрывает подробную информацию о действиях после взлома, командах PowerShell для перечисления и эксфильтрации, а также о трех дополнительных вредоносных модулях, развернутых Turla.

Развертывание модифицированного агента/клиента Chisel, связь с отдельным сервером C2, использование нескольких вариантов вредоносных программ, таких как TinyTurla-NG и TurlaPower-NG.

Раскрыта внутренняя работа скриптов C2, включая компонент WebShell для удаленного администрирования.

Возможности веб-оболочки позволяют выполнять команды, основанные на конкретных условиях, взаимодействовать с имплантатами и выполнять различные операции, такие как декодирование base64 и обработка файлов.

Модульные команды PowerShell, используемые для разведки, перечисления файлов, эксфильтрации, нацеливания на конкретные файлы и документы, представляющие интерес.

Развертывание инструмента повышения привилегий, скрипта для сбора данных для входа в систему из браузеров Microsoft Edge.

Наличие модифицированного инструмента туннелирования Chisel на базе GoLang для установления обратного SOCKS-прокси-соединения с сервером C2 подчеркивает сложный подход Turla к коммуникации и операционной безопасности.

#ParsedReport #CompletenessLow
23-02-2024

Technical Advisory: Critical ConnectWise ScreenConnect Authentication Bypass. Vulnerability Details

https://www.bitdefender.com/blog/businessinsights/technical-advisory-critical-connectwise-screenconnect-authentication-bypass

Report completeness: Low

Threats:
Connectwise_rat
Screenconnect_tool

CVEs:
CVE-2024-1708 [Vulners]
CVSS V3.1: 8.4,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- connectwise screenconnect (<23.9.8)

CVE-2024-1709 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- connectwise screenconnect (<23.9.8)


ChatGPT TTPs:
do not use without manual check
T1078, T1550, T1068, T1222, T1190, T1553, T1105

IOCs:
File: 1
Hash: 3

Algorithms:
md5

Platforms:
x86

Links:
https://github.com/W01fh4cker/ScreenConnect-AuthBypass-RCE/blob/main/ScreenConnect-AuthBypass-RCE.py

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
ConnectWise выпустила исправление безопасности для устранения критических уязвимостей в программном обеспечении ScreenConnect, направленное на предотвращение атак удаленного выполнения кода (RCE). Уязвимости, включая обход аутентификации и обход пути, создают значительные риски, позволяя осуществлять несанкционированный доступ и повышение привилегий. Активная реакция ConnectWise отражает их приверженность повышению безопасности программного обеспечения и защите пользовательских данных. Организациям следует проявлять бдительность в отношении потенциальной эксплуатации и учитывать конкретные показатели компрометации для укрепления своей позиции в области кибербезопасности.
-----

Недавно, 19 февраля 2024 года, ConnectWise выпустила исправление для системы безопасности, направленное на устранение двух критических уязвимостей в программном обеспечении ScreenConnect, которые потенциально могут привести к удаленному выполнению кода (RCE). Выявленные уязвимости, а именно CVE-2024-1709 и CVE-2024-1708, представляют значительные риски, позволяя злоумышленникам обходить механизмы аутентификации и выполнять обход пути, что может привести к несанкционированному доступу и повышению административных привилегий.

CVE-2024-1709 с оценкой CVSS 10,0 предполагает обход аутентификации с использованием альтернативного пути или канала (CWE-288). Эта уязвимость предоставляет злоумышленникам возможность обойти процесс аутентификации, получив несанкционированный доступ в систему. С другой стороны, CVE-2024-1708, оцененный в 8,4 балла по шкале CVSS, относится к неправильному ограничению пути к каталогу с ограниченным доступом, широко известному как "обход пути" (CWE-22). Этот недостаток может быть использован для манипулирования путями к файлам и доступа к каталогам с ограниченным доступом, что потенциально позволяет злоумышленникам повышать привилегии в системе.

Примечательно, что ConnectWise стремится повысить уровень безопасности своего программного обеспечения, оперативно выпустив это обновление для системы безопасности, чтобы устранить выявленные уязвимости и защитить пользователей от потенциальной эксплуатации. Проактивный подход компании отражает приверженность обеспечению целостности и конфиденциальности пользовательских данных и системных ресурсов.

Кроме того, детальный анализ и данные телеметрии выявили тенденции в потенциальных векторах атак, связанных с программным обеспечением ScreenConnect. В частности, были замечены случаи, когда субъекты угроз использовали папку расширений ScreenConnect, расположенную по адресу %ProgramFiles(x86)%\ScreenConnect\App_Extensions. В то время как в предыдущих отчетах подчеркивалась уязвимость этой папки для загрузки файлов на корневом уровне, недавние наблюдения указывают на то, что злоумышленники используют стандартные расширения внутри каталога.

Несмотря на ограниченный доступ к этим файлам для углубленного анализа, триггеры обнаружения, в частности, идентифицированные как Generic.Cert.Downloader.1, предполагают наличие загрузчика, использующего встроенный инструмент certutil.exe. Злоумышленники обычно используют этот инструмент с такими аргументами, как -urlcache или -f, чтобы облегчить загрузку дополнительных вредоносных программ в систему жертвы. Время проведения этих атак в сочетании с использованием случайно сгенерированных имен файлов указывает на потенциальное соответствие опубликованным доказательствам концепций (POC), что повышает серьезность ландшафта угроз.

В ответ на эти возникающие угрозы организациям следует сохранять бдительность и учитывать следующие признаки компрометации, чтобы укрепить свою систему безопасности и защититься от потенциальной эксплуатации:.

#ParsedReport #CompletenessLow
23-02-2024

LockBit Attempts to Stay Afloat With a New Version. Recent LockBit issues and difficulties

https://www.trendmicro.com/en_us/research/24/b/lockbit-attempts-to-stay-afloat-with-a-new-version.html

Report completeness: Low

Threats:
Lockbit
Rhadamanthys
Spacecolon
Blackcat
Noescape
Revil
Wazawaka_actor
Conti

Industry:
Financial, Semiconductor_industry

Geo:
Ukraine, Taiwan

ChatGPT TTPs:
do not use without manual check
T1588.002, T1027, T1071, T1486, T1027, T1583.001, T1027, T1485, T1587.002

IOCs:
Hash: 1

Soft:
ESXi

Links:
https://github.com/3xp0rt/LockBit-Tattoo

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - анализ влияния утечек и инцидентов внутренней безопасности на группу программ-вымогателей LockBit, снижение их влияния с течением времени, проблемы, с которыми сталкиваются при поддержании филиалов, ключевых лиц, связанных с группой, и разработка нового, не зависящего от платформы варианта вредоносного ПО с маркировкой LockBit-NG-Разработчик сигнализирует о переходе к версии LockBit 4.0.
-----

Исследование, описанное в тексте, является результатом сотрудничества между автором и Национальным агентством по борьбе с преступностью Соединенного Королевства, направленного против группы программ-вымогателей LockBit, в рамках операции Cronos - международных усилий, направленных на подрыв деятельности преступных организаций. Группа LockBit столкнулась с внутренними инцидентами безопасности, вызванными утечками информации с участием недовольных разработчиков или членов группы, что привело к разоблачению их разработчика программ-вымогателей в сентябре 2022 года. Утечка этой сборки оказала значительное влияние, поскольку способствовала появлению групп подражателей, таких как Flamingo и Spacecolon, которые использовали утечку полезной нагрузки LockBit, усложняя атрибуцию и ослабляя технические преимущества LockBit.

Утечка сборки также снизила барьер для входа преступников в свои предприятия RaaS путем клонирования операции LockBit, что создает проблемы с атрибуцией. Репутация бренда LockBit пострадала после утечки, что вызвало опасения по поводу их внутренних мер безопасности и снижения доверия со стороны аффилированных лиц. Усилия LockBit по удержанию и привлечению партнеров столкнулись с такими препятствиями, как технические проблемы, отсутствие инноваций, операционные задержки и неблагоприятные правила для партнеров. Кроме того, LockBitSupp подверглась пристальному вниманию общественности в январе 2024 года после обвинений в отказе платить за доступ, что привело к выплате средств вымогателями, в ответ на что они проявили предполагаемое высокомерие, которое потенциально нанесло ущерб их репутации и отношениям.

Подтвержденные данные о взломах указывают на устойчивое снижение воздействия программ-вымогателей LockBit за последние два года, несмотря на сохранение заметного положения среди наборов вторжений со значительным количеством атак. Переход от LockBit 2.0 к LockBit 3.0 был отмечен снижением доли, при этом небольшой рост наблюдался в четвертом квартале 2023 года, что объясняется усилением деятельности правоохранительных органов в отношении конкурирующих групп. В этот период LockBit предоставляла возможности филиалам перейти к своей деятельности.

В тексте рассматриваются ключевые лица, связанные с группой LockBit, включая псевдонимы и персонажей, таких как LockBit, LockBitSupp, Bassterlord и wazawaka. Примечательно, что Bassterlord, видная фигура в сообществе киберпреступников, по-видимому, связана с LockBit и причастна к громким атакам. В тексте также упоминается принадлежность вазаваки к LockBit и их обвинительное заключение Министерством юстиции США в мае 2023 года. Неизвестный субъект, Ali_qushji, утверждал, что скомпрометировал серверную инфраструктуру LockBit, хотя LockBitSupp оспорил это утверждение, приписав утечку недовольному разработчику, известному как protonleaks.

В тексте представлена новая эволюция LockBit, представленная не зависящим от платформы вариантом вредоносного ПО, находящимся в разработке, с надписью LockBit-NG-Dev, что означает работу группы над версией LockBit 4.0. Этот новый вариант использует .NET и CoreRT для улучшения совместимости с платформой, хотя его возможности в настоящее время меньше, чем в предыдущих версиях. LockBit-NG-Dev удалил самораспространяющиеся функции и сложные механизмы управления, чтобы усилить оперативный контроль и избежать обнаружения системами безопасности.

#ParsedReport #CompletenessLow
23-02-2024

Rhysida Ransomware Group, Which Crippled the British Library Racking Up 6 to 7 Million in Recovery Costs, Turns Its Wrath on Hospitals, Power Plants, and Schools in the UK, Europe, and the Middle East, Warns eSentire

https://www.esentire.com/blog/rhysida-ransomware-group-turns-its-wrath-warns-esentire

Report completeness: Low

Actors/Campaigns:
Vice_society (motivation: financially_motivated)

Threats:
Rhysida
Lockbit
Clop
X-ray_tool
Process_injection_technique
Nltest_tool
Putty_tool
Anydesk_tool
Zerologon_vuln

Victims:
British library, Hse, King edward vii’s hospital, Prospect medical holdings, World council of churches, A high school in london, A vocational training school in the u.k., Kaunas university of technology, Tshwane university of technology, Abdali hospital, have more...

Industry:
Healthcare, Military, Education, Government, Financial, Energy

Geo:
England, America, Italy, Slovenia, Apac, Africa, Switzerland, Lithuania, Hungary, Emea, Jordan, Serbia, Qatar, London

ChatGPT TTPs:
do not use without manual check
T1486, T1485, T1496, T1567, T1071, T1027, T1087, T1059, T1046, T1021, have more...

IOCs:
File: 2

Soft:
Microsoft Teams

Crypto:
bitcoin

Algorithms:
chacha20

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста посвящена деятельности группы вымогателей Rhysida, которая проводила громкие кибератаки, нацеленные на различные организации, такие как Британская библиотека, медицинские учреждения, образовательные учреждения и глобальную религиозную организацию. Группа использует такие тактики, как двойное вымогательство, требуя от жертв выплаты выкупа, чтобы предотвратить раскрытие данных, что приводит к значительным сбоям, финансовым потерям и репутационному ущербу для жертв. Даны рекомендации по снижению риска атак программ-вымогателей, подчеркивающие важность надежных мер безопасности.
-----

Группа вымогателей Rhysida была вовлечена в серию громких кибератак, направленных против таких организаций, как Британская библиотека, медицинские учреждения, образовательные учреждения и даже глобальная религиозная организация. Группа использует такую тактику, как двойное вымогательство, требуя от жертв значительных выкупов, чтобы избежать раскрытия данных. Атаки Rhysida вызвали значительные сбои в работе и кражу данных, что привело к финансовым потерям и репутационному ущербу для жертв.

Атака группы на Британскую библиотеку в октябре 2023 года привела к выходу из строя библиотечных систем и краже значительного объема данных, включая личную информацию сотрудников. Злоумышленники продали украденные данные с аукциона в даркнете. Аналогичным образом, атака на крупнейшую энергетическую компанию Словении, HSE, была нацелена на ИТ-системы и привела к краже данных, причем участники угроз разместили подлинные документы на своем сайте утечки.

Ориентация Rhysida group на престижные медицинские учреждения, такие как больница короля Эдуарда VII в Лондоне и больница Абдали в Иордании, подчеркивает их внимание к конфиденциальным данным, включая истории болезни пациентов и информацию, относящуюся к членам королевской семьи. Злоумышленники угрожали опубликовать украденные данные, если выкуп не будет выплачен, что вызвало значительное беспокойство у пострадавших организаций.

Кроме того, атаки Rhysida распространяются на сектор образования: средние школы, профессионально-технические училища и университеты становятся жертвами утечек данных и требований выкупа. Скомпрометировав такие институты, как Всемирный совет церквей и Всемирная лютеранская федерация, группа продемонстрировала свою способность воздействовать на организации в глобальном масштабе.

В ответ на растущую угрозу, исходящую от группы Rhysida, исследователи кибербезопасности провели параллели между их тактикой, методами и процедурами (TTP) и группой вымогателей Vice Society. Обе группы нацелились на организации в секторах образования и здравоохранения, используя схожие методы для извлечения конфиденциальных данных и вымогательства у жертв финансовой выгоды.

Чтобы снизить риск атак программ-вымогателей, подобных тем, которые проводит Rhysida, предприятиям и государственным организациям рекомендуется принимать надежные меры безопасности. Рекомендации включают в себя создание автономных резервных копий критически важных файлов, применение многофакторной аутентификации, проведение регулярных тренингов по безопасности для сотрудников и обеспечение круглосуточного мониторинга сетевой активности. Кроме того, устранение внутренних уязвимостей, таких как использование известных слабостей, таких как Zerologon, имеет решающее значение для предотвращения несанкционированного доступа и утечки данных.

#ParsedReport #CompletenessMedium
23-02-2024

Nation-State Threat Actors Using Google Drive & XenoRAT

https://www.genians.co.kr/blog/nation-state

Report completeness: Medium

Threats:
Xenorat
Spear-phishing_technique
Exbyte_stealer
Hvnc_tool

Geo:
German, Korea, Usa, Korean, Germany, Gyeonggi-do, Canada

ChatGPT TTPs:
do not use without manual check
T1566, T1204, T1027, T1059, T1547, T1562, T1105, T1071, T1583, T1082, have more...

IOCs:
File: 21
Coin: 1
Email: 1
IP: 8
Domain: 18
Hash: 11

Soft:
Slack, WordPad

Algorithms:
gzip, base64, zip, md5

Win API:
decompress

Languages:
powershell

Links:
https://github.com/moom825/xeno-rat

#ParsedReport #ExtractedSchema

Classified images:
code: 4, schema: 4, windows: 9, dump: 1, table: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении и анализе сложной киберугрозы, нацеленной на Корею, включающей точечные фишинговые атаки, вредоносные команды PowerShell и использование настроенной версии инструмента удаленного управления XenoRAT. Злоумышленники использовали методы социальной инженерии, замаскировали вредоносные файлы и установили соединения с сервером управления в Германии. Анализ, проведенный Центром безопасности Genius, выявляет инфраструктуру угроз, прошлые действия, связанные с APT-атаками, и переход к безфайловым операциям с использованием команд PowerShell. Развертывание Genian EDR рекомендуется для раннего обнаружения угроз и реагирования на них с целью снижения потенциальных рисков.
-----

Центр безопасности Genius (GSC) обнаружил новую угрозу 3 января 2024 года, связанную с локализованными точечными фишинговыми атаками, нацеленными на Корею. Атака началась с рассылки электронных писем, содержащих актуальное содержание колонки мнений из различных СМИ в первый день нового года, замаскированных под сжатый ZIP-файл с новогодними поздравлениями. Злоумышленники пытались обмануть получателей, выдавая себя за знакомых и используя методы социальной инженерии для достижения максимальной эффективности. Сжатый файл с 10-значным уникальным паролем был передан по ссылке, чтобы обойти службы безопасности. После распаковки вредоносный файл LNK, замаскированный под документ DOCX, привел к файлу сценария PowerShell с именем "swolf-first.ps1.".

Посредством развертывания запланированной задачи, выдаваемой за обновление браузера MS Edge, злоумышленники запустили скрытые команды PowerShell. Впоследствии злоумышленник под именем учетной записи "fox tian" загрузил на Google Диск файл под названием "calc.txt", содержащий вредоносные инструкции PowerShell. Эти команды, направленные на сохранение файла RTF и распаковку данных в формате Gz, указывают на сложную стратегию атаки. Злоумышленники использовали настроенную версию средства удаленного управления XenoRAT, известную как "Пользовательский XenoRAT", для установления соединений с сервером C2 в Германии. XenoRAT обладает различными функциями удаленного управления, такими как доступ к веб-камере, регистрация ключей и появление BSOD, а также использует функцию скрытых виртуальных сетевых вычислений (HVNC).

Анализ, проведенный GSC, показал, что IP-адрес инфраструктуры угроз (159.100.29.38) базировался в Германии, с подключениями к корейскому электронному хостингу IC hosting и доменам, связанным с корейскими портальными компаниями и биржами виртуальных активов. Поисковая система criminal IP intelligence AI SPERA предоставила дополнительную информацию о прошлой деятельности IP. GSC также идентифицировала IP как адрес сервера C2 в ходе APT-атаки и обнаружила соединения с доменами, похожими на домены северокорейских организаций.

Атаки APT в Корее перешли к безфайловым операциям с использованием команд PowerShell, чтобы избежать обнаружения традиционными продуктами безопасности. Genian EDR, решение для обнаружения аномалий терминала и реагирования на них, позволяет на ранней стадии идентифицировать угрозы с помощью правил XBA, когда вредоносные команды PowerShell взаимодействуют с сетью. Отслеживая такие действия, как нештатные сетевые подключения к Google Диску и создание файлов документов, службы безопасности могут быстро и эффективно обнаруживать потенциальные угрозы и реагировать на них. Возможности Genian EDR расширяются до обнаружения подозрительных сетевых соединений с помощью команд PowerShell и модулей XenoRAT, обеспечивая улучшенную видимость для реагирования на инциденты и расследования угроз.

#ParsedReport #CompletenessMedium
22-02-2024

HijackLoader Expands Techniques to Improve Defense Evasion

https://cs-staging-2-www.crowdstrike.com/blog/hijackloader-expands-techniques

Report completeness: Medium

Actors/Campaigns:
Doppelgnger

Threats:
Hijackloader
Idat_loader
Process_hollowing_technique
Process_doppelganging_technique
Heavens_gate_technique
Cobalt_strike
Process_injection_technique

TTPs:

IOCs:
Url: 4
Path: 3
File: 4
Hash: 2

Algorithms:
xor

Functions:
Gate, WriteFileW

Win API:
RtlDecompressBuffer, NtWriteVirtualMemory, NtProtectVirtualMemory, CreateProcessW, NtReadFile, NtDelayExecution, NtCreateSection, NtMapViewOfSection, NtSuspendThread, NtGetContextThread, have more...

Platforms:
x64

Links:
https://github.com/hasherezade/transacted\_hollowing/blob/main/transacted\_file.cpp#L13C29
https://gist.github.com/Cr4sh/76b66b612a5d1dc2c614#file-wow64\_call-cpp-L61