#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в раскрытии и анализе российской инициативы по ведению информационной войны под названием Doppelgnger NG, которая предполагает распространение ложной информации через поддельные веб-сайты и платформы социальных сетей в глобальном масштабе. Кампания была связана с российской группой кибершпионажа APT28, что свидетельствует о сотрудничестве между двумя организациями в манипулировании общественным мнением, влиянии на геополитическую динамику и достижении стратегических целей посредством тайных онлайн-операций. Эволюция и расширение Doppelgnger NG подчеркивают постоянную угрозу, исходящую от спонсируемых государством кампаний информационной войны, и проблемы в выявлении такой деятельности и противодействии ей.
-----

ClearSky Cyber Security и SentinelLabs обнаружили российскую операцию по ведению информационной войны "Doppelgänger NG", включающую распространение ложной информации по всему миру через поддельные веб-сайты и платформы социальных сетей.

Операции Doppelgänger NG возобновились в 2024 году с использованием новой инфраструктуры и были связаны с российской группой кибершпионажа APT28, что подразумевает сотрудничество между двумя организациями.

Кампания была нацелена на такие страны, как Соединенные Штаты, Германия, Израиль, Франция и Украина, используя более 150 доменов, на которых размещались сфабрикованные новости, для манипулирования общественным мнением.

Расширяя список своих жертв и используя новую инфраструктуру, Doppelgänger NG стремилась повлиять на ключевые заинтересованные стороны в стратегических странах, исказить реальность и усилить существующую напряженность.

Взаимосвязанный характер доменов и каналов социальных сетей в сети Doppelgänger NG предполагает систематические усилия по манипулированию общественным восприятием и посеянию раздора.

Многоаспектный подход кампании, включающий различные направления распространения ложной информации, создает серьезную проблему для эффективного противодействия онлайн-дезинформации.

Развивающаяся тактика Doppelgänger NG подчеркивает постоянную угрозу спонсируемых государством кампаний информационной войны, подчеркивая важность постоянной бдительности, сотрудничества и технологических достижений для смягчения последствий.

#ParsedReport #CompletenessLow
22-02-2024

Cisco Talos Blog. TikTok s latest actions to combat misinformation shows it s not just a U.S. problem

https://blog.talosintelligence.com/threat-source-newsletter-feb-22-2024

Report completeness: Low

Actors/Campaigns:
Volt_typhoon (motivation: information_theft, cyber_espionage)

Threats:
Chrysaor
Astaroth
Mekotio
Ousaban

Victims:
U.s. political system, Political opponents in poland, Blackberry, iphone, android device users, Indonesian iphone users, Communications, manufacturing, utility, it, education sectors, u.s. emergency services, Latin american and european targets

Industry:
Financial, Ics, Military, Government, Education, Energy

Geo:
Russian, China, Ghana, Indonesia, Greek, Africa, Ukraine, California, Greece, America, Emirates, Chinese, American, Poland, Ukrainian

ChatGPT TTPs:
do not use without manual check
T1566, T1190, T1588.002, T1027, T1562.001, T1608.002, T1499

IOCs:
Hash: 10
File: 6

Soft:
TikTok, Android

Algorithms:
md5

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - глобальная проблема дезинформации, продолжающееся злоупотребление правительствами шпионскими программами, киберугрозы, исходящие от продвинутых групп постоянных угроз, таких как Volt Typhoon, использование украинскими военными тактики радиоэлектронной борьбы и злоупотребление Google Cloud Run в кампаниях распространения вредоносных программ, нацеленных на жертв в Латинской Америке и Европа.
-----

Проблема дезинформации не ограничивается американской культурой, поскольку это глобальная проблема, затрагивающая все страны на различных платформах. Платформы социальных сетей, такие как TikTok, позволяют отдельным лицам непреднамеренно распространять фейковые новости без злого умысла. Эта проблема еще более усугубляется в США из-за их выдающегося политического ландшафта, который привлекает внимание мировой общественности. Распространение дезинформации во время выборов в одной стране может иметь последствия для выборов в других странах, подчеркивая взаимосвязанный характер дезинформации. Эта проблема является постоянной, и ее сложно устранить, как только она укоренится на платформе.

В качестве отдельного события Польша инициировала официальное расследование возможного неправомерного использования шпионского ПО Pegasus бывшими правительственными чиновниками. Целью расследования является определение того, использовало ли правительство "Закона и справедливости" (PiS) спорное шпионское ПО для слежки за политическими оппонентами и нацеливания на них. Сообщается, что группа NSO, создатели Pegasus, представила новый эксплойт под названием MMS Fingerprint, который позволяет пользователям собирать информацию с различных типов устройств без взаимодействия с пользователем. Кроме того, другому стартапу по разработке шпионского ПО под названием Variston грозит закрытие после того, как утечка эксплойтов нулевого дня в Google раскрыла его деятельность. Variston нацелился на устройства Apple, включая кампанию в Индонезии, и, как сообщается, часть его шпионского ПО была отправлена в Объединенные Арабские Эмираты.

Что касается кибербезопасности, базирующаяся в Китае группа advanced persistent threat (APT) под названием Volt Typhoon продолжает фильтровать конфиденциальную информацию из сетей операционных технологий (OT) по всему миру. Группа нацелилась на организации в различных секторах, включая связь, производство, коммунальные услуги, информационные технологии и образование, с недавним акцентом на критически важные сети в США. В частности, тайфун Volt проник в сеть экстренных служб города США и сети критически важной инфраструктуры в Африке, создавая риски нарушения производственных процессов или содействия будущим наступательным операциям против сетей ICS.

В ответ на российскую агрессию украинские военные используют тактику радиоэлектронной борьбы для противодействия боеприпасам с радарным и GPS-наведением, непреднамеренно вызывая сбои в измерениях GPS и перебои в обслуживании электросети. Совместные усилия инженеров и специалистов по безопасности из различных организаций сыграли важную роль в решении проблемы GPS для радиоэлектронной борьбы, способствуя стабилизации некоторых участков сети передачи данных Украины.

Более того, Google Cloud Run используется не по назначению в масштабных кампаниях по распространению вредоносных программ, нацеленных в первую очередь на жертв в Латинской Америке и Европе. Банковские трояны, такие как Astaroth, Mekotio и Ousaban, распространяются с помощью кампаний рассылки по электронной почте, причем с сентября 2023 года наблюдается увеличение их объема. Talos выпустила новые подписи ClamAV и правила Snort для борьбы с этими банковскими троянами и предупредила Google о необходимости устранения этой активности внутри облачного сервиса.

#ParsedReport #CompletenessLow
23-02-2024

Shadow Ops Exposed: Inside the Leak of China s i-Soon Cyber Espionage Empire

https://socradar.io/shadow-ops-exposed-inside-the-leak-of-chinas-i-soon-cyber-espionage-empire

Report completeness: Low

Actors/Campaigns:
Winnti (motivation: cyber_espionage)
Axiom
Earth_empusa (motivation: cyber_espionage)
Red_delta (motivation: cyber_espionage)
Ta428 (motivation: cyber_espionage)

Threats:
Empire_loader
Beacon

Victims:
Chinese citizens, Foreigners, Ethnic groups, Dissidents

Industry:
Financial, Government, Telco

Geo:
Philippines, Vietnam, India, Chinese, Egypt, Nepal, Mongolia, Kazakhstan, Korea, Taiwanese, Myanmar, Pakistan, Thailand, Kyrgyzstan, Rwanda, Indonesia, China, Afghanistan, Nigeria, Malaysia, Cambodia, Taiwan

ChatGPT TTPs:
do not use without manual check
T1001, T1566, T1583, T1595, T1590, T1204, T1543, T1589

IOCs:
Email: 1

Soft:
Android, Telegram, WeChat

#ParsedReport #ExtractedSchema

Classified images:
windows: 1, table: 2, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что массовая утечка данных из китайской охранной фирмы i-Soon выявила обширную шпионскую деятельность, инструменты взлома и поддерживаемые государством кибероперации, проливающие свет на сложную сеть ИТ-компаний, участвующих в кибервойне в Китае.
-----

Беспрецедентная онлайн-утечка документов из частной китайской охранной фирмы i-Soon (Anxun на мандаринском) вызвала обеспокоенность у китайских властей, правоохранительных органов, исследователей кибербезопасности и других заинтересованных сторон. Утечка на GitHub выявила огромное количество данных, включая хакерские инструменты и сервисы, используемые фирмой, которая, как известно, действует как группа передовых постоянных угроз (APT) от имени Министерства общественной безопасности Китая. Считается, что эта преднамеренная утечка была организована недовольным сотрудником компании.

Просочившиеся документы проливают свет на причастность и-Суна к шпионской деятельности, направленной против различных групп, включая этнические меньшинства и диссидентов в Китае, особенно в таких регионах, как Гонконг и Синьцзян. Тактика, раскрытая в утечке, демонстрирует, как китайские чиновники следили за диссидентами за рубежом, проникали в зарубежные компьютерные сети и распространяли пропекинские сообщения на платформах социальных сетей. Сообщается, что нарушение включало кражу терабайт данных из нескольких стран, что указывает на широкий размах шпионской деятельности Китая.

Инцидент стал известен, когда 15 января человек создал адрес электронной почты I-SOON@proton.me, который позже был использован для загрузки значительной коллекции документов, связанных с i-Soon, на GitHub. Эти документы, обнаруженные и распространенные тайваньским аналитиком, продемонстрировали агрессивные маркетинговые стратегии компании, особенно подчеркивая ее антитеррористические инициативы по обеспечению контрактов, особенно в Синьцзяне. Утечки также позволили получить представление об инструментах проникновения в сеть i-Soon, таких как уникальные устройства наблюдения, замаскированные под блоки питания для извлечения данных.

Утечка данных намекала на потенциальные связи между i-Soon и известными группами APT, предполагая наличие более крупной сети поддерживаемых государством киберопераций. Прошлые расследования шпионской деятельности Китая выявили связи между i-Soon и другими организациями, участвующими в спонсируемых государством хакерских кампаниях, что указывает на сложную сеть IT-компаний в Китае, вовлеченных в кибервойну. Утечки также подчеркнули стратегическое значение Чэнду, где базируется i-Soon, как центра киберопераций и намекнули на его участие в международных усилиях по кибершпионажу.

Утечка документов выявила оперативную тактику, сходную с тактикой других групп APT, таких как Jackpot Panda, Poison Carp, TA428 и Mustang Panda, расширяющую сферу киберактивности Министерства общественной безопасности Китая. Примеры данных, обнаруженных в результате утечки, включали скомпрометированные телекоммуникационные записи и базы данных служб, основанных на местоположении, что подчеркивало масштабы усилий Китая по сбору разведывательной информации. Подробные сведения о пользовательских троянах удаленного доступа (RATs), разработанных для различных операционных систем, включая iOS и Android, продемонстрировали сложные возможности, используемые злоумышленниками для получения конфиденциальной информации.

Утечка данных i-Soon служит наглядным напоминанием о меняющемся ландшафте киберугроз, с которыми сталкиваются организации по всему миру. Такие инструменты, как SOCRadar, рекомендуются организациям, стремящимся усилить свою защиту от таких сложных угроз. Используя передовые аналитические алгоритмы и экспертов-аналитиков, SOCRadar обеспечивает проактивный мониторинг веб-страниц на предмет потенциальных утечек данных и раскрытия интеллектуальной собственности, защищая организации от кражи личных данных и других киберрисков.

#technique

Amaterasu, a kernel-level tool for killing anti-virus processes

https://mp-weixin-qq-com.translate.goog/s/i-kGysEehnP3UJz1lQTrLw?_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=ru&_x_tr_pto=wapp

#ParsedReport #CompletenessLow
26-02-2024

Shadow hunting: Analysis of APT-LY-1009s attack activities using VenomRAT and Telegram Bot against the Armenian government

https://www.ctfiot.com/160910.html

Report completeness: Low

Threats:
Apt-ly-1009_groop
Venomrat
Mohlat_stealer
Upx_tool

Victims:
Government of the republic of armenia

Industry:
Government

Geo:
Armenia

ChatGPT TTPs:
do not use without manual check
T1566, T1204, T1059, T1140, T1105, T1027, T1218, T1071, T1041, T1560, have more...

Soft:
Telegram, WeChat

Languages:
powershell, rust

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея: Лаборатория информационного поиска Anheng обнаружила серию изощренных кибератак, приписываемых неизвестной группе угроз APT-LY-1009 или Darkclaw Eagle, нацеленных на правительство Республики Армения. Эти атаки включают в себя внедрение вредоносного ПО Venom RAT, Telegram-бота для эксфильтрации данных и похитителя информации по имени Mohlat Stealer, использующего тактику, включающую фишинговые электронные письма и вредоносные вложения. Деятельность группы угроз и схемы атак подробно описаны в отчете, опубликованном Охотничьей лабораторией для заинтересованных сторон.
-----

Лаборатория информационного поиска Anheng недавно обнаружила вредоносный файл LNK, который был загружен из Армении во время их ежедневных мероприятий по поиску угроз. После выполнения файл LNK загружает удаленный HTA-файл, который затем запускает несколько инструкций скрипта, загружает загрузчик вредоносных файлов и выпускает файл-приманку. В конечном счете, в память загружается троянец дистанционного управления с открытым исходным кодом, известный как Venom RAT. Этот инцидент был связан с группой APT, нацеленной на правительство Республики Армения. В сентябре 2023 года Hunting Lab перехватила документ, содержащий вредоносный макрокод, который был загружен в Ереване, столице Армении. Когда макрокод выполняется, он извлекает вредоносный файл для выполнения инструкций сценария и в конечном итоге загружает Venom RAT в память.

Из-за сходства целей, тактики атак и взаимосвязи инфраструктуры между двумя инцидентами, зафиксированными в сентябре 2023 года и январе текущего года, организация, стоящая за этими атаками, была идентифицирована как неизвестная группа угроз с маркировкой APT-LY-1009 или Darkclaw Eagle. В настоящее время эта группа угроз находится под наблюдением. В дополнение к развертыванию вредоносного ПО Venom RAT исследователи также выявили присутствие Telegram-бота в сетевых ресурсах APT-LY-1009. Этот бот использовался для сбора информации с целевых хостов и облегчения загрузки данных. Проанализировав путь PDB, содержащийся в образце, исследователи идентифицировали похитителя информации по имени Mohlat Stealer, который был разработан в двух версиях - C# и Rust. Некоторые экземпляры этого похитителя информации были упакованы с использованием UPX.

Дальнейшие расследования выявили несколько атак APT-LY-1009, направленных против правительственных служащих в Армении. Эти атаки включали фишинговые электронные письма с вредоносными вложениями, содержащими макрокод. После выполнения макрокод запускает загрузку исполняемого файла для выполнения команд Powershell, который, в свою очередь, загружает загрузчик и, наконец, расшифровывает и загружает Venom RAT в память. В дополнение к этим цепочкам атак исследователи также обнаружили дополнительные фишинговые URL-адреса, исходящие из Армении, которые были связаны с теми же схемами атак. Некоторые из этих файлов маскировались под объявления о вакансиях в правительстве Армении, чтобы заманить жертв. Вредоносные компоненты, распространявшиеся в ходе этих атак, включали версии C# и Rust, связанные с Telegram-ботом, с целью кражи информации о хостинге у пользователей.

Охотничья лаборатория исследовательского института Аньхэн опубликовала эксклюзивный отчет под названием "Анализ атак APT-LY-1009 с использованием VenomRAT и Telegram-бота против правительства Армении". Заинтересованные стороны могут получить более подробную информацию из отчета, загрузив его с помощью предоставленных методов, таких как сканирование QR-кода, включенного в публикацию.

#ParsedReport #CompletenessMedium
23-02-2024

Xeno RAT: A New Remote Access Trojan with Advance Capabilities

https://www.cyfirma.com/outofband/xeno-rat-a-new-remote-access-trojan-with-advance-capabilities

Report completeness: Medium

Threats:
Xenorat
Process_injection_technique

Industry:
Education

TTPs:
Tactics: 5
Technics: 6

IOCs:
Domain: 1
IP: 2
Path: 2
File: 7
Hash: 6

Soft:
Discord, WhatsApp, Active Directory, Sysinternals

Algorithms:
md5, sha256, zip

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея: Текст дает всестороннее представление о вредоносном ПО Xeno RAT, продвинутой и развивающейся угрозе, нацеленной на организации и частных лиц. В нем подробно описываются характеристики вредоносного ПО, методы распространения, оперативная тактика и стратегии смягчения последствий для повышения осведомленности о кибербезопасности и защиты от этой угрозы.
-----

CYFIRMA занимается предоставлением информации о распространенных киберугрозах, нацеленных на организации и частных лиц, уделяя особое внимание вредоносному ПО Xeno RAT. Xeno RAT - это передовое вредоносное ПО, доступное бесплатно на GitHub, с использованием сложной тактики уклонения, позволяющей избежать обнаружения. Вредоносная программа использует многоступенчатый процесс для генерации полезной нагрузки, включая методы защиты от отладки и функциональность упорядочения поиска DLL в Windows для сохранения. Разработчик Xeno RAT сделал код с открытым исходным кодом, что позволяет злоумышленникам настраивать и распространять свои версии через платформы, такие как Discord CDN. Это представляет значительную угрозу, поскольку вредоносное ПО постоянно развивается, добавляя новые функции и методы запутывания, позволяющие избежать обнаружения.

Основным методом распространения Xeno RAT является использование файла быстрого доступа, выступающего в качестве загрузчика, замаскированного под скриншот WhatsApp. Загрузчик извлекает и выполняет последующие полезные загрузки из zip-архива, размещенного на Discord CDN. Вредоносная программа добавляет себя к запланированным задачам для сохранения и использует внедрение процессов для нацеливания на законные процессы Windows, повышая скрытность работы. Xeno RAT взаимодействует с сервером управления (C2) через запутанный сетевой трафик, непрерывно отслеживая скомпрометированные системы и получая инструкции через регулярные промежутки времени.

Операционные характеристики Xeno RAT включают скрытый мониторинг активности жертвы, использование защитных мер для уклонения от анализа, использование скрытых виртуальных сетевых вычислений и прокси-сервера SOCKS5 для связи C2 и обеспечение постоянства выполнения запланированных задач. Вредоносная программа использует запутывание в кодах и сетевом трафике, активно избегая механизмов обнаружения и принимая меры против отладки. Xeno RAT может получать и выполнять команды с сервера C2, отправлять обновления статуса, добавлять или удалять себя при запуске системы и деинсталлировать из скомпрометированных систем.

Чтобы снизить риски, связанные с Xeno RAT, пользователям рекомендуется проявлять осторожность при открытии файлов из ненадежных источников или переходе по незнакомым ссылкам. Применение надежных мер кибербезопасности, таких как антивирусное программное обеспечение с хорошей репутацией, регулярные обновления программного обеспечения и бдительность в отношении тактик социальной инженерии, может значительно повысить защиту от таких угроз. Сотрудничество между специалистами по кибербезопасности и администраторами платформ имеет решающее значение для оперативного обнаружения и устранения возникающих угроз. Образовательные кампании играют жизненно важную роль в обеспечении людей знаниями для распознавания вредоносных программ и защиты от них, способствуя созданию более устойчивой и безопасной онлайн-экосистемы.

#ParsedReport #CompletenessLow
26-02-2024

KrustyLoader - Rust malware linked to Ivanti ConnectSecure compromises

https://www.synacktiv.com/publications/krustyloader-rust-malware-linked-to-ivanti-connectsecure-compromises

Report completeness: Low

Actors/Campaigns:
Uta0178
Unc5221

Threats:
Krustyloader
Sliver_c2_tool

CVEs:
CVE-2024-21887 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: 9.1
X-Force: Patch: Official fix
Soft:
- ivanti connect secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)

CVE-2023-46805 [Vulners]
CVSS V3.1: 8.2,
Vulners: Exploitation: True
X-Force: Risk: 8.2
X-Force: Patch: Official fix
Soft:
- ivanti connect secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)


ChatGPT TTPs:
do not use without manual check
T1190, T1566.001, T1105, T1059, T1574.002, T1027, T1070.004, T1036, T1041, T1543.003, have more...

IOCs:
Hash: 12
File: 1

Soft:
Ivanti

Algorithms:
aes, xor, aes-128, sha256

Win API:
pie

Languages:
rust, python, golang

Links:
https://github.com/BishopFox/sliver
https://github.com/draios/sysdig/
https://github.com/synacktiv/krustyloader-analysis
https://github.com/synacktiv/krustyloader-analysis/blob/main/krusty\_extractor.py
https://github.com/synacktiv/krustyloader-analysis/blob/main/KrustyLoader.yar

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении и анализе вредоносного ПО под названием KrustyLoader, которое использовалось злоумышленниками для использования уязвимостей нулевого дня в продукте Ivanti Connect Secure VPN. Вредоносная программа расшифровывает жестко закодированный URL-адрес, загружает бэкдоры Sliver, устанавливает связь с сервером командования и контроля и предназначена для уклонения от обнаружения с помощью различных методов обфускации. Исследователи провели реверс-инжиниринг и динамический анализ, чтобы проанализировать поведение KrustyLoader, и разработали такие инструменты, как сценарий расшифровки и правило Yara, которые помогают в обнаружении и анализе.
-----

10 января 2024 года Ivanti раскрыла две критические уязвимости нулевого дня, влияющие на продукт Connect Secure VPN: CVE-2024-21887 и CVE-2023-46805. Эти уязвимости позволяли выполнять удаленный код без проверки подлинности. Volexity и Mandiant опубликовали отчеты, демонстрирующие, как участники угроз активно использовали эти уязвимости. Позже Volexity опубликовала дополнительные результаты, в том числе хэши полезных загрузок Rust, которые были загружены на взломанные защищенные экземпляры Ivanti Connect. Автор провел анализ вредоносных программ для этих полезных загрузок Rust, назвав их KrustyLoader.

Анализ исполняемого файла на основе Rust создавал проблемы из-за того, что он был статически связан и содержал встроенные библиотеки, включая Rust crates и libc. Высокоуровневая абстракция Rust привела к естественной запутанности с дополнительными проверками, временными переменными и встроенными структурами. Исполняемый файл был удален, из него были удалены символы и отладочная информация, что затруднило поиск имен функций и других данных. Основная процедура была идентифицирована как рабочий поток Tokio, используемый для асинхронных задач в приложениях Rust.

Поведение KrustyLoader было проанализировано с помощью обратного проектирования и динамического анализа. Сначала он прочитал путь к процессу из /proc/self/exe и удалил себя. Было выполнено несколько проверок, таких как проверка родительского идентификатора процесса (PPID) и проведение анти-отладочных проверок, чтобы обойти отладчики. Как только эти проверки были пройдены, вредоносная программа приступила к созданию нового файла в каталоге /tmp со случайно сгенерированным именем, расшифровке жестко закодированного URL-адреса и инициированию HTTP-запроса GET на этот URL-адрес. Ответ был расшифрован, записан в файл, сделан исполняемым и выполнен.

Процесс дешифрования для получения URL-адреса включал шестнадцатеричное декодирование зашифрованного URL-адреса, XORing каждого байта с помощью 1-байтового ключа и использование режима AES-128 CFB-1 с жестко закодированным ключом и вектором инициализации. Загруженные полезные файлы были бэкдорами Sliver, которые связывались с их сервером командования и контроля (C2) по протоколу HTTP/HTTPS. Sliver - это инструмент моделирования противника с открытым исходным кодом, пользующийся популярностью у участников угроз из-за его структуры командования и контроля.

Чтобы облегчить анализ без запуска вредоносного ПО, автор разработал скрипт для статического извлечения и расшифровки URL-адреса, используемого KrustyLoader для бэкдора Sliver. Кроме того, было предоставлено правило Yara для идентификации похожих образцов KrustyLoader на основе определенных строк и процедур AES. Загрузчики Sliver, обнаруженные Volexity в Ivanti Connect Secure VPN после использования выявленных уязвимостей, оказались значительными. KrustyLoader был разработан для работы только в определенных условиях, что затрудняет обнаружение и извлечение индикаторов. Скрипт и правило Yara доступны для публичного использования для расширения возможностей обнаружения.

#ParsedReport #CompletenessLow
24-02-2024

KrustyLoader Windows variant dropped via ScreenConnect exploit

https://labs.withsecure.com/publications/new-krustyloader-variant-dropped-via-screenconnect-exploit.html

Report completeness: Low

Actors/Campaigns:
Duke

Threats:
Krustyloader
Screenconnect_tool
Connectwise_rat
Sliver_c2_tool
Bitsadmin

CVEs:
CVE-2024-21887 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: 9.1
X-Force: Patch: Official fix
Soft:
- ivanti connect secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)

CVE-2023-46805 [Vulners]
CVSS V3.1: 8.2,
Vulners: Exploitation: True
X-Force: Risk: 8.2
X-Force: Patch: Official fix
Soft:
- ivanti connect secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)

CVE-2023-42793 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- jetbrains teamcity (<2023.05.4)

CVE-2023-46604 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.4
X-Force: Patch: Official fix
Soft:
- apache activemq (<5.15.16, <5.16.7, <5.17.6, <5.18.3)


ChatGPT TTPs:
do not use without manual check
T1190, T1071, T1566, T1547, T1059, T1082, T1112, T1027, T1573, T1055, have more...

IOCs:
File: 2
Path: 5
Command: 1
Domain: 21
Hash: 14

Soft:
TeamCity, Ivanti, JetBrains TeamCity

Algorithms:
aes-128, aes, xor

Win API:
IsDebuggerPresent

Languages:
powershell, rust

Links:
https://github.com/synacktiv/krustyloader-analysis

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея: Волна массовой эксплуатации, нацеленной на уязвимости в ConnectWise ScreenConnect, привела к развертыванию различных вредоносных программ, включая вредоносную программу KrustyLoader, несколькими участниками угроз. Эти атаки выявили значительное количество уязвимых объектов, демонстрируя тенденцию к последовательной тактике использования различных сервисов и платформ. Мотивы и цели злоумышленника остаются неясными, что подчеркивает необходимость постоянной бдительности перед лицом развивающихся киберугроз.
-----

Тестовый код для двух уязвимостей в ConnectWise ScreenConnect привел к массовой эксплуатации несколькими участниками угроз, развертывающими различные вредоносные программы.

Сообщалось, что по состоянию на 21 февраля 2024 года в Интернете было доступно более 8000 уязвимых экземпляров ScreenConnect.

Один из субъектов угрозы связан с развертыванием вредоносного ПО KrustyLoader, нацеленного как на системы Windows, так и на Linux с помощью различных уязвимостей.

KrustyLoader - это вредоносная программа начальной стадии, разработанная в Rust, которая загружает и запускает полезную нагрузку второй стадии, обычно идентифицируемую как инструментарий для последующей эксплуатации Sliver C2.

Кампании, связанные с KrustyLoader, были активны, по крайней мере, с сентября 2023 года, а всплеск заявок на VirusTotal после февраля 2024 года, вероятно, связан с использованием ScreenConnect.

Исполнитель угроз продемонстрировал согласованность в поведении различных сервисов, таких как JetBrains TeamCity и ApacheMQ, используя URL-адреса корзины Amazon S3 для размещения полезных нагрузок.

Исполнитель угроз адаптирует методы для использования последних критических уязвимостей и может выступать в качестве посредника первоначального доступа для других злоумышленников.

Неясны мотивы, стоящие за нападениями, но бдительность имеет решающее значение из-за постоянного характера этих кампаний.