#ParsedReport #CompletenessLow
26-02-2024

CharmingKittenAPT technical means analysis

https://www.ctfiot.com/162600.html

Report completeness: Low

Actors/Campaigns:
Charming_kitten (motivation: cyber_espionage)

Threats:
Beacon

Victims:
People related to iranian academic research, Human rights and media personnel, Political consultants on iran

Geo:
Iran, Iranian, Denmark, Israel, Switzerland, India

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1071, T1105, T1568, T1583

IOCs:
File: 5
Hash: 1
Url: 4
Domain: 3

Win API:
CreateThread

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста такова: CharmingKitten, иранская организация кибершпионажа, связанная с Бехзадом Месри, нацелена на лиц, занимающихся иранскими академическими исследованиями, правами человека, средствами массовой информации, а также на тех, кто выступает против деятельности Ирана внутри страны и на международном уровне. Они используют уникальные методы, такие как WinClass, для обнаружения вредоносных подключений и используют вводящие в заблуждение доменные имена, чтобы избежать обнаружения при тестировании доступности сети.
-----

Организация кибершпионажа Charming Kitten родом из Ирана и связана с Бехзадом Месри, иранцем, ранее обвиняемым в нападении на телеканал HBO. Эта группа в первую очередь нацелена на лиц, занимающихся иранскими академическими исследованиями, правами человека и средствами массовой информации, а также на тех, кто выступает против деятельности Ирана внутри страны и на международном уровне. Они также фокусируются на журналистах, освещающих иранские дела, и политических консультантах, выступающих в дискуссиях СМИ об Иране. Хотя большинство их жертв проживают в Иране, Израиле и Соединенных Штатах, были также мишени в Швейцарии, Индии, Дании и других регионах.

Одним из отличительных приемов, используемых Charming Kitten, является использование WinClass для регистрации обратных вызовов окна для установления вредоносных подключений. Этот процесс включает в себя подключение к серверу с использованием обратных вызовов window, получение сообщения об успешном ответе, обозначенного как 0x200, а затем выполнение командно-контрольных операций (C2) наряду с манипуляцией данными.

Вредоносные доменные имена группы были определены как важнейший аспект их деятельности. При изучении сетевой инфраструктуры было обнаружено, что вредоносное ПО, используемое CharmingKitten, часто проверяет подключение с помощью, казалось бы, безобидных доменных имен, таких как schmas.microsoft.com-google.com. Эта тактика направлена на то, чтобы избежать обнаружения и проверить доступность сети с помощью доменов, которые ничего не подозревающим пользователям могут показаться законными.

Должен быть интересный AM-Live про ИИ в ИБ.
Посмотрим что расскажут коллеги, ну а мы делимся своими экспериментами в этом канале :)
Кажется, придумали способ как повысить качество поиска релевантных фрагментов TI-отчетов при использовании RAG.
https://live.anti-malware.ru/am-live/primenenie-ii-v-ib/

#technique

Unveiling custom packers: A comprehensive guide

https://estr3llas.github.io/unveiling-custom-packers-a-comprehensive-guide/

#ParsedReport #CompletenessHigh
26-02-2024

SEO Poisoning to Domain Control: The Gootloader Saga Continues

https://thedfirreport.com/2024/02/26/seo-poisoning-to-domain-control-the-gootloader-saga-continues

Report completeness: High

Actors/Campaigns:
Duke

Threats:
Seo_poisoning_technique
Gootkit
Cobalt_strike
Systembc
Metasploit_tool
Sliver_c2_tool
Process_injection_technique
Beacon
Powerview
Winrm_tool
Passthehash_technique
Credential_stealing_technique
Mimikatz_tool
Powersploit
Meterpreter_tool
Credential_dumping_technique

TTPs:
Tactics: 10
Technics: 0

IOCs:
File: 8
IP: 5
Registry: 1
Url: 10
Hash: 10

Soft:
Windows Defender, Windows Firewall, WordPad, WhatsApp

Algorithms:
md5, base64, xor, zip

Functions:
CreateWowService

Win API:
NtMapViewOfSection, CreateThread, NtQueueApcThread-s, CreateRemoteThread, RtlCreateUserThread

Win Services:
eventlog

Languages:
javascript, php, python, powershell

Platforms:
intel, apple

Links:
https://github.com/mandiant/gootloader
https://github.com/GhostPack/RestrictedAdmin
https://github.com/The-DFIR-Report/Yara-Rules/blob/main/19530/19530.yar
https://github.com/The-DFIR-Report/Sigma-Rules
https://github.com/SigmaHQ/sigma

#ParsedReport #ExtractedSchema

Classified images:
table: 7, windows: 10, schema: 7, code: 32, dump: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в кибератаке, которая произошла в феврале 2023 года и включала развертывание вредоносного ПО Gootloader, что привело к выполнению полезной нагрузки Cobalt Strike beacon в памяти. Злоумышленник использовал различные методы, такие как SystemBC для доступа по протоколу RDP, нацеливался на контроллеры домена и серверы ключей, потенциально извлекал конфиденциальные файлы и предпринимал действия для поддержания сохранности и изучения сетевых ресурсов. В тексте также обсуждаются службы разведки угроз организации, уделяя особое внимание отслеживанию структур командования и контроля, предоставляя подробную информацию и анализируя тактику и методы, используемые участниками угроз при вторжении.
-----

В феврале 2023 года произошло вторжение, когда пользователь загрузил и запустил файл из результатов поиска, зараженных SEO, что привело к заражению Gootloader.

Вредоносная программа Gootloader способствовала внедрению полезной нагрузки Cobalt Strike beacon в реестр хоста и выполняла ее в памяти.

Злоумышленник использовал SystemBC для туннелирования RDP-доступа в сеть и скомпрометировал контроллеры домена, серверы резервного копирования и другие ключевые серверы.

Исполнитель угрозы в интерактивном режиме просмотрел конфиденциальные файлы через RDP, и неясно, были ли данные отфильтрованы.

Организация предоставляет службу рассылки угроз, специализирующуюся на отслеживании систем командования и контроля, таких как Cobalt Strike, Metasploit и Sliver.

Цепочка заражения Gootloader включает в себя несколько этапов, включая выполнение запутанных файлов JavaScript и развертывание маяка Cobalt Strike.

Исполнитель угрозы использовал различные методы, связанные с Cobalt Strike, такие как компрометация LSASS, поддержание постоянства, отключение защитника Windows, боковое перемещение с помощью сценариев PowerShell и установление SOCKS-соединения для туннелирования.

Анализ организации выявил команды PowerShell для бокового перемещения, создания удаленных служб, потенциального сброса учетных данных через LSASS и компрометации контроллеров домена в качестве тактики, используемой участниками угроз.

#ParsedReport #CompletenessLow
26-02-2024

WogRAT malware exploiting aNotepad (Windows, Linux)

https://asec.ahnlab.com/ko/62091

Report completeness: Low

Threats:
Wograt
Wingsofgod
Tinyshell
Rekoobe_rootkit
Trojan/win.generic.c5387450

Geo:
Japan, China, Singapore, Asian

ChatGPT TTPs:
do not use without manual check
T1566, T1204, T1027, T1105, T1573, T1071, T1059, T1113, T1041, T1090, have more...

IOCs:
File: 8
Hash: 16
Domain: 2
Url: 9

Soft:
Chrome

Algorithms:
hmac, base64, md5, aes-128, sha1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что аналитический центр безопасности AhnLab (ASEC) обнаружил вредоносную программу-бэкдор под названием WogRAT, распространяемую через бесплатную онлайн-платформу notepad, предназначенную как для систем Windows, так и для Linux с различными вариантами. Злоумышленник, известный как "WingOfGod", активно внедряет это вредоносное ПО с конца 2022 года, в основном ориентируясь на страны Азии. Вредоносное ПО выдает себя за законные инструменты для обмана пользователей, собирает системную информацию, взаимодействует с серверами C&C и использует методы шифрования. Пользователям рекомендуется соблюдать осторожность при загрузке исполняемых файлов и постоянно обновлять программное обеспечение безопасности, чтобы предотвратить заражение.
-----

Аналитический центр безопасности AhnLab (ASEC) недавно обнаружил вредоносную программу-бэкдор, распространяемую через бесплатную онлайн-платформу для блокнотов под названием aNotepad. Эта вредоносная программа под названием WogRAT примечательна тем, что нацелена как на системы Windows с вредоносным по формата PE, так и на системы Linux с вредоносным ПО формата ELF. Злоумышленник, использующий псевдоним "WingOfGod", активно внедряет WogRAT с конца 2022 года. Хотя подтвержденных атак на систему Linux не было, вредоносное ПО, нацеленное на Windows, часто маскируется под обычные утилиты, чтобы обманом заставить пользователей загрузить его. Атака в первую очередь направлена на азиатские страны, такие как Гонконг, Сингапур, Китай и Япония, основываясь на данных, собранных с помощью VirusTotal.

Один из вариантов WogRAT, распространяемый в системах Windows, выдает себя за инструмент Adobe, в то время как на самом деле является вредоносной программой-загрузчиком на базе .NET, замаскированной под инструмент браузера Chrome. При запуске эта вредоносная программа компилирует и загружает внутренне зашифрованный исходный код с aNotepad, расшифровывая его с помощью алгоритма Base64. Последняя загруженная вредоносная программа с бэкдором называется WingsOfGod. Изначально WogRAT собирает системную информацию при выполнении и отправляет ее на сервер команд и контроля (C&C). Он поддерживает различные команды, такие как выполнение задач, обмен результатами и загрузка файлов с помощью POST-запросов. Вредоносная программа также использует FTP для загрузки файлов, хотя проанализированная версия не полностью поддерживает эту функциональность.

Что касается Linux-версии WogRAT, то, как и ее аналог для Windows, она маскируется под обычный процесс с именем "kblockd", чтобы избежать обнаружения. Этот вариант заимствует методы из вредоносного ПО с открытым исходным кодом Tiny SHell. После взлома системы WogRAT собирает основные системные данные и взаимодействует с сервером C&C, используя идентификаторы задач, типы и данные. Он шифрует данные во время обмена данными и, в отличие от версии для Windows, взаимодействует с отдельным сервером, предназначенным для функций обратной оболочки. WogRAT использует метод шифрования, включающий ключ AES-128, сгенерированный с помощью HMAC SHA1, используя разные строки паролей для каждого экземпляра (например, 03c7c0ace395d80182db07ae2c30f034 и 194112c60cb936ed1c195b98142ff49d).

Наблюдается заметная эволюция, когда WogRAT теперь поражает системы Linux в дополнение к Windows. Хотя точный вектор заражения остается нераскрытым, злоумышленник, вероятно, использует вводящие в заблуждение имена файлов, чтобы побудить пользователей загрузить вредоносное ПО. Чтобы предотвратить заражение, пользователям рекомендуется не устанавливать исполняемые файлы с сомнительных веб-сайтов и приобретать программное обеспечение только из официальных источников. Обновление программного обеспечения безопасности, такого как версия 3, имеет решающее значение для превентивной защиты от вредоносных угроз.

#ParsedReport #CompletenessLow
26-02-2024

Ransomware Roundup Abyss Locker

https://www.fortinet.com/blog/threat-research/ransomware-roundup-abyss-locker

Report completeness: Low

Threats:
Abyss_locker
Hellokitty
Domino

Industry:
Entertainment

Geo:
America, Asia

ChatGPT TTPs:
do not use without manual check
T1486, T1490, T1485, T1027, T1567

IOCs:
File: 118
Command: 1
Hash: 15

Soft:
DefWatch, MSSQL, MSExchange, PccNTMon, onenote, outlook, thebat, wordpad, bcdedit, windows defender, have more...

Win Services:
MSSQLServerADHelper100, sqlbrowser, SQLWriter, WinDefend, MSExchangeIS, MSExchangeSA, ShadowProtectSvc, IISADMIN, QBCFMonitorService, QBVSS, have more...

Platforms:
x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
В отчете FortiGuard Labs, публикуемом раз в две недели, был выделен вариант программы-вымогателя Abyss Locker, производный от кода программы-вымогателя HelloKitty, первоначально обнаруженный в начале 2024 года для Windows. Программа-вымогатель шифрует файлы, стирает резервные копии и извлекает данные, распространяясь по всему миру. Версия 1 фокусируется на шифровании файлов и добавлении расширений, в то время как версия 2 имеет незначительные различия в сообщениях о выкупе и адресах TOR. Исполнитель угрозы использует команды запуска и расширения файлов .crypt, используя платформу на базе TOR для переговоров, несмотря на отсутствие конкретного места утечки данных жертвы.
-----

FortiGuard Labs раз в две недели публикует отчеты о набирающих популярность вариантах программ-вымогателей, в этом выпуске основное внимание уделяется Abyss Locker. Abyss Locker, созданный на основе кода программы-вымогателя HelloKitty, был впервые обнаружен в начале 2024 года для Windows, были идентифицированы версии 1 и 2. Эта программа-вымогатель шифрует файлы, удаляет резервные копии и крадет данные перед развертыванием. Сведений о переносчике заражения мало, но программа-вымогатель была обнаружена во всем мире. Версия 1 шифрует файлы и добавляет расширения, в то время как версия 2 показывает лишь незначительные различия в сообщении о выкупе и TOR-адресе для переговоров. Вариант программы-вымогателя известен использованием команд запуска и расширений файлов .crypt. Исполнитель угрозы, хотя и не имеет места утечки данных о жертвах, предлагает платформу для переговоров на основе TOR.

#ParsedReport #CompletenessHigh
27-02-2024

Cisco Talos Blog. TimbreStealer campaign targets Mexican users with financial lures

https://blog.talosintelligence.com/timbrestealer-campaign-targets-mexican-users

Report completeness: High

Threats:
Timbrestealer
Mispadu
Heavens_gate_technique
Sandbox_evasion_technique
Autokms_tool
Spear-phishing_technique
Process_injection_technique
Process_hollowing_technique
Dll_sideloading_technique

Industry:
Financial, Transport

Geo:
Spanish, Russian, Mexico, American, Mexican

TTPs:
Tactics: 1
Technics: 28

IOCs:
File: 14
Path: 1
Url: 138
IP: 24
Domain: 128
Hash: 63

Soft:
qemu, Event Tracing for Windows, internet explorer, MacOS, KMSAuto, winlogon

Algorithms:
xor, zip, crc-32, exhibit

Win API:
decompress, ZwCreateThreadEx, ResumeThread, SRRemoveRestorePoint

Win Services:
BrokerInfrastructure

Languages:
javascript

Platforms:
x86, x64, intel

Links:
https://github.com/Cisco-Talos/IOCs/tree/main/2024/02

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении и анализе новой вредоносной кампании под названием TimbreStealer, инициированной злоумышленником, нацеленным на жертв в Мексике с помощью изощренной тактики, такой как спам по электронной почте и скомпрометированные веб-сайты. Вредоносная программа демонстрирует высокий уровень изощренности, методы уклонения и возможности кражи информации, демонстрируя изменение тактики злоумышленника от распространения банковского трояна Mispadu к TimbreStealer. Для полного понимания воздействия и возможностей кампании необходимо продолжающееся расследование.
-----

Cisco Talos обнаружила новую вредоносную кампанию, распространяющую вредоносное ПО под названием TimbreStealer.

Исполнитель угроз, стоящий за кампанией, переключился с распространения банковского трояна Mispadu на TimbreStealer, нацеленный на мексиканских пользователей.

TimbreStealer демонстрирует изощренность в предотвращении обнаружения и обеспечении сохранности скомпрометированных систем.

Вредоносная программа использует геозону, пользовательские загрузчики, обфускацию и различные методы, препятствующие обнаружению.

Кампания распространения началась в ноябре 2023 года и продолжается с использованием таких методов, как рассылка спама по электронной почте и скомпрометированные веб-сайты.

TimbreStealer включает в себя слои оркестратора, загрузчики шелл-кода и подмодули, указывающие на сложные операции.

Хотя вредоносная программа проявляет поведение, сходное с программами-вымогателями, конкретных доказательств активности программ-вымогателей нет.

Вредоносная программа предназначена для кражи информации, сбора машинной информации, публикации данных, сканирования каталогов и сетевого взаимодействия.

Требуется текущее расследование, чтобы полностью понять влияние и возможности кампании TimbreStealer и ответственного за угрозу субъекта.

#ParsedReport #CompletenessLow
27-02-2024

APT37RokRAT. Preface

https://mp-weixin-qq-com.translate.goog/s/NyLQztZOWUV-fbxVj2wOIg?ref=www.ctfiot.com&_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=ru&_x_tr_pto=wapp

Report completeness: Low

Actors/Campaigns:
Scarcruft

Threats:
Rokrat

Geo:
China, Korea, Japan, Korean, Russia

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1204, T1027, T1059, T1055, T1112, T1041, T1140

IOCs:
File: 9
Path: 1

Algorithms:
xor

Functions:
such

Win API:
ShowWindow, RtlGetVersion, WinHttpOpen, WinHttpOpenRequest, WinHttpAddRequestHeaders

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
dump: 8, table: 1, schema: 1, windows: 3, code: 16