#ParsedReport #CompletenessHigh
26-02-2024

SEO Poisoning to Domain Control: The Gootloader Saga Continues

https://thedfirreport.com/2024/02/26/seo-poisoning-to-domain-control-the-gootloader-saga-continues

Report completeness: High

Actors/Campaigns:
Duke

Threats:
Seo_poisoning_technique
Gootkit
Cobalt_strike
Systembc
Metasploit_tool
Sliver_c2_tool
Process_injection_technique
Beacon
Powerview
Winrm_tool
Passthehash_technique
Credential_stealing_technique
Mimikatz_tool
Powersploit
Meterpreter_tool
Credential_dumping_technique

TTPs:
Tactics: 10
Technics: 0

IOCs:
File: 8
IP: 5
Registry: 1
Url: 10
Hash: 10

Soft:
Windows Defender, Windows Firewall, WordPad, WhatsApp

Algorithms:
md5, base64, xor, zip

Functions:
CreateWowService

Win API:
NtMapViewOfSection, CreateThread, NtQueueApcThread-s, CreateRemoteThread, RtlCreateUserThread

Win Services:
eventlog

Languages:
javascript, php, python, powershell

Platforms:
intel, apple

Links:
https://github.com/mandiant/gootloader
https://github.com/GhostPack/RestrictedAdmin
https://github.com/The-DFIR-Report/Yara-Rules/blob/main/19530/19530.yar
https://github.com/The-DFIR-Report/Sigma-Rules
https://github.com/SigmaHQ/sigma

#ParsedReport #ExtractedSchema

Classified images:
table: 7, windows: 10, schema: 7, code: 32, dump: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в кибератаке, которая произошла в феврале 2023 года и включала развертывание вредоносного ПО Gootloader, что привело к выполнению полезной нагрузки Cobalt Strike beacon в памяти. Злоумышленник использовал различные методы, такие как SystemBC для доступа по протоколу RDP, нацеливался на контроллеры домена и серверы ключей, потенциально извлекал конфиденциальные файлы и предпринимал действия для поддержания сохранности и изучения сетевых ресурсов. В тексте также обсуждаются службы разведки угроз организации, уделяя особое внимание отслеживанию структур командования и контроля, предоставляя подробную информацию и анализируя тактику и методы, используемые участниками угроз при вторжении.
-----

В феврале 2023 года произошло вторжение, когда пользователь загрузил и запустил файл из результатов поиска, зараженных SEO, что привело к заражению Gootloader.

Вредоносная программа Gootloader способствовала внедрению полезной нагрузки Cobalt Strike beacon в реестр хоста и выполняла ее в памяти.

Злоумышленник использовал SystemBC для туннелирования RDP-доступа в сеть и скомпрометировал контроллеры домена, серверы резервного копирования и другие ключевые серверы.

Исполнитель угрозы в интерактивном режиме просмотрел конфиденциальные файлы через RDP, и неясно, были ли данные отфильтрованы.

Организация предоставляет службу рассылки угроз, специализирующуюся на отслеживании систем командования и контроля, таких как Cobalt Strike, Metasploit и Sliver.

Цепочка заражения Gootloader включает в себя несколько этапов, включая выполнение запутанных файлов JavaScript и развертывание маяка Cobalt Strike.

Исполнитель угрозы использовал различные методы, связанные с Cobalt Strike, такие как компрометация LSASS, поддержание постоянства, отключение защитника Windows, боковое перемещение с помощью сценариев PowerShell и установление SOCKS-соединения для туннелирования.

Анализ организации выявил команды PowerShell для бокового перемещения, создания удаленных служб, потенциального сброса учетных данных через LSASS и компрометации контроллеров домена в качестве тактики, используемой участниками угроз.

#ParsedReport #CompletenessLow
26-02-2024

WogRAT malware exploiting aNotepad (Windows, Linux)

https://asec.ahnlab.com/ko/62091

Report completeness: Low

Threats:
Wograt
Wingsofgod
Tinyshell
Rekoobe_rootkit
Trojan/win.generic.c5387450

Geo:
Japan, China, Singapore, Asian

ChatGPT TTPs:
do not use without manual check
T1566, T1204, T1027, T1105, T1573, T1071, T1059, T1113, T1041, T1090, have more...

IOCs:
File: 8
Hash: 16
Domain: 2
Url: 9

Soft:
Chrome

Algorithms:
hmac, base64, md5, aes-128, sha1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что аналитический центр безопасности AhnLab (ASEC) обнаружил вредоносную программу-бэкдор под названием WogRAT, распространяемую через бесплатную онлайн-платформу notepad, предназначенную как для систем Windows, так и для Linux с различными вариантами. Злоумышленник, известный как "WingOfGod", активно внедряет это вредоносное ПО с конца 2022 года, в основном ориентируясь на страны Азии. Вредоносное ПО выдает себя за законные инструменты для обмана пользователей, собирает системную информацию, взаимодействует с серверами C&C и использует методы шифрования. Пользователям рекомендуется соблюдать осторожность при загрузке исполняемых файлов и постоянно обновлять программное обеспечение безопасности, чтобы предотвратить заражение.
-----

Аналитический центр безопасности AhnLab (ASEC) недавно обнаружил вредоносную программу-бэкдор, распространяемую через бесплатную онлайн-платформу для блокнотов под названием aNotepad. Эта вредоносная программа под названием WogRAT примечательна тем, что нацелена как на системы Windows с вредоносным по формата PE, так и на системы Linux с вредоносным ПО формата ELF. Злоумышленник, использующий псевдоним "WingOfGod", активно внедряет WogRAT с конца 2022 года. Хотя подтвержденных атак на систему Linux не было, вредоносное ПО, нацеленное на Windows, часто маскируется под обычные утилиты, чтобы обманом заставить пользователей загрузить его. Атака в первую очередь направлена на азиатские страны, такие как Гонконг, Сингапур, Китай и Япония, основываясь на данных, собранных с помощью VirusTotal.

Один из вариантов WogRAT, распространяемый в системах Windows, выдает себя за инструмент Adobe, в то время как на самом деле является вредоносной программой-загрузчиком на базе .NET, замаскированной под инструмент браузера Chrome. При запуске эта вредоносная программа компилирует и загружает внутренне зашифрованный исходный код с aNotepad, расшифровывая его с помощью алгоритма Base64. Последняя загруженная вредоносная программа с бэкдором называется WingsOfGod. Изначально WogRAT собирает системную информацию при выполнении и отправляет ее на сервер команд и контроля (C&C). Он поддерживает различные команды, такие как выполнение задач, обмен результатами и загрузка файлов с помощью POST-запросов. Вредоносная программа также использует FTP для загрузки файлов, хотя проанализированная версия не полностью поддерживает эту функциональность.

Что касается Linux-версии WogRAT, то, как и ее аналог для Windows, она маскируется под обычный процесс с именем "kblockd", чтобы избежать обнаружения. Этот вариант заимствует методы из вредоносного ПО с открытым исходным кодом Tiny SHell. После взлома системы WogRAT собирает основные системные данные и взаимодействует с сервером C&C, используя идентификаторы задач, типы и данные. Он шифрует данные во время обмена данными и, в отличие от версии для Windows, взаимодействует с отдельным сервером, предназначенным для функций обратной оболочки. WogRAT использует метод шифрования, включающий ключ AES-128, сгенерированный с помощью HMAC SHA1, используя разные строки паролей для каждого экземпляра (например, 03c7c0ace395d80182db07ae2c30f034 и 194112c60cb936ed1c195b98142ff49d).

Наблюдается заметная эволюция, когда WogRAT теперь поражает системы Linux в дополнение к Windows. Хотя точный вектор заражения остается нераскрытым, злоумышленник, вероятно, использует вводящие в заблуждение имена файлов, чтобы побудить пользователей загрузить вредоносное ПО. Чтобы предотвратить заражение, пользователям рекомендуется не устанавливать исполняемые файлы с сомнительных веб-сайтов и приобретать программное обеспечение только из официальных источников. Обновление программного обеспечения безопасности, такого как версия 3, имеет решающее значение для превентивной защиты от вредоносных угроз.

#ParsedReport #CompletenessLow
26-02-2024

Ransomware Roundup Abyss Locker

https://www.fortinet.com/blog/threat-research/ransomware-roundup-abyss-locker

Report completeness: Low

Threats:
Abyss_locker
Hellokitty
Domino

Industry:
Entertainment

Geo:
America, Asia

ChatGPT TTPs:
do not use without manual check
T1486, T1490, T1485, T1027, T1567

IOCs:
File: 118
Command: 1
Hash: 15

Soft:
DefWatch, MSSQL, MSExchange, PccNTMon, onenote, outlook, thebat, wordpad, bcdedit, windows defender, have more...

Win Services:
MSSQLServerADHelper100, sqlbrowser, SQLWriter, WinDefend, MSExchangeIS, MSExchangeSA, ShadowProtectSvc, IISADMIN, QBCFMonitorService, QBVSS, have more...

Platforms:
x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
В отчете FortiGuard Labs, публикуемом раз в две недели, был выделен вариант программы-вымогателя Abyss Locker, производный от кода программы-вымогателя HelloKitty, первоначально обнаруженный в начале 2024 года для Windows. Программа-вымогатель шифрует файлы, стирает резервные копии и извлекает данные, распространяясь по всему миру. Версия 1 фокусируется на шифровании файлов и добавлении расширений, в то время как версия 2 имеет незначительные различия в сообщениях о выкупе и адресах TOR. Исполнитель угрозы использует команды запуска и расширения файлов .crypt, используя платформу на базе TOR для переговоров, несмотря на отсутствие конкретного места утечки данных жертвы.
-----

FortiGuard Labs раз в две недели публикует отчеты о набирающих популярность вариантах программ-вымогателей, в этом выпуске основное внимание уделяется Abyss Locker. Abyss Locker, созданный на основе кода программы-вымогателя HelloKitty, был впервые обнаружен в начале 2024 года для Windows, были идентифицированы версии 1 и 2. Эта программа-вымогатель шифрует файлы, удаляет резервные копии и крадет данные перед развертыванием. Сведений о переносчике заражения мало, но программа-вымогатель была обнаружена во всем мире. Версия 1 шифрует файлы и добавляет расширения, в то время как версия 2 показывает лишь незначительные различия в сообщении о выкупе и TOR-адресе для переговоров. Вариант программы-вымогателя известен использованием команд запуска и расширений файлов .crypt. Исполнитель угрозы, хотя и не имеет места утечки данных о жертвах, предлагает платформу для переговоров на основе TOR.

#ParsedReport #CompletenessHigh
27-02-2024

Cisco Talos Blog. TimbreStealer campaign targets Mexican users with financial lures

https://blog.talosintelligence.com/timbrestealer-campaign-targets-mexican-users

Report completeness: High

Threats:
Timbrestealer
Mispadu
Heavens_gate_technique
Sandbox_evasion_technique
Autokms_tool
Spear-phishing_technique
Process_injection_technique
Process_hollowing_technique
Dll_sideloading_technique

Industry:
Financial, Transport

Geo:
Spanish, Russian, Mexico, American, Mexican

TTPs:
Tactics: 1
Technics: 28

IOCs:
File: 14
Path: 1
Url: 138
IP: 24
Domain: 128
Hash: 63

Soft:
qemu, Event Tracing for Windows, internet explorer, MacOS, KMSAuto, winlogon

Algorithms:
xor, zip, crc-32, exhibit

Win API:
decompress, ZwCreateThreadEx, ResumeThread, SRRemoveRestorePoint

Win Services:
BrokerInfrastructure

Languages:
javascript

Platforms:
x86, x64, intel

Links:
https://github.com/Cisco-Talos/IOCs/tree/main/2024/02

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении и анализе новой вредоносной кампании под названием TimbreStealer, инициированной злоумышленником, нацеленным на жертв в Мексике с помощью изощренной тактики, такой как спам по электронной почте и скомпрометированные веб-сайты. Вредоносная программа демонстрирует высокий уровень изощренности, методы уклонения и возможности кражи информации, демонстрируя изменение тактики злоумышленника от распространения банковского трояна Mispadu к TimbreStealer. Для полного понимания воздействия и возможностей кампании необходимо продолжающееся расследование.
-----

Cisco Talos обнаружила новую вредоносную кампанию, распространяющую вредоносное ПО под названием TimbreStealer.

Исполнитель угроз, стоящий за кампанией, переключился с распространения банковского трояна Mispadu на TimbreStealer, нацеленный на мексиканских пользователей.

TimbreStealer демонстрирует изощренность в предотвращении обнаружения и обеспечении сохранности скомпрометированных систем.

Вредоносная программа использует геозону, пользовательские загрузчики, обфускацию и различные методы, препятствующие обнаружению.

Кампания распространения началась в ноябре 2023 года и продолжается с использованием таких методов, как рассылка спама по электронной почте и скомпрометированные веб-сайты.

TimbreStealer включает в себя слои оркестратора, загрузчики шелл-кода и подмодули, указывающие на сложные операции.

Хотя вредоносная программа проявляет поведение, сходное с программами-вымогателями, конкретных доказательств активности программ-вымогателей нет.

Вредоносная программа предназначена для кражи информации, сбора машинной информации, публикации данных, сканирования каталогов и сетевого взаимодействия.

Требуется текущее расследование, чтобы полностью понять влияние и возможности кампании TimbreStealer и ответственного за угрозу субъекта.

#ParsedReport #CompletenessLow
27-02-2024

APT37RokRAT. Preface

https://mp-weixin-qq-com.translate.goog/s/NyLQztZOWUV-fbxVj2wOIg?ref=www.ctfiot.com&_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=ru&_x_tr_pto=wapp

Report completeness: Low

Actors/Campaigns:
Scarcruft

Threats:
Rokrat

Geo:
China, Korea, Japan, Korean, Russia

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1204, T1027, T1059, T1055, T1112, T1041, T1140

IOCs:
File: 9
Path: 1

Algorithms:
xor

Functions:
such

Win API:
ShowWindow, RtlGetVersion, WinHttpOpen, WinHttpOpenRequest, WinHttpAddRequestHeaders

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
dump: 8, table: 1, schema: 1, windows: 3, code: 16

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
APT37, северокорейская хакерская группа, действующая под различными псевдонимами, такими как Group123 и Reaper, активна с 2012 года. Они в основном нацелены на соседние страны, такие как Южная Корея, используя передовые вредоносные программы, такие как RokRAT. Недавнее обновление RokRAT демонстрирует улучшения в процессах выполнения, используя облачные платформы, такие как Dropbox и Pcloud, для управления. Вредоносная программа использует сложный процесс выполнения, включающий загрузку шеллкода и методы дешифрования, чтобы избежать обнаружения. Основная функциональность заключается в загрузке данных на сервер C&C для выполнения контрольных операций.
-----

APT37, известная северокорейская хакерская организация, работает под такими псевдонимами, как Group123, Venus 121 и Reaper, и активна с 2012 года. Эта группа в первую очередь нацелена на соседние с Северной Кореей страны, такие как Южная Корея, Япония, Россия и Китай, с особым акцентом на Южную Корею. RokRAT, оружие с дистанционным управлением, используемое APT37, недавно было обновлено в новом образце, приобретенном по каналам разведки угроз.

Обновленный образец RokRAT демонстрирует улучшения и итерации в процессе его выполнения по сравнению с предыдущими версиями. Этот последний образец поддерживает инфраструктуру управления (C&C) на основных общедоступных облачных платформах, таких как Dropbox, Pcloud, Yandex и Box, с основным акцентом на первые два сервиса. Используя встроенный токен учетной записи cloud disk, RokRAT взаимодействует со своим сервером C&C, инициируя запросы на загрузку, выгрузку и удаление определенных файлов на этих облачных платформах.

После распаковки исходный файл полезной нагрузки отображается как файл lnk размером 221 МБ и путем, ведущим к %windir%\SysWOW64\cmd.exe. Примечательно, что значение "Target" в ярлыке свойств файла имеет ограничение по длине, и при превышении оно становится усеченным. Чтобы получить доступ к полной информации, файл содержит поток ASCII, в котором скрипт вызывает встроенный код C# через PowerShell.

Процесс выполнения начинается с выпуска начальной полезной нагрузки, запускающей выполнение скрипта с именем "working.bat". Этот пакетный скрипт служит точкой входа для последующих операций с полезной нагрузкой. Внутри "working.bat" создается скрытый оконный процесс PowerShell, который считывает и выполняет содержимое текстового файла с именем "temp.dat". Содержимое "temp.dat" описывает стандартный процесс загрузки и выполнения шеллкода, включающий чтение двоичных данных из общедоступного файла.dat, выделение места в памяти, запись данных в это пространство и, в конечном итоге, запуск потока для выполнения кода, хранящегося в памяти.

Следуя концепции скрипта в "temp.dat", создается загрузчик шелл-кода. После успешного выполнения функции шелл-код переходит к сегменту кода, где он циклически расшифровывает имена функций Windows API, используя такие методы, как сдвиг вправо (ror), и расшифровывает PE-файл, используя XOR и другие методы расшифровки. Интересно, что шелл-код не запускает выполнение с начала PE-файла, а скорее присваивает адрес 0x71B375 (в то время как начальный адрес PE-файла равен 0x6E0000) регистру ECX и вызывает его.

Основная функциональность программы находится в пределах определенной области, как показано на анализируемом рисунке. Выполнение программы лаконично, что позволяет проводить детальную отладку и пошаговый анализ. Начальные этапы включают сбор выборочной информации и загрузку содержимого данных на сервер C&C cloud disk для дальнейших операций командования и контроля.

#ParsedReport #CompletenessMedium
27-02-2024

DCRat: Step-by-Step Analysis in ANY.RUN

https://any.run/cybersecurity-blog/dcrat-analysis-in-any-run

Report completeness: Medium

Threats:
Dcrat

Industry:
Financial

ChatGPT TTPs:
do not use without manual check
T1543.003, T1056, T1113, T1552.001, T1560, T1027, T1189, T1071, T1573, T1112, have more...

IOCs:
Domain: 3
Hash: 2
File: 10
Path: 10
Url: 2

Soft:
Telegram, Discord, NET framework

Algorithms:
hmac, aes, base64

Languages:
php

Links:
https://github.com/mandiant/flare-floss

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 7, code: 8

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея: DCRat, троян удаленного доступа, является универсальным и доступным вредоносным инструментом, популярным среди киберпреступников благодаря широкому спектру вредоносных функций, модульной архитектуре и скрытным операциям. Его растущая популярность и распространение через группу Telegram создают значительные риски для индивидуальной и сетевой безопасности, требуя как статического, так и динамического анализа для эффективного обнаружения угроз и смягчения их последствий в сфере кибербезопасности.
-----

DCRat, троян удаленного доступа (RAT) и похититель информации, распространяется с 2018 года по низкой цене в 5 долларов, предлагая различные вредоносные функции и бэкдор-доступ к системам Windows.

Он собирает конфиденциальную личную информацию, такую как имена пользователей, пароли и данные кредитной карты, а также крадет учетные данные для входа на такие платформы, как Telegram, Steam и Discord.

Модульная архитектура DCRat позволяет злоумышленникам настраивать ее, что делает ее универсальной для киберпреступников с различными целями.

Вредоносная программа популярна как среди начинающих, так и среди опытных исполнителей угроз, о чем свидетельствуют частые упоминания на подпольных форумах.

DCRat обеспечивает субъектам угроз полное наблюдение за жертвами и создает риски для индивидуальных данных и более широких сетей и контактов.

Он распространяется через группу Telegram на основе подписки по доступным ценам и предлагает упрощенный процесс оплаты с использованием криптовалютных платежей.

Загрузчик DCRat - это самораспаковывающийся архивный файл, которым манипулируют со злым умыслом, используя тактику, позволяющую избежать обнаружения, например, маскируясь под законные процессы.

Статический анализ выявляет функции, индикаторы компрометации (IOCs) и детали конфигурации, проливающие свет на методы эксфильтрации данных и связь с серверами командования и контроля (C2).

Динамический анализ DCRat помогает в сборе IOCS, таких как доменные имена и IP-адреса, которые имеют решающее значение для обнаружения угроз и смягчения их последствий.

Важность как статического, так и динамического анализа в кибербезопасности зависит от конкретного случая использования, при этом динамический анализ обеспечивает быструю информацию для оперативного сдерживания, а статический анализ обеспечивает всестороннее понимание для прогнозирования и смягчения будущих угроз.