#ParsedReport #CompletenessHigh
06-03-2024

The NGC2180 group spies on high-ranking targets using the DFKRAT implant

https://rt-solar.ru/solar-4rays/blog/4124

Report completeness: High

Actors/Campaigns:
Ngc2180 (motivation: cyber_espionage)

Threats:
Dfkrat
Dll_sideloading_technique
Timestomp_technique
Winrm_tool

Victims:
Executive authorities, National center for scientific research, Ottodigital group

Geo:
Greece, Indonesian, Russian

ChatGPT TTPs:
do not use without manual check
T1566, T1566.001, T1547.009, T1055, T1574, T1027, T1071, T1560, T1112, T1036, have more...

IOCs:
Path: 5
File: 12
Hash: 14
Url: 4
Registry: 1
Domain: 3
IP: 2

Soft:
Microsoft Word

Algorithms:
rc4, sha1, sha256, rsa-4096, sha384, md5

Functions:
WriteHost, WriteSDat

Win API:
ZwAllocateVirtualMemory, ZwWriteVirtualMemory, ZwQueueApcThread, ZwResumeThread, D3D10CreateDevice1, CreateProcessW, NtAllocateVirtualMemory, NtWriteVirtualMemory, GetThreadContext, SetThreadContext, have more...

Platforms:
apple, x86, x64, intel

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, code: 6, chats: 1, dump: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении и анализе вредоносного ПО DFKRAT, его функциональных возможностей, механизмов доставки и деятельности группы исполнителей киберугроз, идентифицированной как NGC2180. В тексте подчеркивается изощренность и тактика, применяемые злоумышленниками, эволюция вредоносного ПО, тактика, используемая для избежания обнаружения, а также важность бдительности и обмена разведданными в сообществе кибербезопасности для смягчения угроз, исходящих от этой группы.
-----

В конце 2023 года команда Solar 4RAYS, проводившая оценку компрометации, обнаружила атаку на исполнительный орган с использованием многоступенчатого вредоносного ПО, приведшую к внедрению имплантата, известного как DFKRAT. Это вредоносное ПО, ориентированное на шпионаж, позволяет злоумышленникам извлекать данные из файловых систем жертв. Обширное исследование выявило другие образцы, использовавшиеся той же группой злоумышленников с маркировкой NGC2180 с 2021 по 2023 год против русскоязычных целей. Вредоносная программа DFKRAT облегчает эксфильтрацию файлов, поддержку интерактивной оболочки и потенциальную загрузку дополнительных вредоносных программ с сервера управления C2. Скомпрометированные серверы в Греции и Индонезии использовались в качестве C2 для внедрения. Основная функциональность вредоносного ПО включает в себя использование сторонней загрузки DLL для доставки полезной нагрузки и поддержания постоянства на хосте жертвы.

В развертывании вредоносного ПО использовались законные исполняемые файлы, вредоносные библиотеки, внедряющие шелл-код, и двоичные файлы, содержащие полезную нагрузку. Вредоносное ПО использовало различные методы, такие как сторонняя загрузка библиотеки DLL, использование уникальных законных процессов для сокрытия вредоносных действий и расшифровка шелл-кода с использованием пользовательских алгоритмов и ключей.

Имплантат DFKRAT, идентифицированный в нескольких вариантах в разных образцах, взаимодействует с сервером C2 посредством зашифрованных POST-запросов, использует определенное значение User-Agent и использует оболочку функции ожидания для маскировки сетевых действий. Последняя версия DFKRAT использует стороннюю загрузку DLL с улучшениями, позволяющими избежать обнаружения решениями безопасности.

Исторические примеры 2021-2022 годов, связанные с кластером NGC2180, выявили различные версии имплантата DFKRAT и механизмов доставки. Злоумышленники использовали OLE-объекты, встроенные в документы, для активации исполняемых файлов, доставляя полезную нагрузку с удаленных серверов. Злоумышленники продемонстрировали операционную изощренность, используя скомпрометированную инфраструктуру для C2, обеспечивая ограниченную видимость и затрудняя отслеживание их действий.

Анализ изменений инфраструктуры группы NGC2180 показал изменения в серверах C2 и тактике с течением времени. Злоумышленники скомпрометировали законные хосты для размещения своей инфраструктуры C2, что позволило обойти решения по обеспечению безопасности. Системный подход злоумышленников и нацеливание на высокопоставленные организации предполагают потенциальные политические мотивы. Постоянный и эволюционирующий характер группы NGC2180 подчеркивает важность постоянной бдительности и обмена разведданными в сообществе кибербезопасности.

Показатели компрометации (IOCs), представленные в исследовании, включая хэши вредоносных программ и сведения о сервере C2, могут помочь идентифицировать и смягчить угрозы, связанные с кластером NGC2180. Сообществу рекомендуется использовать эти IOC для расширения возможностей обнаружения угроз и реагирования на них в отношении этой группы участников угроз.

#ParsedReport #CompletenessLow
06-03-2024

New APT Group 'Lotus Bane' Behind Recent Attacks on Vietnam's Financial Entities

https://thehackernews.com/2024/03/new-apt-group-lotus-bane-behind-recent.html

Report completeness: Low

Actors/Campaigns:
Lotus_bane (motivation: financially_motivated, cyber_criminal)
Oceanlotus
Blindeagle
Lazarus
Lightbasin (motivation: financially_motivated)
Unc2891

Threats:
Dll_sideloading_technique
Pipedance
Caketap

Victims:
Financial organizations in apac, europe, latam, north america

Industry:
Financial

Geo:
America, Asia-pacific, Latam, Apac, Vietnam, Vietnamese

ChatGPT TTPs:
do not use without manual check
T1574.002, T1095, T1053.005, T1105, T1555.003, T1053

Soft:
Kitty

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в появлении и деятельности субъекта угроз Lotus Bane, их нацеливании на финансовый сектор Вьетнама и Азиатско-Тихоокеанского региона, их сходстве с OceanLotus (APT32) и более широком спектре продвинутых групп постоянных угроз, создающих киберугрозы финансовым организациям по всему миру, подчеркивая важность необходимость в усиленных мерах кибербезопасности.
-----

Lotus Bane, ранее недокументированный исполнитель угроз, атаковал финансовую организацию во Вьетнаме в марте 2023 года. Конкретные детали цепочки заражения неизвестны, но она предполагает использование вредоносных артефактов для перемещения в сторону. Методы, используемые Lotus Bane, такие как боковая загрузка DLL и именованные каналы для обмена данными, пересекаются с методами OceanLotus, также известными как APT32. Использование Lotus Bane вредоносного ПО, такого как PIPEDANCE, для связи по именованным каналам было впервые задокументировано в связи с кибератакой на вьетнамскую организацию в конце декабря 2022 года.

Сходство между Lotus Bane и OceanLotus наводит на мысль о возможных связях или вдохновении, хотя их разные целевые отрасли указывают на то, что они могут быть отдельными организациями. Lotus Bane в первую очередь нацелена на банковский сектор в Азиатско-Тихоокеанском регионе (APAC), демонстрируя сложные методы, которые намекают на более широкие географические операции внутри APAC. Продолжительность деятельности Lotus Bane до обнаружения остается неясной, и ожидается, что продолжающиеся расследования позволят лучше понять их историю.

Финансовые организации в Азиатско-Тихоокеанском регионе, Европе, Латинской Америке (LATAM) и Северной Америке сталкивались с угрозами со стороны продвинутых групп постоянных угроз, таких как Blind Eagle, the Lazarus Group и UNC1945. UNC1945, известный тем, что нацеливает на серверы коммутаторов ATM пользовательское вредоносное ПО под названием CAKETAP, перехватывает и изменяет данные, передаваемые между серверами ATM и серверами аппаратных модулей безопасности, в вредоносных целях. Присутствие Lotus Bane и UNC1945 в регионе Азиатско-Тихоокеанского региона подчеркивает важность поддержания бдительности и принятия надежных мер кибербезопасности для защиты от различных финансовых киберугроз в современном цифровом мире.

Сложность защиты от финансовых киберугроз подчеркивается особой тактикой и целями таких групп, как Lotus Bane и UNC1945. Постоянные усилия по пониманию и устранению этих угроз имеют решающее значение для защиты финансовых систем и сетей перед лицом развивающихся киберугроз.

#ParsedReport #CompletenessHigh
06-03-2024

SapphireStealer Sneaks In: Deceptive Legal Documents Prey on Russians

https://cyble.com/blog/sapphirestealer-sneaks-in-deceptive-legal-documents-prey-on-russians

Report completeness: High

Threats:
Sapphirestealer
Sapphire
Credential_dumping_technique

Victims:
Russians

Industry:
Government

Geo:
Russian, Russia

TTPs:
Tactics: 6
Technics: 10

IOCs:
Domain: 1
Url: 1
File: 9
IP: 1
Hash: 2

Soft:
Telegram

Algorithms:
base64, sha256, sha1, md5, aes, zip

Functions:
Main, Decryptasdfasdfasdfs, Log2, InstanseOfClass

Links:
https://github.com/0day2/SapphireStealer/

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - подробный анализ Cyble Research and Intelligence Labs (CRIL) вредоносной кампании, нацеленной на российских граждан с использованием вредоносного ПО SapphireStealer, распространяемого обманными способами, такими как поддельные правительственные веб-сайты и замаскированные под документы PDF. Кампания предполагает кражу конфиденциальной информации с устройств жертв и отправку ее на сервер управления (C&C). Злоумышленники, стоящие за кампанией, используют тактику социальной инженерии, включая использование вводящих в заблуждение юридических документов, для повышения успеха своих атак. CRIL уделяет особое внимание техническим аспектам вредоносного ПО и тактике обмана, чтобы повысить осведомленность специалистов по кибербезопасности и пользователей об эффективной защите от таких угроз.
-----

Cyble Research and Intelligence Labs (CRIL) проанализировала вредоносную кампанию, направленную против российских граждан с использованием вредоносного ПО SapphireStealer, замаскированного под PDF-документ с поддельного веб-сайта российского правительства.

SapphireStealer собирает конфиденциальную информацию, такую как учетные данные для входа в систему, веб-данные, файлы cookie и т.д., и отправляет ее на сервер управления в сжатом ZIP-файле.

Источник угрозы, ответственный за кампанию, остается неустановленным.

Кампания была замечена в конце февраля и направлена на российские цели путем распространения SapphireStealer через спам-письма со ссылками на поддельные URL-адреса правительственных веб-сайтов.

Вводящие в заблуждение PDF-файлы заманивают жертв, напоминая юридические документы, связанные с судебными постановлениями и делами об административных правонарушениях, создавая ощущение срочности и страха, требующих немедленных действий.

Вредоносная программа использует методы социальной инженерии и вредоносные тактики для манипулирования эмоциями, создания аутентичности и увеличения числа успешных заражений.

Использование контента на родном языке и вводящих в заблуждение юридических документов повышает эффективность кампании, направленной против российских граждан.

CRIL сохраняет бдительность в мониторинге развивающихся вредоносных угроз и стремится повысить осведомленность специалистов по кибербезопасности и пользователей о мерах защиты от таких вредоносных действий.

#ParsedReport #CompletenessMedium
06-03-2024

Resurgence of BlackCat Ransomware

https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/resurgence-of-blackcat-ransomware

Report completeness: Medium

Threats:
Blackcat
Screenconnect_tool
Credential_dumping_technique
Shadow_copies_delete_technique
Process_injection_technique

Victims:
Change healthcare

Industry:
Financial, Healthcare

TTPs:
Tactics: 8
Technics: 30

IOCs:
File: 6
Path: 1
Command: 7
Registry: 1

Soft:
ESXi, Windows Defender, Component Object Model, MSExchange, mysql, Windows Service

Win API:
LookupPrivilegeValueW, SeRestorePrivilege, SeBackupPrivilege, CreateNamedPipeW

Languages:
powershell, rust

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что BlackCat group, группа киберугроз, которая вновь появилась после взлома, запустила масштабную атаку с использованием программ-вымогателей на Change Healthcare, в результате которой было украдено 6 ТБ данных. Атака нарушила обработку платежей, вынудив клиентов платить из своего кармана и предотвратив заполнение рецептов. Группа использовала сложную тактику, законные инструменты удаленного доступа и уникальные токены, подчеркивая необходимость постоянного совершенствования безопасности для борьбы с развивающимися киберугрозами, такими как BlackCat. Вариант программы-вымогателя использовал передовые методы, позволяющие избежать обнаружения, настраивать атаки и требовать выкуп за зашифрованные файлы, подчеркивая важность непрерывного мониторинга, анализа поведения и подхода к безопасности с нулевым доверием для эффективного обнаружения и реагирования.
-----

В быстро меняющемся киберпространстве Trustwave отметила возрождение группы BlackCat после того, как в декабре 2023 года Министерство юстиции США прекратило ее деятельность. 21 февраля группа предприняла масштабную атаку на Change Healthcare, часть Optum, принадлежащую UnitedHealth Group, где, как они утверждали, было украдено 6 ТБ данных. Эта атака нарушила обработку платежей, вынудив клиентов платить из своего кармана и предотвратив выполнение рецептов. BlackCat использовала законные инструменты удаленного доступа и уникальные токены для развертывания сложного варианта программы-вымогателя, подчеркивая важность постоянного совершенствования безопасности для борьбы с такими угрозами. Группа устанавливает первоначальный доступ, используя широко используемые инструменты удаленного управления, такие как Total Software Deployment и ScreenConnect, маскируя свои действия в рамках обычного административного поведения. После отключения продукта безопасности злоумышленник запустил двоичный файл программы-вымогателя BlackCat update.exe, для выполнения которого требовался шестнадцатеричный токен доступа из 64 символов для обеспечения скрытности. В отличие от предыдущих версий, этот двоичный файл нельзя обойти с помощью случайных токенов. Программа-вымогатель фокусируется на снижении шума, чтобы предотвратить поведение, подобное червеобразному, с командами, направленными на настройку атак в зависимости от жертв и предотвращение распространения по общим дискам. Программа-вымогатель, написанная на Rust, создает проблемы с анализом, поскольку возможности ведения журнала помогают при первоначальной сортировке. Попытки повышения привилегий включают сброс учетных данных для горизонтального перемещения внутри сети, использование хэшей NT для обхода домена. Шифрование файлов распространяется на скрытые разделы, в то время как такие действия, как остановка служб IIS и удаление теневых копий, еще больше нарушают работу. Зашифрованные файлы получают уведомление о выкупе и уникальное расширение, при этом дешифратор доступен, но требует определенного закрытого ключа. Чтобы избежать эвристического обнаружения, программа-вымогатель исключает указанные каталоги из шифрования, демонстрируя продвинутую тактику, которая требует постоянного мониторинга, анализа поведения и подхода к безопасности с нулевым доверием для эффективного обнаружения и реагирования на развивающиеся киберугрозы, такие как BlackCat.

#ParsedReport #CompletenessMedium
06-03-2024

Spinning YARN - A New Linux Malware Campaign Targets Docker, Apache Hadoop, Redis and Confluence

https://www.cadosecurity.com/spinning-yarn-a-new-linux-malware-campaign-targets-docker-apache-hadoop-redis-and-confluence

Report completeness: Medium

Actors/Campaigns:
Spinning_yarn
Teamtnt
Commando_cat

Threats:
Platypus
Xmrig_miner
Netstat_tool
Masscan_tool
Libprocesshider_rootkit
Diamorphine_rootkit
Migo
Libpcap_tool
Zgrab_scanner_tool
Pnscan_tool
Kinsing_miner
Log4shell_vuln

Victims:
Misconfigured servers

Industry:
Government

Geo:
Asian

CVEs:
CVE-2022-26134 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- atlassian confluence data center (7.18.0, <7.17.4, <7.16.4, <7.15.2, <7.14.3, <7.13.7, <7.4.17)
- atlassian confluence server (7.18.0, <7.17.4, <7.16.4, <7.15.2, <7.14.3, <7.13.7, <7.4.17)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1190, T1059.004, T1133, T1543.003, T1027, T1070.004, T1574.001, T1059.006, T1112, T1046, have more...

IOCs:
IP: 5
Url: 8
Hash: 9

Soft:
Docker, Hadoop, Redis, Confluence, Alpine, firewalld, SELinux, systemd, Ubuntu, UNIX, have more...

Algorithms:
base64

Functions:
check_exist, env_set, main, DeleteImagesByRepo, AddEntryToHost, time_Now, generateRandomOctets, executeDockerCommand, executeYARNCommand, setrlimit, have more...

Win API:
lockfile

Languages:
golang, python

Links:
https://github.com/gianlucaborello/libprocesshider
https://github.com/zmap/zgrab2
https://github.com/m0nad/Diamorphine
https://github.com/cado-security
https://github.com/WangYihang/Platypus

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
В тексте описывается продвинутая вредоносная кампания, нацеленная на неправильно сконфигурированные серверы, на которых запущены веб-сервисы, использующие уникальные полезные нагрузки Golang для автоматизации обнаружения и заражения. Злоумышленники используют уязвимости для проведения атак с удаленным выполнением кода, развертывания майнеров криптовалют, установления постоянного доступа и уклонения от обнаружения с помощью различных методов. Кампания демонстрирует обширные знания облачных сред, фокусируясь на использовании таких сервисов, как Docker и Confluence, с использованием современных уязвимостей и изощренной тактики.
-----

Исследователи Cado Security Labs выявили новую кампанию вредоносного ПО, нацеленную на неправильно сконфигурированные серверы, на которых запущены веб-сервисы.

Campaign использует уникальные двоичные файлы Golang для обнаружения и заражения хостов, используя распространенные неправильные настройки и n-дневные уязвимости для RCE-атак.

Злоумышленники внедряют майнеры криптовалют, обратные оболочки и поддерживают постоянный доступ, используя сценарии оболочки и методы Linux-атак.

Атрибуция сложна, но сходство с прошлыми облачными атаками приписывается таким участникам угроз, как TeamTNT, WatchDog и кампания "Поцелуй собаку".

Четыре новые полезные нагрузки Golang использовались для использования хостов Docker, Hadoop YARN, Confluence и Redis.

Связь с инфраструктурой C2 через исполняемый файл vurl; попытки извлечь полезные нагрузки с помощью Python в случае сбоя.

Дополнительные методы включают переименование утилит, разведку пользователей, команды ослабления системы, меры по борьбе с криминалистикой и тактику уклонения.

Цепочка заражения включает XMRig для майнинга, Platypus для reverse shell и использование уязвимых сервисов, таких как Docker, Hadoop YARN, Confluence и Redis.

Кампания демонстрирует глубокое понимание облачных сред и эффективное использование веб-сервисов с акцентом на современные уязвимости.

#ParsedReport #CompletenessMedium
06-03-2024

TA4903: Actor Spoofs U.S. Government, Small Businesses in Phishing, BEC Bids

https://www.proofpoint.com/us/blog/threat-insight/ta4903-actor-spoofs-us-government-small-businesses-phishing-bec-bids

Report completeness: Medium

Actors/Campaigns:
Ta4903 (motivation: financially_motivated, cyber_criminal)

Threats:
Bec_technique
Evilproxy_tool
Credential_harvesting_technique

Industry:
Government, Foodtech, Transport, Financial, Energy, Healthcare

Geo:
American

ChatGPT TTPs:
do not use without manual check
T1566.001, T1566.002, T1133, T1587, T1588.002, T1199, T1078, T1114.002, T1102.002, T1595, have more...

IOCs:
File: 1
Url: 2
Domain: 2
Hash: 3

Algorithms:
sha256, zip

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что TA4903 является финансово мотивированным субъектом угроз, который проводит кампании по фишингу учетных данных и компрометации деловой электронной почты, нацеленные на организации в различных секторах, преимущественно в США, путем подмены государственных структур США и частного бизнеса. Злоумышленник использует массовые кампании по электронной почте с различными приманками, включая URL-адреса, вложения и QR-коды, для кражи корпоративных учетных данных и выполнения других действий. Proofpoint отслеживает действия TA4903, обращая особое внимание на настойчивость участника, тактику регистрации доменов и развивающиеся методы, такие как использование EvilProxy в 2023 году. Организациям рекомендуется проявлять бдительность и обновлять наборы правил обнаружения угроз для мониторинга и смягчения последствий действий субъекта угрозы.
-----

Исполнитель угроз TA4903 мотивирован финансово и проводит кампании по фишингу учетных данных и компрометации деловой электронной почты (BEC), нацеленные на различные организации, с акцентом на такие секторы, как строительство, финансы, здравоохранение, продукты питания и напитки.

TA4903 подделывает правительственные учреждения США и частные предприятия, проводя масштабные кампании по электронной почте, объем которых варьируется от сотен до десятков тысяч сообщений за кампанию.

Proofpoint с высокой степенью уверенности отслеживает действия TA4903, приписывая злоумышленнику кампании, направленные на кражу корпоративных учетных данных и проникновение в почтовые ящики.

С декабря 2021 года было замечено, что TA4903 подменяет федеральные правительственные учреждения США, активизируя свою деятельность в середине 2023-2024 годов с увеличением числа кампаний по фишингу учетных данных и мошенничеству, нацеленных на малый и средний бизнес.

Злоумышленник использует URL-адреса, вложения и темы, подобные кибератакам, чтобы побудить жертв предоставить конфиденциальную информацию, используя такие методы, как приманки для предложений ставок, QR-коды и ссылки на конфиденциальные документы и платежи ACH.

TA4903 использовал средство обхода многофакторной аутентификации EvilProxy в 2023 году, но позже в этом году его использование сократилось и не наблюдалось в 2024 году. Актер постоянно использует в своих кампаниях приманку для электронной почты и PDF-контент, а также инфраструктуру домена, принадлежащую актеру.

Фишинговый набор, используемый TA4903, остается совместимым с минимальными изменениями. Proofpoint предупреждает организации о необходимости постоянного обновления наборов правил обнаружения угроз для расширения возможностей обнаружения в отношении TA4903.

#ParsedReport #CompletenessLow
06-03-2024

Coper / Octo - A Conductor for Mobile Mayhem With Eight Limbs?. Key Findings

https://www.team-cymru.com/post/coper-octo-a-conductor-for-mobile-mayhem-with-eight-limbs

Report completeness: Low

Threats:
Exobot
Exobotcompact
Godfather
Vultur

Industry:
Financial

Geo:
Armenia, Turkmenistan, Turkey, Belarus, Moldova, China, Kyrgyzstan, Spain, Spanish, Tajikistan, Portugal, Uzbekistan, Russia, Ukraine, Netherlands, Colombian, Azerbaijan, Kazakhstan

IOCs:
IP: 2
Url: 10

Soft:
Android, Google Chrome, Gmail

Algorithms:
rc4, aes, base64

#ParsedReport #GeneratedSchema
Generated with GPT-4