#ParsedReport #ExtractedSchema

Classified images:
dump: 8, table: 1, schema: 1, windows: 3, code: 16

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
APT37, северокорейская хакерская группа, действующая под различными псевдонимами, такими как Group123 и Reaper, активна с 2012 года. Они в основном нацелены на соседние страны, такие как Южная Корея, используя передовые вредоносные программы, такие как RokRAT. Недавнее обновление RokRAT демонстрирует улучшения в процессах выполнения, используя облачные платформы, такие как Dropbox и Pcloud, для управления. Вредоносная программа использует сложный процесс выполнения, включающий загрузку шеллкода и методы дешифрования, чтобы избежать обнаружения. Основная функциональность заключается в загрузке данных на сервер C&C для выполнения контрольных операций.
-----

APT37, известная северокорейская хакерская организация, работает под такими псевдонимами, как Group123, Venus 121 и Reaper, и активна с 2012 года. Эта группа в первую очередь нацелена на соседние с Северной Кореей страны, такие как Южная Корея, Япония, Россия и Китай, с особым акцентом на Южную Корею. RokRAT, оружие с дистанционным управлением, используемое APT37, недавно было обновлено в новом образце, приобретенном по каналам разведки угроз.

Обновленный образец RokRAT демонстрирует улучшения и итерации в процессе его выполнения по сравнению с предыдущими версиями. Этот последний образец поддерживает инфраструктуру управления (C&C) на основных общедоступных облачных платформах, таких как Dropbox, Pcloud, Yandex и Box, с основным акцентом на первые два сервиса. Используя встроенный токен учетной записи cloud disk, RokRAT взаимодействует со своим сервером C&C, инициируя запросы на загрузку, выгрузку и удаление определенных файлов на этих облачных платформах.

После распаковки исходный файл полезной нагрузки отображается как файл lnk размером 221 МБ и путем, ведущим к %windir%\SysWOW64\cmd.exe. Примечательно, что значение "Target" в ярлыке свойств файла имеет ограничение по длине, и при превышении оно становится усеченным. Чтобы получить доступ к полной информации, файл содержит поток ASCII, в котором скрипт вызывает встроенный код C# через PowerShell.

Процесс выполнения начинается с выпуска начальной полезной нагрузки, запускающей выполнение скрипта с именем "working.bat". Этот пакетный скрипт служит точкой входа для последующих операций с полезной нагрузкой. Внутри "working.bat" создается скрытый оконный процесс PowerShell, который считывает и выполняет содержимое текстового файла с именем "temp.dat". Содержимое "temp.dat" описывает стандартный процесс загрузки и выполнения шеллкода, включающий чтение двоичных данных из общедоступного файла.dat, выделение места в памяти, запись данных в это пространство и, в конечном итоге, запуск потока для выполнения кода, хранящегося в памяти.

Следуя концепции скрипта в "temp.dat", создается загрузчик шелл-кода. После успешного выполнения функции шелл-код переходит к сегменту кода, где он циклически расшифровывает имена функций Windows API, используя такие методы, как сдвиг вправо (ror), и расшифровывает PE-файл, используя XOR и другие методы расшифровки. Интересно, что шелл-код не запускает выполнение с начала PE-файла, а скорее присваивает адрес 0x71B375 (в то время как начальный адрес PE-файла равен 0x6E0000) регистру ECX и вызывает его.

Основная функциональность программы находится в пределах определенной области, как показано на анализируемом рисунке. Выполнение программы лаконично, что позволяет проводить детальную отладку и пошаговый анализ. Начальные этапы включают сбор выборочной информации и загрузку содержимого данных на сервер C&C cloud disk для дальнейших операций командования и контроля.

#ParsedReport #CompletenessMedium
27-02-2024

DCRat: Step-by-Step Analysis in ANY.RUN

https://any.run/cybersecurity-blog/dcrat-analysis-in-any-run

Report completeness: Medium

Threats:
Dcrat

Industry:
Financial

ChatGPT TTPs:
do not use without manual check
T1543.003, T1056, T1113, T1552.001, T1560, T1027, T1189, T1071, T1573, T1112, have more...

IOCs:
Domain: 3
Hash: 2
File: 10
Path: 10
Url: 2

Soft:
Telegram, Discord, NET framework

Algorithms:
hmac, aes, base64

Languages:
php

Links:
https://github.com/mandiant/flare-floss

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 7, code: 8

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея: DCRat, троян удаленного доступа, является универсальным и доступным вредоносным инструментом, популярным среди киберпреступников благодаря широкому спектру вредоносных функций, модульной архитектуре и скрытным операциям. Его растущая популярность и распространение через группу Telegram создают значительные риски для индивидуальной и сетевой безопасности, требуя как статического, так и динамического анализа для эффективного обнаружения угроз и смягчения их последствий в сфере кибербезопасности.
-----

DCRat, троян удаленного доступа (RAT) и похититель информации, распространяется с 2018 года по низкой цене в 5 долларов, предлагая различные вредоносные функции и бэкдор-доступ к системам Windows.

Он собирает конфиденциальную личную информацию, такую как имена пользователей, пароли и данные кредитной карты, а также крадет учетные данные для входа на такие платформы, как Telegram, Steam и Discord.

Модульная архитектура DCRat позволяет злоумышленникам настраивать ее, что делает ее универсальной для киберпреступников с различными целями.

Вредоносная программа популярна как среди начинающих, так и среди опытных исполнителей угроз, о чем свидетельствуют частые упоминания на подпольных форумах.

DCRat обеспечивает субъектам угроз полное наблюдение за жертвами и создает риски для индивидуальных данных и более широких сетей и контактов.

Он распространяется через группу Telegram на основе подписки по доступным ценам и предлагает упрощенный процесс оплаты с использованием криптовалютных платежей.

Загрузчик DCRat - это самораспаковывающийся архивный файл, которым манипулируют со злым умыслом, используя тактику, позволяющую избежать обнаружения, например, маскируясь под законные процессы.

Статический анализ выявляет функции, индикаторы компрометации (IOCs) и детали конфигурации, проливающие свет на методы эксфильтрации данных и связь с серверами командования и контроля (C2).

Динамический анализ DCRat помогает в сборе IOCS, таких как доменные имена и IP-адреса, которые имеют решающее значение для обнаружения угроз и смягчения их последствий.

Важность как статического, так и динамического анализа в кибербезопасности зависит от конкретного случая использования, при этом динамический анализ обеспечивает быструю информацию для оперативного сдерживания, а статический анализ обеспечивает всестороннее понимание для прогнозирования и смягчения будущих угроз.

#ParsedReport #CompletenessMedium
27-02-2024

DuckTail. Event overview

https://www.ctfiot.com/164427.html

Report completeness: Medium

Actors/Campaigns:
Ducktail (motivation: information_theft)
C0met

Threats:
Mango
Orbit_technique

Victims:
Digital marketers

Industry:
Financial

Geo:
Vietnam, China, Vietnamese

ChatGPT TTPs:
do not use without manual check
T1566, T1027, T1140, T1105, T1059, T1555, T1119, T1071

IOCs:
Hash: 20
Url: 7
File: 3

Soft:
nuitka, WeChat, Liebao, telegram

Algorithms:
sha256

Languages:
cpython, python

Platforms:
x86

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что аналитическая информация о киберугрозах выявляет серию инцидентов безопасности, нацеленных на цифровых маркетологов, которые, как полагают, связаны с хакерской группой DuckTail, с акцентом на тактику, методы и процедуры (TTP), используемые злоумышленниками, и усилия Центра сетевой разведки Shanshi для защиты от таких угроз.
-----

Событие атаки тесно связано с организацией DuckTail, а злоумышленники вьетнамского происхождения нацелились на специалистов по цифровому маркетингу.

Тактика, методы и процедуры, использованные в атаке, очень напоминают тактику DuckTail, включая упаковку вредоносных полезных данных, использование nuitka для атак на Python и кражу учетных данных бизнес-менеджера Facebook.

В своей деятельности злоумышленники проявляют ярко выраженные вьетнамские черты, включая использование языка и смену часовых поясов.

Известно, что DuckTail продает информацию Facebook на подпольных рынках Вьетнама и может расширить свою деятельность в Китае.

Центр сетевой разведки Shanshi активно участвует в анализе угроз и обнаружении вторжений, используя надежную систему защиты.

Считается, что недавние инциденты с безопасностью, нацеленные на специалистов по цифровому маркетингу, связаны с ориентированной на прибыль хакерской группой DuckTail, которая занимается кражей финансовой информации путем компрометации бизнес-аккаунтов Facebook.

#ParsedReport #CompletenessHigh
27-02-2024

Threat Actor Groups, Including Black Basta, are Exploiting Recent ScreenConnect Vulnerabilities

https://www.trendmicro.com/en_us/research/24/b/threat-actor-groups-including-black-basta-are-exploiting-recent-.html

Report completeness: High

Actors/Campaigns:
Bl00dy

Threats:
Blackbasta
Screenconnect_tool
Connectwise_rat
Zipslip_technique
Cobalt_strike
Beacon
Lockbit
Conti
Xworm_rat
Atera_tool
Syncro_tool
Bitsadmin
Nltest_tool

Victims:
Connectwise

Industry:
Financial

Geo:
Belgium

CVEs:
CVE-2024-1708 [Vulners]
CVSS V3.1: 8.4,
Vulners: Exploitation: Unknown
X-Force: Risk: 8.4
X-Force: Patch: Official fix
Soft:
- connectwise screenconnect (<23.9.8)

CVE-2023-27350 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- papercut papercut mf (<20.1.7, <21.2.11, <22.0.9)
- papercut papercut ng (<20.1.7, <21.2.11, <22.0.9)

CVE-2024-1709 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 10
X-Force: Patch: Official fix
Soft:
- connectwise screenconnect (<23.9.8)


TTPs:
Tactics: 7
Technics: 13

IOCs:
File: 9
Command: 6
Path: 6
Domain: 4
Hash: 8
Url: 6
IP: 1

Soft:
Active Directory, PaperCut, curl, Windows Defender

Algorithms:
sha256

Languages:
powershell, swift

#ParsedReport #ExtractedSchema

Classified images:
windows: 23, code: 3, dump: 1, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что в программном обеспечении ConnectWise ScreenConnect имеются критические уязвимости (CVE-2024-1708 и CVE-2024-1709), которые активно используются группами участников угроз, что приводит к несанкционированному доступу, развертыванию программ-вымогателей, утечке данных и другим вредоносным действиям. В нем подчеркивается важность оперативного обновления до последней версии программного обеспечения для снижения этих рисков и подчеркивается необходимость того, чтобы организации активно управляли обновлениями программного обеспечения для усиления защиты от кибербезопасности и предотвращения потенциальных нарушений безопасности и их последствий.
-----

В этой записи блога представлен тщательный анализ недавних уязвимостей, обнаруженных в программном обеспечении ConnectWise ScreenConnect, в частности, CVE-2024-1708 и CVE-2024-1709, затрагивающих версии 23.9.7 и более ранние. Эти уязвимости подвергли системы несанкционированному доступу и контролю со стороны субъектов угроз, что привело к таким инцидентам, как внедрение программ-вымогателей, утечка данных и кража информации. Уязвимости были связаны с такими проблемами, как обход каталога с помощью ZipSlip-атаки и обход аутентификации, позволяющий злоумышленникам добавлять неавторизованные учетные записи на сервер.

ConnectWise отреагировала на эти критические уязвимости, выпустив исправления безопасности и призвав клиентов оперативно обновляться до последней версии для эффективного снижения рисков. Trend Micro также предоставила рекомендации для своих клиентов в статье базы знаний о стратегиях защиты и обнаружения в свете этих уязвимостей.

Были выявлены группы исполнителей угроз, такие как банды вымогателей Black Basta и Bl00dy, которые активно используют CVE-2024-1708 и CVE-2024-1709. Эти группы использовали такие методы, как маяки Cobalt Strike, вредоносное ПО XWorm и просочившиеся сборщики программ-вымогателей, для осуществления вредоносных действий в скомпрометированных системах. Скомпрометированные системы используются для различных гнусных целей, включая развертывание программ-вымогателей, получение удаленного доступа, распространение по сетям и эксфильтрацию конфиденциальных данных.

Простота использования CVE-2024-1709, которая включает механизм обхода аутентификации, вызвала опасения по поводу потенциального воздействия этих уязвимостей на уязвимые системы. Злоупотребляя этой уязвимостью, злоумышленники могут внедрять неавторизованные учетные записи на сервер и выполнять вредоносный код, такой как загрузка веб-оболочек на скомпрометированные компьютеры. Кроме того, использование уязвимости обхода каталогов с помощью ZipSlip-атаки подчеркивает риски, связанные с этими недостатками.

В блоге подчеркивается важность обновления до последней версии ConnectWise ScreenConnect как важнейшей меры безопасности для эффективного устранения выявленных угроз. Настоятельно рекомендуется немедленное исправление для защиты систем от сложных атак, использующих эти уязвимости. Для организаций крайне важно активно управлять обновлениями программного обеспечения, чтобы поддерживать надежную защиту от кибербезопасности и защищаться от нарушений безопасности, которые могут привести к компрометации данных, сбоям в работе и финансовым потерям.

Для клиентов Trend Micro использование предоставленной статьи базы знаний может повысить эффективность усилий по обнаружению и устранению этих уязвимостей после эксплуатации. Оперативные действия и постоянное информирование об угрозах кибербезопасности жизненно важны для организаций, чтобы защитить себя от потенциальных нарушений безопасности и связанных с ними серьезных последствий. Активное использование этих уязвимостей для распространения программ-вымогателей подчеркивает настоятельную необходимость принятия организациями оперативных корректирующих мер и эффективного укрепления своей системы кибербезопасности.

#ParsedReport #CompletenessMedium
27-02-2024

Dark Web Profile: Patchwork APT

https://socradar.io/dark-web-profile-patchwork-apt

Report completeness: Medium

Actors/Campaigns:
Dropping_elephant (motivation: cyber_espionage, information_theft)

Threats:
Spear-phishing_technique
Watering_hole_technique
Badnews_rat
Vajraspy
Process_injection_technique

Victims:
Government, Defense, Diplomatic organizations, Academic institutions, Us think tanks, Individuals involved in chinese foreign relations

Industry:
Government, Aerospace, Energy, Financial, Ngo, Healthcare

Geo:
Uruguay, India, Bangladesh, Australia, America, Taiwan, Chinese, China, Asia, Pakistan, Sri-lanka

CVEs:
CVE-2017-0261 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 8.4
X-Force: Patch: Official fix
Soft:
- microsoft office (2013, 2010, 2016)


TTPs:
Tactics: 4
Technics: 43

IOCs:
IP: 3
Hash: 29

Soft:
Android

Algorithms:
sha256

Languages:
swift, visual_basic

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в угрозе, исходящей от Patchwork APT group, организации кибершпионажа, предположительно базирующейся в Индии, которая нацелена на высокопоставленные организации по всему миру, используя точечный фишинг, атаки на водопои и сложные вредоносные программы. Их операции сосредоточены на сборе разведывательных данных от международных объектов, особенно тех, которые связаны с Китаем, в различных секторах и странах, что создает значительные риски для национальной безопасности и интеллектуальной собственности. Организациям рекомендуется усилить защиту от кибербезопасности, чтобы противостоять угрозам, исходящим от Patchwork APT, с помощью таких мер, как фильтрация электронной почты, управление исправлениями, безопасность конечных точек и обучение осведомленности пользователей.
-----

Patchwork APT group - это организация по кибершпионажу, базирующаяся в Индии, действующая с 2009 года, но появившаяся в декабре 2015 года. Они расширились по всему миру и нацелены на высокопоставленные организации, такие как правительство, оборона, дипломатические организации и академические институты.

Также известный как Dropping Elephant and Quilted Tiger фокусируется на сборе разведданных от объектов, имеющих связи с Китаем, в частности, высокопоставленных дипломатов и экономистов, занимающихся международными отношениями Китая.

Они используют точечный фишинг и атаки на водопои для проникновения в организации, проявляющие особый интерес к таким секторам, как авиация, оборона, энергетика, финансы и правительство.

Patchwork использует сложные вредоносные программы, такие как BADNEWS RAT и VajraSpy, троян удаленного доступа для Android (RAT), демонстрирующий расширенные возможности по поддержанию доступа и эксфильтрации данных.

Их операции охватывают такие страны, как Пакистан, Шри-Ланка, Уругвай, Бангладеш, Тайвань, Австралия и США, что приводит к значительной краже информации и несанкционированному удаленному доступу.

Для усиления защиты кибербезопасности от Patchwork APT организациям рекомендуется внедрять такие меры, как фильтрация электронной почты, управление исправлениями, безопасность конечных точек, сегментация сети, контроль доступа, многофакторная аутентификация, поведенческий анализ, планирование реагирования на инциденты и обучение осведомленности пользователей.

#ParsedReport #CompletenessMedium
27-02-2024

Mysterious Werewolf attacks the military-industrial complex using a new RingSpy backdoor

https://bi.zone/expertise/blog/mysterious-werewolf-atakuet-vpk-s-pomoshchyu-novogo-bekdora-ringspy

Report completeness: Medium

Actors/Campaigns:
Mysterious_werewolf

Threats:
Ringspy
Athena_botnet
Mythic_c2
Spear-phishing_technique

CVEs:
CVE-2023-38831 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- rarlab winrar (<6.23)


TTPs:
Tactics: 5
Technics: 0

IOCs:
File: 9
Path: 2
Hash: 1

Soft:
Telegram, curl, Windows Task Scheduler

Algorithms:
zip

Languages:
powershell, visual_basic, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Кластер Mysterious Werewolf запустил новую кампанию, нацеленную на предприятия военно-промышленного комплекса, используя фишинговые электронные письма для доставки бэкдора на базе Python под названием RingSpy. Злоумышленники используют уязвимость WinRAR, используют Telegram для общения и добиваются постоянства с помощью различных тактик. Организациям рекомендуется усилить защиту конечных точек и использовать платформы анализа угроз для раннего обнаружения угроз и эффективной киберзащиты от возникающих угроз.
-----

Специалисты из BI.ZONE Threat Intelligence недавно раскрыли новую кампанию Mysterious Werewolf активных, по крайней мере, с 2023 года. Эта группа переключила свое внимание на предприятия военно-промышленного комплекса, используя фишинговые электронные письма в качестве исходного вектора доступа. Фишинговые электронные письма содержат вложение - архив, содержащий PDF-документ вместе с вредоносным CMD-файлом. При открытии архива и взаимодействии с документом запускается CMD-файл для внедрения оригинального бэкдора RingSpy в целевую систему.

В ходе этой кампании злоумышленники используют уязвимость CVE-2023-38831 в WinRAR, чтобы запустить доставку вредоносного кода в систему жертвы. Полезная нагрузка вместо ранее использовавшегося агента Athena из Mythic framework теперь состоит из бэкдора RingSpy, закодированного на Python. Mysterious Werewolf продолжает использовать тактику фишинга и использует преимущества легальных сервисов, таких как бот в мессенджере Telegram, для связи со скомпрометированными системами.

Чтобы более подробно описать цепочку атак, жертву, скорее всего, соблазняют взаимодействовать с вредоносным контентом, получая электронное письмо с архивом, содержащим заманчивое имя файла, такое как O_predostavlenii_kopii_licenzii.pdf.cmd. Когда пользователь открывает вложение, запускаются действия, включая проверку наличия определенных файлов, загрузку отвлекающих документов, получение и запуск интерпретатора Python, настройку скрытых папок, установку дополнительных пакетов с помощью pip, настройку RingSpy для подключения к Telegram-боту и установление постоянства путем копирования файлов в автозагрузку папка.

Бэкдор RingSpy позволяет злоумышленникам удаленно выполнять команды, извлекать результаты команд и извлекать файлы из сетевых местоположений. В этой кампании злоумышленники создают запланированную задачу в планировщике задач Windows для выполнения сценария каждую минуту, отслеживая определенные события. Связь с управляющим сервером происходит через бота в мессенджере Telegram, где выходные данные команд записываются в локальный файл и передаются обратно на сервер управления злоумышленника для дальнейшего анализа.

Эволюция методов, наблюдаемая в ходе этой кампании, показывает адаптивность и живучесть Mysterious Werewolf, особенно при атаках на критически важную инфраструктуру военно-промышленного комплекса. Использование законных сервисов и сложных цепочек атак подчеркивает необходимость надежной защиты конечных точек и непрерывного мониторинга.