#ParsedReport #CompletenessMedium
04-03-2024

TA577 phishing campaign uses NTLMv2 handshakes to steal user credentials/hashes.

https://medium.com/@Intel_Ops/ta577-phishing-campaign-uses-ntlmv2-handshakes-to-steal-user-credentials-hashes-6c736ce1c2dc

Report completeness: Medium

Actors/Campaigns:
Ta577

Threats:
Impacket_tool
Cobalt_strike
Qakbot
Icedid
Systembc
Smokeloader
Gozi
Pikabot
Darkgate

Industry:
Telco

Geo:
Deutsche, Russia

ChatGPT TTPs:
do not use without manual check
T1071.001, T1557, T1110, T1566.002

IOCs:
Hash: 4
IP: 9
Domain: 21
File: 4

Soft:
Ubuntu

Algorithms:
sha256, sha1

Win API:
Netbios

#ParsedReport #ExtractedSchema

Classified images:
table: 3, schema: 1, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - подробный анализ недавней фишинговой кампании, проведенной базирующейся в России группой по борьбе с угрозами TA577. В сообщении в блоге основное внимание уделяется инфраструктуре группы, использованию ими различных вредоносных программ, таким методам, как установление исходящих SMB-подключений для кражи учетных данных, а также идентификации конкретных IP-адресов и ASN, связанных с вредоносными действиями. Анализ также посвящен разнообразному развертыванию инфраструктуры TA577, закономерностям использования их инфраструктуры и методам сегментации, используемым для анализа.
-----

Сообщение в блоге Intel-Ops посвящено анализу инфраструктуры, стоящей за недавней фишинговой кампанией, проведенной TA577, российской группой по борьбе с угрозами. TA577 активен с 2020 года, предоставляя различные полезные вредоносные программы, такие как Qbot, IcedID, SystemBC, SmokeLoader, Ursnif и Cobalt Strike. Недавние сообщения указывают на то, что TA577 перешла к использованию вредоносных программ Pikabot и DarkGate в своих кампаниях.

Deutsche Telekom CERT сообщила, что TA577 использует .HTML-файлы для установления исходящих SMB-подключений к URL-адресам file:// с целью перехвата рукопожатий NTLMv2, распространенного метода, используемого для кражи учетных данных. Кампания предполагает использование Impacket, инструмента, известного тем, что использует 8-символьные строки. Проанализировав SMB target_name для 8 буквенно-цифровых строк и удалив те, в которых указано "рабочая группа", было получено в общей сложности 257 результатов. Примечательно, что более половины результатов были размещены на ASN GLOBALWAYS, а другие ASN, такие как ALEXHOST, STARK-INDUSTRIES, LIMENET и AS-CHOOPA, были связаны со вредоносными действиями участников угроз.

Конкретный IP-адрес, 155.94.208.137, был выделен как имеющий dns.name, связанный с shopsportswearamerica.com, что указывает на потенциальное истинно положительное попадание. Анализ также включал удаление повторяющихся URL-адресов с помощью www. и фильтрацию URL-адресов Amazon ec2 с использованием рецепта CyberChef. Было упомянуто дополнительное правило поиска для TA577, в котором основное внимание уделяется ASN и типам аутентификации для выявления потенциальной вредоносной активности. В правиле выделялись конкретные ASN и типы аутентификации, при этом особое внимание уделялось сопоставлению шаблонов доменов по IP-адресам.

Дальнейшее расследование показало, что не все IP-адреса, связанные с кампанией, имели совпадающие шаблоны доменов, что указывает на использование TA577 различной инфраструктуры. В анализе также учитывались такие факторы, как открытый порт 80 или веб-страницы Apache по умолчанию на идентифицированных IP-адресах. По мере того как в VirusTotal поступало все больше образцов, выяснилось, что некоторые ASN постоянно используются TA577, что указывает на закономерность в использовании их инфраструктуры. Для анализа и понимания набора данных использовались различные методы сегментации, включая хэш баннера SSH, типы аутентификации, панели входа в систему и ASN.

#ParsedReport #CompletenessMedium
04-03-2024

RE:archive \| APT37's ROKRAT HWP Object Linking and Embedding

https://www.0x0v1.com/rearchive-rokrat-hwp

Report completeness: Medium

Actors/Campaigns:
Scarcruft (motivation: information_theft, cyber_espionage)

Threats:
Rokrat
Spear-phishing_technique
Dll_injection_technique

Victims:
Human rights ngo

Industry:
Military, Ngo, Government, Financial

Geo:
Korean, Japan, Korea

ChatGPT TTPs:
do not use without manual check
T1193, T1204, T1059, T1055, T1027, T1064, T1566, T1105

IOCs:
IP: 1
File: 5
Hash: 1
Path: 1

Soft:
Android

Algorithms:
sha256

Functions:
20_____

Win API:
GlobalAlloc, VirtualProtect, WaitForSingleObject

Languages:
powershell

Links:
https://github.com/0x0v1/MalwareRETools/blob/main/APT37/ROKRAT/ROKRATPSDecoder.py?ref=0x0v1.com

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в анализе конкретной вредоносной кампании, проводимой APT37, продвинутой группой постоянных угроз, связанной с правительством Северной Кореи. Кампания предполагает использование OLE-документов HWP для доставки вредоносной полезной нагрузки с помощью тактики социальной инженерии, демонстрирующей сложную тактику группы и постоянную потребность в анализе и понимании угроз.
-----

Проект сосредоточен на реверс-инжиниринге вредоносных программ и эксплойтов, используемых группами advanced persistent threat (APT), в частности APT37, группой, приписываемой правительству Северной Кореи. Аналитик упоминает проблемы с получением текущих образцов вредоносных программ из-за секретности, ограниченного доступа к сети или непубликации. Они подчеркивают ценность пересмотра старых образцов для понимания тактики, методов и процедур (TTP), используемых субъектами угроз.

APT37, действующая как минимум с 2012 года, в первую очередь нацелена на Южную Корею, Японию и соседние страны. Группа использует различные методы, такие как скрытый фишинг, внедрение вредоносных программ и эксплойты нулевого дня. Они известны тем, что используют троянские программы удаленного доступа (RATs), такие как ROKRAT. Цели APT37 включают сбор разведывательных данных, кражу интеллектуальной собственности и подрывные кибероперации во многих секторах.

В отчете рассматривается конкретная вредоносная кампания 2022 года, связанная с APT37, с акцентом на связывание объектов HWP и встраивание документов (OLE) - метод, при котором злоумышленники встраивают вредоносный контент в файлы HWP с использованием технологии OLE. HWP - популярное в Южной Корее программное обеспечение для обработки текстов, а OLE позволяет связывать объекты между приложениями. Злоумышленники используют уязвимости программного обеспечения HWP или используют социальную инженерию для распространения вредоносного ПО через вредоносные документы, потенциально компрометируя системы и сети.

В электронном письме, подробно описанном в отчете, обсуждается публичный набор наблюдателей за подсчетом голосов на 20-е президентские выборы, содержащем документ HWP со встроенным OLE-объектом в виде скрипта BAT. Щелчок по OLE-объекту запускает атаку с использованием отражающей библиотеки DLL на основе PowerShell на компьютере жертвы, загружая полезную нагрузку непосредственно в память, чтобы избежать обнаружения на диске и сохранить скрытность.

Атака включает в себя выполнение скрипта BAT, который создает внедрение отражающей библиотеки DLL на основе PowerShell, при этом вызывается CSC.exe (Компилятор командной строки Visual C#) для компиляции определений классов в сборку, используемую сценарием PowerShell. В %appdata%\local\temp создается временный файл, и выделяется память для шелл-кода, который в конечном итоге выполняет вредоносный код в памяти. Анализ указывает на использование в атаке TTP PowerShell, таких как CSC.exe invocation.

Аналитик отмечает недоступность этапа обработки шелл-кода на момент написания статьи, что затрудняет дальнейший анализ загруженного шелл-кода. Основываясь на предыдущих наблюдениях, они предполагают вероятность того, что шелл-код приведет к развертыванию ROKRAT, учитывая историю использования подобных методов субъектом угрозы.

Инфраструктура, связанная с атакой, включая сервер C2 и выделение памяти для шеллкода, соответствует шаблонам, ранее наблюдавшимся при развертывании ROKRAT. Несмотря на ограниченный доступ к шелл-коду, в отчете подчеркивается сложный характер тактики APT37 и постоянная потребность в анализе и понимании таких угроз.

#ParsedReport #CompletenessMedium
04-03-2024

Taking a deep dive into SmokeLoader. Smoke Loader AnalysisPermalink

https://farghlymal.github.io/SmokeLoader-Analysis

Report completeness: Medium

Threats:
Smokeloader
Spear-phishing_technique

Geo:
Ukraine, Russia

ChatGPT TTPs:
do not use without manual check
T1566, T1059, T1027, T1112, T1574, T1543, T1001, T1020, T1047, T1110, have more...

IOCs:
File: 5
Hash: 2
Path: 1

Soft:
Win32 Cabinet Self-Extractor, Qemu, Virtualbox

Algorithms:
sha1, xor, rc4

Functions:
mw_decrypt_code, mw_Build_IAT_0, NtOpenProcess, NtCreateSection

Win API:
Isdebuggerpresent, NtQueryInformationProcess, OpenProcessToken, ShellExecuteExW, NtQuerySystemInformation, NtAllocateVirtualMemory, decompress, GetShellWindow, GetWindowThreadProcessId, NtMapViewOfSection, have more...

Languages:
python

Platforms:
x64, x86

Links:
https://github.com/FarghlyMal/Decryptors-and-Extractors/blob/main/Smoke%20Loader/Config
https://github.com/emmanuel-marty/lzsa
https://github.com/FarghlyMal/Config-Extractors/tree/main/Smoke%20Loader

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, windows: 3, dump: 4, code: 21

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - подробное описание Smoke Loader, сложной вредоносной программы, известной своими передовыми методами антианализа и анти-отладки, скрытным поведением и сложными методами, которые она использует, чтобы избежать обнаружения. В нем обсуждается, как распространяется Smoke Loader, его вредоносные действия после развертывания в системе, его недавнее объединение с Wextract, его тактика запутывания, методы дешифрования, уклонение от инструментов анализа и шифрование данных конфигурации. В целом, в тексте подчеркивается значительная угроза, которую Smoke Loader представляет для кибербезопасности, и подчеркивается важность тщательного анализа для борьбы с ее воздействием.
-----

Smoke Loader - это сложная вредоносная программа, представленная в 2011 году, известная загрузкой последующих этапов вредоносного ПО в системы, в частности, похитителей информации, нацеленных на учетные данные.

В нем используются передовые методы антианализа и анти-отладки, что затрудняет его обнаружение.

Имитирует запросы на связь с известными веб-сайтами, такими как microsoft.com, bing.com и adobe.com , чтобы запутать операции командования и контроля.

Распространяется с помощью вредоносных документов, таких как Word или PDF-файлы, с помощью спам-рассылок по электронной почте или целенаправленных кампаний фишинга.

Недавняя кампания включала загрузчик Smoke, поставляемый в комплекте с Wextract, что облегчало извлечение файлов без запуска экстрактора.

Использовал непрозрачные предикаты, чтобы ввести в заблуждение механизмы дизассемблера и усложнить анализ.

Выполняет команды на основе уровня целостности токена процесса, проверяет наличие виртуальных сред и внедряет вредоносный код в системные процессы.

Шифрует конфигурацию в таблице строк с помощью RC4 для сокрытия важной информации.

Требуется углубленный анализ, чтобы понять и смягчить его влияние на кибербезопасность.

#ParsedReport #CompletenessHigh
04-03-2024

New Banking Trojan CHAVECLOAK Targets Brazil

https://www.fortinet.com/blog/threat-research/banking-trojan-chavecloak-targets-brazil

Report completeness: High

Threats:
Chavecloak
Dll_sideloading_technique
Metamorfo
Astaroth
Mekotio
Grandoreiro

Industry:
Financial

Geo:
Mexico, Portuguese, America, American, Brazil

ChatGPT TTPs:
do not use without manual check
T1566, T1193, T1071, T1140, T1574, T1059, T1112, T1555, T1056, T1041, have more...

IOCs:
File: 6
Url: 5
Path: 1
Registry: 1
IP: 1
Domain: 1
Hash: 7

Soft:
Windows Defender

Crypto:
bitcoin

Algorithms:
zip

Win API:
GetVolumeInformationW, GetForegroundWindow, GetWindowTextW

Languages:
delphi, powershell

Platforms:
x86

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 3, code: 4, dump: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении киберугрозы, связанной с банковским трояном CHAVECLOAK, нацеленным на пользователей в Бразилии, распространяющимся через вредоносный PDF-файл, который использует сложные механизмы атаки, такие как боковая загрузка DLL. В тексте также обсуждаются другие банковские трояны, нацеленные на Южную Америку, телеметрия сервера управления CHAVECLOAK и расширенные возможности современных банковских троянов, подчеркивается необходимость постоянной бдительности и упреждающих мер кибербезопасности в финансовом секторе Южной Америки.
-----

FortiGuard Labs недавно обнаружила киберугрозу, связанную с банковским трояном CHAVECLOAK, распространяющимся через вредоносный PDF-файл. Механизм атаки сложен: PDF-файл изначально загружается в формате ZIP, а затем используются методы боковой загрузки DLL для запуска конечного вредоносного ПО. Этот конкретный троянец предназначен для пользователей в Бразилии с целью кражи конфиденциальной финансовой информации. В условиях киберугроз Южной Америки различные банковские трояны используют такие тактики, как фишинговые электронные письма, вредоносные вложения и манипуляции с браузером, чтобы обмануть пользователей. Примерами таких троянов являются Casbaneiro, Guildma, Mekotio и Grandoreiro, все из которых специализируются на извлечении учетных данных онлайн-банкинга и персональных данных, представляющих значительный риск для пользователей в таких странах, как Бразилия и Мексика.

Телеметрия сервера командования и контроля (C2) CHAVECLOAK подробно представлена на предоставленном рисунке. Вредоносный PDF-файл, замаскированный под содержащий контрактные документы, предлагает жертвам нажать на кнопку, чтобы просмотреть и подписать прикрепленные файлы. Однако в PDF-файл скрытно встроена вредоносная ссылка для скачивания, которая приводит к загрузке ZIP-файла через службу сокращения ссылок. При распаковке ZIP-файла обнаруживается установочный файл MSI с именем NotafiscalGFGJKHKHGUURTURTF345.msi, а также несколько связанных текстовых файлов и вредоносный DLL-файл с именем Lightshot.dll.

При дальнейшем расследовании было обнаружено, что файл Lightshot.dll использует методы сторонней загрузки DLL для выполнения незаконных операций, включая получение конфиденциальной информации. Вредоносная программа создает записи в реестре для сохранения, устанавливает связь с сервером C2 на основе географического местоположения и отслеживает действия жертвы, особенно связанные с порталами онлайн-банкинга. Путем скрытой регистрации нажатий клавиш, отображения обманчивых всплывающих окон и блокирующих экранов вредоносная программа стремится украсть банковские учетные данные. Затем извлеченная информация отправляется на сервер C2, в зависимости от банка, связанного с украденными данными.

Также был идентифицирован вариант CHAVECLOAK с другим процессом, включающим исполняемый файл Delphi, встраивающий конечную полезную нагрузку. Этот вариант выполняет различные операции, включая извлечение системной информации, создание файлов журнала для сохранения и исключение из сканирования защитником Windows. Он также наблюдает за поведением пользователя, собирает конфиденциальную информацию со страниц банковского обслуживания и входа в систему Bitcoin и передает данные на другой сервер C2.

Появление CHAVECLOAK подчеркивает эволюционирующий характер киберугроз, нацеленных на финансовый сектор, особенно на пользователей в Бразилии. Используя сложные методы, такие как вредоносные PDF-файлы, ZIP-загрузки, сторонняя загрузка DLL и вводящие в заблуждение всплывающие окна, этот троянец является частью группы банковских вредоносных программ, нацеленных на Южную Америку. Благодаря настройкам на португальском языке и активному мониторингу финансовых порталов, CHAVECLOAK демонстрирует расширенные возможности современных банковских троянов. Это требует постоянной бдительности и активных мер кибербезопасности для борьбы с меняющимся ландшафтом угроз в финансовом секторе Южной Америки.

#ParsedReport #CompletenessMedium
04-03-2024

CryptoChameleon: New Phishing Tactics Exhibited in FCC-Targeted Attack

https://www.lookout.com/threat-intelligence/article/cryptochameleon-fcc-phishing-kit

Report completeness: Medium

Actors/Campaigns:
0ktapus

Threats:
Cryptochameleon
Kraken
Homoglyph_technique

Industry:
Education

Geo:
American, Russia

IOCs:
Domain: 294
IP: 3

Soft:
Gmail, Outlook, Android

Wallets:
coinbase, trezor

Crypto:
binance

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея: В статье освещаются недавние киберугрозы, выявленные Lookout, включая передовые тактики фишинга, нацеленные на криптовалютные платформы и FCC, а также кампании слежки, нацеленные на уязвимые группы населения, такие как уйгуры. В нем обсуждается тактика, используемая субъектами угроз, изощренность этих атак и текущие усилия Lookout по защите от таких угроз с помощью упреждающих мер безопасности и аналитических исследований угроз.
-----

Компания Lookout, занимающаяся кибербезопасностью, раскрыла два крупных инцидента с киберугрозами, связанных с передовой тактикой фишинга, нацеленной на криптовалютные платформы и FCC, используя новый набор для фишинга под названием CryptoChameleon, который использует инновационные стратегии.

CryptoChameleon использует уникальные методы уклонения, включая использование hCaptcha и административной консоли для настройки фишинговых страниц в режиме реального времени, с акцентом на выдачу себя за законные бренды, такие как Coinbase.

Другая кампания слежки под названием BadBazaar, связанная с поддерживаемой Китаем хакерской группой POISON CARP, нацелилась на уйгуров с помощью программного обеспечения для наблюдения за Android под названием MOONSHINE, что вызвало обеспокоенность по поводу спонсируемой государством деятельности по кибершпионажу.

Группы исполнителей угроз, стоящие за набором CryptoChameleon, продемонстрировали сходство с известными группами, такими как Scattered Spider, в тактике, но продемонстрировали уникальные возможности и инфраструктуру, что наводит на мысль о другом операторе, вдохновленном прошлыми успешными атаками.

Коммуникационная тактика, используемая злоумышленниками для завоевания доверия жертв, включала в себя выдачу себя за представителей службы поддержки законных компаний с помощью телефонных звонков и отправку фишинговых ссылок с помощью текстовых сообщений, что способствовало успеху этих атак по краже конфиденциальных данных.

С начала 2024 года Lookout активно защищает своих клиентов от фишинговых атак, постоянно используя автоматизированные средства для усиления мер безопасности и подчеркивая важность анализа угроз для защиты организаций и частных лиц от киберугроз.

#ParsedReport #CompletenessLow
04-03-2024

GTPDOOR - A novel backdoor tailored for covert access over the roaming exchange. Introduction

https://doubleagent.net/telecommunications/backdoor/gtp/2024/02/27/GTPDOOR-COVERT-TELCO-BACKDOOR

Report completeness: Low

Actors/Campaigns:
Lightbasin

Threats:
Gtpdoor
Beacon
Netstat_tool
Bpfdoor
Bpddoor
Tinyshell

Industry:
Telco

ChatGPT TTPs:
do not use without manual check
T1027, T1095, T1571, T1059, T1040, T1105, T1543, T1132, T1046

IOCs:
File: 1
Hash: 2
IP: 1

Algorithms:
xor

Functions:
forked, popen, printf, connect

Languages:
python

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 8, windows: 4, dump: 6

#ParsedReport #GeneratedSchema
Generated with GPT-4