#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что массовая утечка данных из китайской охранной фирмы i-Soon выявила обширную шпионскую деятельность, инструменты взлома и поддерживаемые государством кибероперации, проливающие свет на сложную сеть ИТ-компаний, участвующих в кибервойне в Китае.
-----

Беспрецедентная онлайн-утечка документов из частной китайской охранной фирмы i-Soon (Anxun на мандаринском) вызвала обеспокоенность у китайских властей, правоохранительных органов, исследователей кибербезопасности и других заинтересованных сторон. Утечка на GitHub выявила огромное количество данных, включая хакерские инструменты и сервисы, используемые фирмой, которая, как известно, действует как группа передовых постоянных угроз (APT) от имени Министерства общественной безопасности Китая. Считается, что эта преднамеренная утечка была организована недовольным сотрудником компании.

Просочившиеся документы проливают свет на причастность и-Суна к шпионской деятельности, направленной против различных групп, включая этнические меньшинства и диссидентов в Китае, особенно в таких регионах, как Гонконг и Синьцзян. Тактика, раскрытая в утечке, демонстрирует, как китайские чиновники следили за диссидентами за рубежом, проникали в зарубежные компьютерные сети и распространяли пропекинские сообщения на платформах социальных сетей. Сообщается, что нарушение включало кражу терабайт данных из нескольких стран, что указывает на широкий размах шпионской деятельности Китая.

Инцидент стал известен, когда 15 января человек создал адрес электронной почты I-SOON@proton.me, который позже был использован для загрузки значительной коллекции документов, связанных с i-Soon, на GitHub. Эти документы, обнаруженные и распространенные тайваньским аналитиком, продемонстрировали агрессивные маркетинговые стратегии компании, особенно подчеркивая ее антитеррористические инициативы по обеспечению контрактов, особенно в Синьцзяне. Утечки также позволили получить представление об инструментах проникновения в сеть i-Soon, таких как уникальные устройства наблюдения, замаскированные под блоки питания для извлечения данных.

Утечка данных намекала на потенциальные связи между i-Soon и известными группами APT, предполагая наличие более крупной сети поддерживаемых государством киберопераций. Прошлые расследования шпионской деятельности Китая выявили связи между i-Soon и другими организациями, участвующими в спонсируемых государством хакерских кампаниях, что указывает на сложную сеть IT-компаний в Китае, вовлеченных в кибервойну. Утечки также подчеркнули стратегическое значение Чэнду, где базируется i-Soon, как центра киберопераций и намекнули на его участие в международных усилиях по кибершпионажу.

Утечка документов выявила оперативную тактику, сходную с тактикой других групп APT, таких как Jackpot Panda, Poison Carp, TA428 и Mustang Panda, расширяющую сферу киберактивности Министерства общественной безопасности Китая. Примеры данных, обнаруженных в результате утечки, включали скомпрометированные телекоммуникационные записи и базы данных служб, основанных на местоположении, что подчеркивало масштабы усилий Китая по сбору разведывательной информации. Подробные сведения о пользовательских троянах удаленного доступа (RATs), разработанных для различных операционных систем, включая iOS и Android, продемонстрировали сложные возможности, используемые злоумышленниками для получения конфиденциальной информации.

Утечка данных i-Soon служит наглядным напоминанием о меняющемся ландшафте киберугроз, с которыми сталкиваются организации по всему миру. Такие инструменты, как SOCRadar, рекомендуются организациям, стремящимся усилить свою защиту от таких сложных угроз. Используя передовые аналитические алгоритмы и экспертов-аналитиков, SOCRadar обеспечивает проактивный мониторинг веб-страниц на предмет потенциальных утечек данных и раскрытия интеллектуальной собственности, защищая организации от кражи личных данных и других киберрисков.

#technique

Amaterasu, a kernel-level tool for killing anti-virus processes

https://mp-weixin-qq-com.translate.goog/s/i-kGysEehnP3UJz1lQTrLw?_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=ru&_x_tr_pto=wapp

#ParsedReport #CompletenessLow
26-02-2024

Shadow hunting: Analysis of APT-LY-1009s attack activities using VenomRAT and Telegram Bot against the Armenian government

https://www.ctfiot.com/160910.html

Report completeness: Low

Threats:
Apt-ly-1009_groop
Venomrat
Mohlat_stealer
Upx_tool

Victims:
Government of the republic of armenia

Industry:
Government

Geo:
Armenia

ChatGPT TTPs:
do not use without manual check
T1566, T1204, T1059, T1140, T1105, T1027, T1218, T1071, T1041, T1560, have more...

Soft:
Telegram, WeChat

Languages:
powershell, rust

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея: Лаборатория информационного поиска Anheng обнаружила серию изощренных кибератак, приписываемых неизвестной группе угроз APT-LY-1009 или Darkclaw Eagle, нацеленных на правительство Республики Армения. Эти атаки включают в себя внедрение вредоносного ПО Venom RAT, Telegram-бота для эксфильтрации данных и похитителя информации по имени Mohlat Stealer, использующего тактику, включающую фишинговые электронные письма и вредоносные вложения. Деятельность группы угроз и схемы атак подробно описаны в отчете, опубликованном Охотничьей лабораторией для заинтересованных сторон.
-----

Лаборатория информационного поиска Anheng недавно обнаружила вредоносный файл LNK, который был загружен из Армении во время их ежедневных мероприятий по поиску угроз. После выполнения файл LNK загружает удаленный HTA-файл, который затем запускает несколько инструкций скрипта, загружает загрузчик вредоносных файлов и выпускает файл-приманку. В конечном счете, в память загружается троянец дистанционного управления с открытым исходным кодом, известный как Venom RAT. Этот инцидент был связан с группой APT, нацеленной на правительство Республики Армения. В сентябре 2023 года Hunting Lab перехватила документ, содержащий вредоносный макрокод, который был загружен в Ереване, столице Армении. Когда макрокод выполняется, он извлекает вредоносный файл для выполнения инструкций сценария и в конечном итоге загружает Venom RAT в память.

Из-за сходства целей, тактики атак и взаимосвязи инфраструктуры между двумя инцидентами, зафиксированными в сентябре 2023 года и январе текущего года, организация, стоящая за этими атаками, была идентифицирована как неизвестная группа угроз с маркировкой APT-LY-1009 или Darkclaw Eagle. В настоящее время эта группа угроз находится под наблюдением. В дополнение к развертыванию вредоносного ПО Venom RAT исследователи также выявили присутствие Telegram-бота в сетевых ресурсах APT-LY-1009. Этот бот использовался для сбора информации с целевых хостов и облегчения загрузки данных. Проанализировав путь PDB, содержащийся в образце, исследователи идентифицировали похитителя информации по имени Mohlat Stealer, который был разработан в двух версиях - C# и Rust. Некоторые экземпляры этого похитителя информации были упакованы с использованием UPX.

Дальнейшие расследования выявили несколько атак APT-LY-1009, направленных против правительственных служащих в Армении. Эти атаки включали фишинговые электронные письма с вредоносными вложениями, содержащими макрокод. После выполнения макрокод запускает загрузку исполняемого файла для выполнения команд Powershell, который, в свою очередь, загружает загрузчик и, наконец, расшифровывает и загружает Venom RAT в память. В дополнение к этим цепочкам атак исследователи также обнаружили дополнительные фишинговые URL-адреса, исходящие из Армении, которые были связаны с теми же схемами атак. Некоторые из этих файлов маскировались под объявления о вакансиях в правительстве Армении, чтобы заманить жертв. Вредоносные компоненты, распространявшиеся в ходе этих атак, включали версии C# и Rust, связанные с Telegram-ботом, с целью кражи информации о хостинге у пользователей.

Охотничья лаборатория исследовательского института Аньхэн опубликовала эксклюзивный отчет под названием "Анализ атак APT-LY-1009 с использованием VenomRAT и Telegram-бота против правительства Армении". Заинтересованные стороны могут получить более подробную информацию из отчета, загрузив его с помощью предоставленных методов, таких как сканирование QR-кода, включенного в публикацию.

#ParsedReport #CompletenessMedium
23-02-2024

Xeno RAT: A New Remote Access Trojan with Advance Capabilities

https://www.cyfirma.com/outofband/xeno-rat-a-new-remote-access-trojan-with-advance-capabilities

Report completeness: Medium

Threats:
Xenorat
Process_injection_technique

Industry:
Education

TTPs:
Tactics: 5
Technics: 6

IOCs:
Domain: 1
IP: 2
Path: 2
File: 7
Hash: 6

Soft:
Discord, WhatsApp, Active Directory, Sysinternals

Algorithms:
md5, sha256, zip

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея: Текст дает всестороннее представление о вредоносном ПО Xeno RAT, продвинутой и развивающейся угрозе, нацеленной на организации и частных лиц. В нем подробно описываются характеристики вредоносного ПО, методы распространения, оперативная тактика и стратегии смягчения последствий для повышения осведомленности о кибербезопасности и защиты от этой угрозы.
-----

CYFIRMA занимается предоставлением информации о распространенных киберугрозах, нацеленных на организации и частных лиц, уделяя особое внимание вредоносному ПО Xeno RAT. Xeno RAT - это передовое вредоносное ПО, доступное бесплатно на GitHub, с использованием сложной тактики уклонения, позволяющей избежать обнаружения. Вредоносная программа использует многоступенчатый процесс для генерации полезной нагрузки, включая методы защиты от отладки и функциональность упорядочения поиска DLL в Windows для сохранения. Разработчик Xeno RAT сделал код с открытым исходным кодом, что позволяет злоумышленникам настраивать и распространять свои версии через платформы, такие как Discord CDN. Это представляет значительную угрозу, поскольку вредоносное ПО постоянно развивается, добавляя новые функции и методы запутывания, позволяющие избежать обнаружения.

Основным методом распространения Xeno RAT является использование файла быстрого доступа, выступающего в качестве загрузчика, замаскированного под скриншот WhatsApp. Загрузчик извлекает и выполняет последующие полезные загрузки из zip-архива, размещенного на Discord CDN. Вредоносная программа добавляет себя к запланированным задачам для сохранения и использует внедрение процессов для нацеливания на законные процессы Windows, повышая скрытность работы. Xeno RAT взаимодействует с сервером управления (C2) через запутанный сетевой трафик, непрерывно отслеживая скомпрометированные системы и получая инструкции через регулярные промежутки времени.

Операционные характеристики Xeno RAT включают скрытый мониторинг активности жертвы, использование защитных мер для уклонения от анализа, использование скрытых виртуальных сетевых вычислений и прокси-сервера SOCKS5 для связи C2 и обеспечение постоянства выполнения запланированных задач. Вредоносная программа использует запутывание в кодах и сетевом трафике, активно избегая механизмов обнаружения и принимая меры против отладки. Xeno RAT может получать и выполнять команды с сервера C2, отправлять обновления статуса, добавлять или удалять себя при запуске системы и деинсталлировать из скомпрометированных систем.

Чтобы снизить риски, связанные с Xeno RAT, пользователям рекомендуется проявлять осторожность при открытии файлов из ненадежных источников или переходе по незнакомым ссылкам. Применение надежных мер кибербезопасности, таких как антивирусное программное обеспечение с хорошей репутацией, регулярные обновления программного обеспечения и бдительность в отношении тактик социальной инженерии, может значительно повысить защиту от таких угроз. Сотрудничество между специалистами по кибербезопасности и администраторами платформ имеет решающее значение для оперативного обнаружения и устранения возникающих угроз. Образовательные кампании играют жизненно важную роль в обеспечении людей знаниями для распознавания вредоносных программ и защиты от них, способствуя созданию более устойчивой и безопасной онлайн-экосистемы.

#ParsedReport #CompletenessLow
26-02-2024

KrustyLoader - Rust malware linked to Ivanti ConnectSecure compromises

https://www.synacktiv.com/publications/krustyloader-rust-malware-linked-to-ivanti-connectsecure-compromises

Report completeness: Low

Actors/Campaigns:
Uta0178
Unc5221

Threats:
Krustyloader
Sliver_c2_tool

CVEs:
CVE-2024-21887 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: 9.1
X-Force: Patch: Official fix
Soft:
- ivanti connect secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)

CVE-2023-46805 [Vulners]
CVSS V3.1: 8.2,
Vulners: Exploitation: True
X-Force: Risk: 8.2
X-Force: Patch: Official fix
Soft:
- ivanti connect secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)


ChatGPT TTPs:
do not use without manual check
T1190, T1566.001, T1105, T1059, T1574.002, T1027, T1070.004, T1036, T1041, T1543.003, have more...

IOCs:
Hash: 12
File: 1

Soft:
Ivanti

Algorithms:
aes, xor, aes-128, sha256

Win API:
pie

Languages:
rust, python, golang

Links:
https://github.com/BishopFox/sliver
https://github.com/draios/sysdig/
https://github.com/synacktiv/krustyloader-analysis
https://github.com/synacktiv/krustyloader-analysis/blob/main/krusty\_extractor.py
https://github.com/synacktiv/krustyloader-analysis/blob/main/KrustyLoader.yar

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении и анализе вредоносного ПО под названием KrustyLoader, которое использовалось злоумышленниками для использования уязвимостей нулевого дня в продукте Ivanti Connect Secure VPN. Вредоносная программа расшифровывает жестко закодированный URL-адрес, загружает бэкдоры Sliver, устанавливает связь с сервером командования и контроля и предназначена для уклонения от обнаружения с помощью различных методов обфускации. Исследователи провели реверс-инжиниринг и динамический анализ, чтобы проанализировать поведение KrustyLoader, и разработали такие инструменты, как сценарий расшифровки и правило Yara, которые помогают в обнаружении и анализе.
-----

10 января 2024 года Ivanti раскрыла две критические уязвимости нулевого дня, влияющие на продукт Connect Secure VPN: CVE-2024-21887 и CVE-2023-46805. Эти уязвимости позволяли выполнять удаленный код без проверки подлинности. Volexity и Mandiant опубликовали отчеты, демонстрирующие, как участники угроз активно использовали эти уязвимости. Позже Volexity опубликовала дополнительные результаты, в том числе хэши полезных загрузок Rust, которые были загружены на взломанные защищенные экземпляры Ivanti Connect. Автор провел анализ вредоносных программ для этих полезных загрузок Rust, назвав их KrustyLoader.

Анализ исполняемого файла на основе Rust создавал проблемы из-за того, что он был статически связан и содержал встроенные библиотеки, включая Rust crates и libc. Высокоуровневая абстракция Rust привела к естественной запутанности с дополнительными проверками, временными переменными и встроенными структурами. Исполняемый файл был удален, из него были удалены символы и отладочная информация, что затруднило поиск имен функций и других данных. Основная процедура была идентифицирована как рабочий поток Tokio, используемый для асинхронных задач в приложениях Rust.

Поведение KrustyLoader было проанализировано с помощью обратного проектирования и динамического анализа. Сначала он прочитал путь к процессу из /proc/self/exe и удалил себя. Было выполнено несколько проверок, таких как проверка родительского идентификатора процесса (PPID) и проведение анти-отладочных проверок, чтобы обойти отладчики. Как только эти проверки были пройдены, вредоносная программа приступила к созданию нового файла в каталоге /tmp со случайно сгенерированным именем, расшифровке жестко закодированного URL-адреса и инициированию HTTP-запроса GET на этот URL-адрес. Ответ был расшифрован, записан в файл, сделан исполняемым и выполнен.

Процесс дешифрования для получения URL-адреса включал шестнадцатеричное декодирование зашифрованного URL-адреса, XORing каждого байта с помощью 1-байтового ключа и использование режима AES-128 CFB-1 с жестко закодированным ключом и вектором инициализации. Загруженные полезные файлы были бэкдорами Sliver, которые связывались с их сервером командования и контроля (C2) по протоколу HTTP/HTTPS. Sliver - это инструмент моделирования противника с открытым исходным кодом, пользующийся популярностью у участников угроз из-за его структуры командования и контроля.

Чтобы облегчить анализ без запуска вредоносного ПО, автор разработал скрипт для статического извлечения и расшифровки URL-адреса, используемого KrustyLoader для бэкдора Sliver. Кроме того, было предоставлено правило Yara для идентификации похожих образцов KrustyLoader на основе определенных строк и процедур AES. Загрузчики Sliver, обнаруженные Volexity в Ivanti Connect Secure VPN после использования выявленных уязвимостей, оказались значительными. KrustyLoader был разработан для работы только в определенных условиях, что затрудняет обнаружение и извлечение индикаторов. Скрипт и правило Yara доступны для публичного использования для расширения возможностей обнаружения.

#ParsedReport #CompletenessLow
24-02-2024

KrustyLoader Windows variant dropped via ScreenConnect exploit

https://labs.withsecure.com/publications/new-krustyloader-variant-dropped-via-screenconnect-exploit.html

Report completeness: Low

Actors/Campaigns:
Duke

Threats:
Krustyloader
Screenconnect_tool
Connectwise_rat
Sliver_c2_tool
Bitsadmin

CVEs:
CVE-2024-21887 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: 9.1
X-Force: Patch: Official fix
Soft:
- ivanti connect secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)

CVE-2023-46805 [Vulners]
CVSS V3.1: 8.2,
Vulners: Exploitation: True
X-Force: Risk: 8.2
X-Force: Patch: Official fix
Soft:
- ivanti connect secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)

CVE-2023-42793 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- jetbrains teamcity (<2023.05.4)

CVE-2023-46604 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.4
X-Force: Patch: Official fix
Soft:
- apache activemq (<5.15.16, <5.16.7, <5.17.6, <5.18.3)


ChatGPT TTPs:
do not use without manual check
T1190, T1071, T1566, T1547, T1059, T1082, T1112, T1027, T1573, T1055, have more...

IOCs:
File: 2
Path: 5
Command: 1
Domain: 21
Hash: 14

Soft:
TeamCity, Ivanti, JetBrains TeamCity

Algorithms:
aes-128, aes, xor

Win API:
IsDebuggerPresent

Languages:
powershell, rust

Links:
https://github.com/synacktiv/krustyloader-analysis

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея: Волна массовой эксплуатации, нацеленной на уязвимости в ConnectWise ScreenConnect, привела к развертыванию различных вредоносных программ, включая вредоносную программу KrustyLoader, несколькими участниками угроз. Эти атаки выявили значительное количество уязвимых объектов, демонстрируя тенденцию к последовательной тактике использования различных сервисов и платформ. Мотивы и цели злоумышленника остаются неясными, что подчеркивает необходимость постоянной бдительности перед лицом развивающихся киберугроз.
-----

Тестовый код для двух уязвимостей в ConnectWise ScreenConnect привел к массовой эксплуатации несколькими участниками угроз, развертывающими различные вредоносные программы.

Сообщалось, что по состоянию на 21 февраля 2024 года в Интернете было доступно более 8000 уязвимых экземпляров ScreenConnect.

Один из субъектов угрозы связан с развертыванием вредоносного ПО KrustyLoader, нацеленного как на системы Windows, так и на Linux с помощью различных уязвимостей.

KrustyLoader - это вредоносная программа начальной стадии, разработанная в Rust, которая загружает и запускает полезную нагрузку второй стадии, обычно идентифицируемую как инструментарий для последующей эксплуатации Sliver C2.

Кампании, связанные с KrustyLoader, были активны, по крайней мере, с сентября 2023 года, а всплеск заявок на VirusTotal после февраля 2024 года, вероятно, связан с использованием ScreenConnect.

Исполнитель угроз продемонстрировал согласованность в поведении различных сервисов, таких как JetBrains TeamCity и ApacheMQ, используя URL-адреса корзины Amazon S3 для размещения полезных нагрузок.

Исполнитель угроз адаптирует методы для использования последних критических уязвимостей и может выступать в качестве посредника первоначального доступа для других злоумышленников.

Неясны мотивы, стоящие за нападениями, но бдительность имеет решающее значение из-за постоянного характера этих кампаний.

#ParsedReport #CompletenessMedium
26-02-2024

UTG-Q-007: Vietnamese Trojan ROTbot is targeting Asia

https://www.ctfiot.com/163398.html

Report completeness: Medium

Actors/Campaigns:
Utg-q-007

Threats:
Rotbot
Ducktail_stealer
Uac_bypass_technique
Netsupportmanager_rat
Stealc
Asyncrat
Rhadamanthys
Quasar_rat

Industry:
Healthcare, Telco, Financial, Entertainment

Geo:
Vietnamese, Asia, India, China, Asian, Vietnam, Chinese, Korea, Australian

ChatGPT TTPs:
do not use without manual check
T1566, T1204, T1547, T1059, T1060, T1071, T1027, T1588, T1082, T1595, have more...

IOCs:
File: 7
Url: 25
IP: 2
Hash: 9

Soft:
telegram, instagram, tiktok, wordpress, dpress, ss, libreoffice, WeChat

Algorithms:
base64, md5, aes, gzip

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Центр анализа угроз QiAnXin обнаружил целенаправленную фишинговую кампанию с использованием различных троянских программ, в частности ROTBot, неизвестной организацией UTG-Q-007. Злоумышленники сосредоточены на азиатских странах и таких отраслях, как строительство и маркетинг недвижимости. Их тактика включает в себя сложные методы уклонения от обнаружения, сотрудничества с другими группами для получения финансовой выгоды и эксфильтрации конфиденциальных данных. Исследователи планируют внимательно следить за UTG-Q-007, чтобы разработать эффективные стратегии смягчения последствий.
-----

Центр анализа угроз QiAnXin обнаружил целенаправленную фишинговую кампанию, направленную на клиентов во время их ежедневных операций с терминалами.

Фишинговые электронные письма содержали вредоносные файлы lnk и, казалось бы, безобидные PDF-приманки.

Tianqing EDR немедленно перехватила троянский скрипт, предотвратив значительный ущерб.

Злоумышленники внедрили уникальный троян ROTbot для извлечения конфиденциальных данных и сотрудничества с другой группой с целью получения финансовой выгоды.

Группа исполнителей угроз классифицируется как неизвестная организация с номером отслеживания UTG-Q-007.

Они ориентированы на азиатские страны, такие как Китай, Южная Корея, Вьетнам и Индия, особенно на такие отрасли, как строительство, маркетинг недвижимости и интернет-сектор.

Злоумышленники используют передовые методы, такие как обход контроля учетных записей пользователей, манипулирование системными настройками и вредоносные HTA-файлы, чтобы обойти меры безопасности.

UTG-Q-007 использует различные трояны, включая ROTBot, NetSupport, Stealc, AsyncRAT и Rhadamanthys.

Троянец ROTBot проводит разведку на устройствах жертвы и подключается к удаленным серверам управления для получения инструкций.

Управляющий код ROTbot взят из проекта Quasar с открытым исходным кодом.

Сервер C2 ROTbot был отследен до Vietnam Post and Telecommunications Group.

В 2024 году ROTbot использовал трех Telegram-ботов для общения.

QiAnXin планирует продолжить тщательный мониторинг UTG-Q-007 для разработки соответствующих стратегий смягчения последствий и реагирования.

#ParsedReport #CompletenessMedium
25-02-2024

Intruders in the Library: Exploring DLL Hijacking

https://unit42.paloaltonetworks.com/dll-hijacking-techniques

Report completeness: Medium

Actors/Campaigns:
Duke
Red_delta

Threats:
Dll_hijacking_technique
Dll_sideloading_technique
Asyncrat
Dridex
Plugx_rat
Toneshell
Catb_ransomware
Atom_bombing_technique

Industry:
Financial

Geo:
Spanish, American, Chinese, Argentina, Colombia

ChatGPT TTPs:
do not use without manual check
T1574.002, T1574.004, T1574.001, T1574.010, T1574.006, T1055, T1547.001, T1553.002

IOCs:
Registry: 2
Path: 4
File: 20
Hash: 53

Soft:
Windows Search, Embarcadero

Algorithms:
zip, sha256

Functions:
InternetUpdateTask

Win Services:
EHttpSrv

Languages:
python

#ParsedReport #ExtractedSchema

Classified images:
table: 2, windows: 4, schema: 5, code: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что перехват библиотек DLL - это скрытый и эффективный метод, используемый злоумышленниками для запуска вредоносных программ путем обмана операционной системы, заставляя ее загружать вредоносные библиотеки DLL вместо законных. Понимание теоретических основ, распространенных вариаций и реальных примеров перехвата библиотек DLL имеет решающее значение для того, чтобы читатели могли осознать значимость этой угрозы и принять меры защиты от нее.
-----

Перехват DLL - это старый, но эффективный метод, используемый как участниками угроз, так и специалистами по безопасности для скрытого запуска вредоносных программ, избегая обнаружения. Этот метод заключается в том, чтобы обманом заставить операционную систему запустить вредоносный двоичный файл вместо законной библиотеки DLL. Понимание теоретических основ взлома библиотек DLL, раскрытие тайны его концепций, изучение распространенных вариаций и приведение примеров из реальной жизни необходимы читателям, чтобы понять значимость этой угрозы.

DLL-файлы предназначены для запуска другими программами в Microsoft Windows. Злоумышленники используют перехват DLL, чтобы обманом заставить законную программу Windows загрузить и выполнить вредоносную DLL-библиотеку. Этот метод служит различным целям, таким как уклонение от защиты, повышение привилегий и сохранение. Перехват библиотеки DLL основан на механизме порядка поиска библиотеки DLL в Windows, который определяет последовательность местоположений, проверяемых при загрузке библиотеки DLL. Порядок поиска включает специальные и стандартные места поиска, при этом злоумышленники часто выбирают стандартные места поиска для скрытого выполнения своих вредоносных библиотек DLL в контексте законного приложения.

Тремя распространенными наблюдаемыми методами перехвата DLL являются боковая загрузка DLL, перехват порядка поиска DLL и фантомная загрузка DLL. Сторонняя загрузка библиотеки DLL, наиболее распространенный метод, заключается в том, что злоумышленник помещает вредоносную библиотеку DLL с тем же именем, что и законная библиотека DLL, в каталог, в котором выполняется поиск уязвимого исполняемого файла. Используя порядок поиска библиотеки DLL Windows, злоумышленники могут запускать свою вредоносную библиотеку DLL раньше действительной, получая скрытное выполнение в контексте законных приложений.

Реальные примеры атак с перехватом DLL включают использование таких методов, как сторонняя загрузка DLL для установки бэкдоров, таких как ToneShell и PlugX. Эти атаки демонстрируют, как субъекты угроз используют перехват DLL для обеспечения сохраняемости, выполнения вредоносных команд и установления связи командования и контроля. Кроме того, кампания CatB ransomware демонстрирует фантомную загрузку DLL как метод развертывания компонентов программы-вымогателя путем манипулирования каталогом System32 и выполнения вредоносных библиотек DLL.

В борьбе с атаками перехвата DLL решающее значение имеет обнаружение аномалий, когда исполняемый файл загружает вредоносную DLL-библиотеку с идентичным именем. Эффективные методы обнаружения включают тщательное изучение характеристик вредоносной DLL-библиотеки, выявление отличительных характеристик уязвимого приложения и анализ событий загрузки. Понимая эти принципы, разработчики могут внедрять защитные меры для защиты приложений от потенциальных уязвимостей, связанных с перехватом библиотек DLL.