#ParsedReport #CompletenessLow
06-03-2024

From Web3 Drainer to Distributed WordPress Brute Force Attack

https://blog.sucuri.net/2024/03/from-web3-drainer-to-distributed-wordpress-brute-force-attack.html

Report completeness: Low

Threats:
Angel_drainer

Victims:
Wordpress sites

ChatGPT TTPs:
do not use without manual check
T1190, T1110, T1071, T1059, T1557, T1566

IOCs:
Domain: 3
File: 4
IP: 7
Coin: 2
Url: 2

Soft:
WordPress

Languages:
python

Platforms:
x64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в новом типе взлома веб-сайтов с участием похитителей крипто-кошельков Web3, который превратился в запуск распределенных атак методом перебора на веб-сайты WordPress через скомпрометированные сайты и браузеры ничего не подозревающих посетителей. Злоумышленники используют модифицированный сценарий для выполнения нескольких этапов атак структурированным и автоматизированным образом, чтобы использовать уязвимости и получить несанкционированный доступ к целевым сайтам.
-----

В тексте обсуждается новый тип взлома веб-сайта с участием похитителей крипто-кошельков Web3, которые внедряют злоумышленников с помощью внешнего скрипта cachingjs/turboturbo.js. Этот вариант был обнаружен на более чем 1200 сайтах с февраля 2024 года. Кампания вредоносного ПО эволюционировала с двумя новыми итерациями, ведущими к распределенным атакам методом перебора на веб-сайты WordPress, используя браузеры невинных посетителей сайта. Тот settings.js файл был изменен, изменив рабочий адрес с 0xc5cE06FC4E2A26514afe69e25a6B36ab51F9FE42 на 0xFe8a95604CB87A9C6C5b1Ec681Bcfb4aE77F0c31.

Удивительно, но новый скрипт не загружает crypto drainer и не имеет никакого отношения к Web3 или криптовалютам. Короткий и не запутанный фрагмент кода позволяет легко понять назначение скрипта. Злоумышленники используют скрипт для запуска атак в режиме управления задачами. Атака включает в себя пять ключевых этапов: получение URL-адресов сайтов WordPress, извлечение имен пользователей авторов, внедрение вредоносных скриптов, атаки с использованием учетных данных методом перебора и проверка скомпрометированных учетных данных.

Злоумышленники сначала получают URL-адреса сайтов WordPress либо путем обхода Интернета, либо с помощью поисковых систем. Затем они извлекают настоящие имена пользователей авторов с целевых сайтов, внедряют свой dynamic-linx.com/chx.js скрипт на скомпрометированные веб-сайты и инициируют атаки методом перебора, когда посетители сайта загружают зараженные страницы. Атака распространяется на тысячи целевых сайтов без непосредственного участия злоумышленников, позволяя им проверять скомпрометированные учетные данные и получать несанкционированный доступ к целевым сайтам.

В тексте также отмечается, что IP-адрес 87.121.87.178, связанный с доменом billionair.app, на котором размещен Angel Drainer, используется для автоматизации проверки результатов атак методом перебора с помощью скриптов Python. Эта информация свидетельствует о скоординированном и автоматизированном подходе злоумышленников к использованию уязвимых веб-сайтов и получению несанкционированного доступа.

Подводя итог, можно сказать, что развивающаяся вредоносная кампания с участием похитителей кошельков Web3 перешла к запуску распределенных атак методом перебора на веб-сайты WordPress через скомпрометированные сайты и браузеры ничего не подозревающих посетителей. С помощью модификаций вредоносного скрипта и структурированного подхода, включающего несколько этапов, злоумышленники стремятся использовать уязвимости и получить несанкционированный доступ к широкому спектру целевых сайтов.

#ParsedReport #CompletenessMedium
06-03-2024

Data Exfiltration: Increasing Number of Tools Leveraged by Ransomware Attackers

https://symantec-enterprise-blogs.security.com/threat-intelligence/ransomware-data-exfiltration

Report completeness: Medium

Threats:
Anydesk_tool
Screenconnect_tool
Atera_tool
Lolbin_technique
Cobalt_strike
Blackcat
Tightvnc_tool
Pandora
Ehorus_tool
Credential_dumping_technique
Chisel_tool
Ragnar_locker
Mimikatz_tool
Lazagne_tool

ChatGPT TTPs:
do not use without manual check
T1020, T1486, T1071, T1567, T1059, T1560, T1219, T1190, T1552, T1021, have more...

IOCs:
Registry: 1
Command: 2
File: 2
Url: 6
Hash: 100

Soft:
WinSCP, Local Security Authority, SoftPerfect Network Scanner

Algorithms:
zip

Languages:
powershell

Links:
https://github.com/jpillora/chisel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что злоумышленники-вымогатели все чаще используют в своих атаках инструменты для извлечения данных, такие как Rclone, для кражи и угрозы разглашения данных, если выкуп не будет выплачен. Эти злоумышленники также используют легальное программное обеспечение, такое как Cobalt Strike, Restic и PowerShell, для вредоносных целей, таких как эксфильтрация данных и удаленный доступ. Этот переход к использованию легального программного обеспечения рассматривается как тактика, позволяющая избежать обнаружения в сетях жертв.
-----

Злоумышленники-вымогатели все чаще используют инструменты для извлечения данных в атаках, что приводит к тактике двойного вымогательства, когда они шифруют файлы и крадут данные, чтобы потребовать выкуп.

Rclone является широко используемым инструментом для эксфильтрации данных, в то время как другие легальные программы, такие как AnyDesk, ScreenConnect и Atera, также используются.

Атаки используют такие инструменты, как Cobalt Strike, Restic, Chisel и PowerShell, для различных вредоносных целей, включая скрытую связь, эксфильтрацию данных и удаленный доступ.

Злоумышленники перепрофилируют такие инструменты, как Rclone, для извлечения данных из скомпрометированных сетей, часто маскируя их под законные процессы, чтобы избежать обнаружения.

Эксфильтрация данных является решающим шагом в атаках программ-вымогателей, когда украденные данные используются для вымогательства у организаций, что приводит к созданию сайтов утечки данных в даркнете для жертв, не соблюдающих требования.

Многие злоумышленники в настоящее время используют для своей деятельности легальное программное обеспечение, полагая, что оно вызывает меньше предупреждений в сетях жертв по сравнению с традиционными вредоносными программами.

#ParsedReport #CompletenessMedium
06-03-2024

WikiLoader Delivery Spikes in February 2024

https://blog.eclecticiq.com/wikiloader-delivery-spikes-in-february-2024

Report completeness: Medium

Actors/Campaigns:
Ta544 (motivation: financially_motivated)
Shathak (motivation: financially_motivated)

Threats:
Wikiloader
Gozi
Lolbin_technique
Spear-phishing_technique

Industry:
Financial

Geo:
Japan, Russia, Ukraine

TTPs:

IOCs:
File: 1

Soft:
OneNote, Microsoft Office, ChatGPT

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в растущем распространении WikiLeader в феврале 2024 года как серьезной киберугрозы, от которой организациям и частным лицам необходимо защищаться путем усиления своих мер кибербезопасности. WikiLoader - это загрузчик, связанный с банковским трояном Ursnif и используемый финансово мотивированными группами исполнителей киберугроз для вредоносных действий. В тексте также освещается модель вредоносного ПО "Вредоносное ПО как услуга", цепочка заражения через фишинговые электронные письма, методы уклонения, распространенные механизмы доставки, а также предлагаются рекомендации по эффективному смягчению последствий и обнаружению атак WikiLeader.
-----

Увеличение распространения WikiLeader наблюдалось в феврале 2024 года.

WikiLoader служит загрузчиком, размещающим вредоносные полезные файлы, связанные с банковским трояном Ursnif.

Связан с группами исполнителей киберугроз TA544 и TA551, нацеленными на корпорации в Европе и Японии.

Описывается как вредоносное ПО как услуга (MaaS), доступное в аренду киберпреступникам.

Цепочка заражения начинается с фишинговых писем, содержащих PDF-вложение, запускающее загрузку сжатого файла JavaScript.

WikiLoader использует запутывание и косвенные системные вызовы для уклонения.

Конечная полезная нагрузка может отличаться, часто это банковское вредоносное ПО, такое как Ursnif.

Механизмы доставки включают документы с поддержкой макросов, PDF-файлы с полезной нагрузкой на JavaScript и вложения OneNote с вредоносными исполняемыми файлами.

Стратегии смягчения последствий включают использование подозрительного правила дочернего процесса Microsoft Office, мониторинг wscript.exe, внедрение общесистемного 2FA и запрет хранения учетных данных браузера.

Дополнительные меры, такие как отключение макросов, предотвращение выполнения внешних файлов в документах OneNote и настройка файлов JavaScript для открытия в текстовом редакторе, усиливают защиту.

#ParsedReport #CompletenessHigh
06-03-2024

Unveiling Earth Kapre aka RedCurls Cyberespionage Tactics With Trend Micro MDR, Threat Intelligence. Unveiling Earth Kapre aka RedCurl s Cyberespionage Tactics With Trend Micro MDR, Threat Intelligence

https://www.trendmicro.com/en_us/research/24/c/unveiling-earth-kapre-aka-redcurls-cyberespionage-tactics-with-t.html

Report completeness: High

Actors/Campaigns:
Red_wolf (motivation: cyber_espionage, information_theft)

Threats:
Crudler
Impacket_tool
Smbexec_tool
Netstat_tool

Geo:
Germany, Canada, Slovenia, Russia, Ukraine, Australia

ChatGPT TTPs:
do not use without manual check
T1566, T1193, T1059, T1053, T1071, T1105, T1027, T1041, T1036, T1583, have more...

IOCs:
File: 12
Path: 27
Url: 13
IP: 2
Command: 16
Registry: 4
Domain: 1
Hash: 13

Soft:
curl, Windows service

Algorithms:
aes, exhibit, sha256, 7zip

Win API:
InternetOpenA, InternetConnectA, BcryptDecrypt

Languages:
python, powershell

#ParsedReport #ExtractedSchema

Classified images:
windows: 24, schema: 7, table: 1, code: 1, dump: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - подробное расследование, проведенное командой Trend Micro Managed Extended Detection and Response (MDR) тактики, инструментов и техник кибершпионажной группы Earth Kapre, в котором освещается использование ими фишинговых кампаний, вредоносных вложений, законных инструментов для уклонения и методов утечки данных. Подчеркивается важность передовых решений для обнаружения угроз и реагирования на них, таких как предложения Trend Micro, для противодействия сложным субъектам угроз, таким как Earth Kapre, наряду с рекомендацией многоуровневого подхода к обеспечению безопасности для снижения потенциальных рисков.
-----

В записи блога обсуждается расследование, проведенное командой Trend Micro Managed Extended Detection and Response (MDR), которая обнаружила наборы вторжений, использованные группой кибершпионажа Earth Kapre в недавнем инциденте. Earth Kapre, также известная как RedCurl и Red Wolf, активно проводит фишинговые кампании, нацеленные на организации в разных странах. Группа использует фишинговые электронные письма, содержащие вредоносные вложения, такие как .файлы iso и .img, которые при открытии приводят к успешному заражению. Это приводит к созданию запланированных задач для сохранения и несанкционированному сбору и передаче конфиденциальных данных на серверы командования и контроля (C&C).

Команда MDR расследовала инцидент, в ходе которого загрузчиком Earth Kapre было заражено множество компьютеров, что указывает на потенциальную кражу данных. Earth Kapre использовала законные инструменты, такие как Powershell.exe и curl.exe для приобретения загрузчика последующей стадии, демонстрируя попытку влиться в сеть и избежать обнаружения. Группа также использовала помощник по совместимости программ (pcalua.exe) для выполнения вредоносных командных строк.

Дальнейшее расследование выявило использование curl.exe для загрузки файлов с определенных URL-адресов, что указывает на методы загрузки и выполнения вредоносной полезной нагрузки группой. Также было замечено использование методов запутывания, таких как повторное включение команд в пакетные файлы и их последующее удаление, чтобы избежать обнаружения. Impacket, набор классов Python с открытым исходным кодом для манипулирования сетевыми протоколами, был обнаружен в сети организации, что указывает на использование взаимодействий с сетевым протоколом Windows субъектами угроз.

Было обнаружено, что загрузчик Earth Kapre, распространяемый под случайно сгенерированными или запутанными именами файлов, подтверждает сетевые подключения и устанавливает связь с серверами C&C. Для сохранения были установлены запланированные задачи с разными именами задач и расположением файлов на зараженных компьютерах. Расследование выявило распространенность участия Earth Kapre в атаке, при этом серверы C&C подключались к определенным IP-адресам, широко используемым группой. Кроме того, было выявлено использование скриптов Impacket для несанкционированного выполнения команд, что подчеркивает изощренную тактику группы.

В записи блога подчеркивается критическая роль MDR в выявлении наборов вторжений и присвоении доказательств группам угроз кибершпионажа, таким как Earth Kapre. В нем подчеркивается важность передовых решений для обнаружения угроз и реагирования на них в противодействии сложным субъектам угроз и рекомендуется многоуровневый подход к обеспечению безопасности для снижения потенциальных рисков. Решения Trend Micro, такие как Trend Vision One, предлагающие многоуровневую защиту и обнаружение поведения, и Trend Micro Apex One, обеспечивающие автоматическое обнаружение продвинутых угроз, рекомендуются для повышения безопасности предприятия.

#ParsedReport #CompletenessLow
07-03-2024

Tales Of Valhalla March 2024. Nextron s Solutions for Enhanced Cybersecurity

https://www.nextron-systems.com/2024/03/05/tales-of-valhalla-march-2024

Report completeness: Low

Actors/Campaigns:
Ransomhouse
Earth_estries

Threats:
Supply_chain_technique
Hemigate
Cloudeye
Ironwind
Agent_tesla
Lokibot_stealer
Dll_sideloading_technique
Babuk
Avoslocker

TTPs:
Tactics: 1
Technics: 2

ChatGPT TTPs:
do not use without manual check
T1195, T1562, T1573, T1574, T1027, T1105

IOCs:
File: 2
Hash: 7

Soft:
Discord

Algorithms:
rc4

Platforms:
x86

Links:
https://github.com/strivexjun/AheadLib-x86-x64
https://github.com/SigmaHQ/sigma/blob/master/rules/windows/image\_load/image\_load\_side\_load\_libvlc.yml

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея: В тексте обсуждаются различные образцы вредоносных программ, таких как MrAgent, Guloader, HemiGate и IronWind, с подробным описанием их функциональных возможностей, используемых методов и связей с участниками угроз. Это также подчеркивает важность поставщиков услуг кибербезопасности в выявлении и анализе этих угроз для усиления мер безопасности.
-----

Сбор подписей, предлагаемый поставщиком услуг кибербезопасности, специально разработан для выявления различных угроз безопасности, таких как хакерские инструменты, следы, оставленные хакерами, необычное поведение пользователей, скрытые параметры конфигурации и законное программное обеспечение, которое потенциально может быть использовано в злонамеренных целях. Этот подход особенно эффективен при выявлении тактики, обычно используемой при атаках на цепочки поставок, и выявлении инструментов, которые могут обойти традиционные антивирусные системы и системы обнаружения конечных точек и реагирования (EDR).

Одним из изучаемых образцов является MrAgent, на который первоначально обратила внимание команда MalwareHunterTeam в связи с аналогичным образцом, используемым RansomHouse. Этот образец во время его загрузки в сентябре вызвал общее правило вредоносного по VMware ESX. MrAgent - это двоичный файл, созданный для работы с гипервизорами, основной целью которого является автоматизация и мониторинг развертывания программ-вымогателей в больших средах с многочисленными системами гипервизоров. Двоичный файл устанавливает обратные соединения с определенным набором серверов управления, при этом сведения о сервере должны быть предоставлены в качестве параметра командной строки.

Guloader выделяется как вредоносное ПО на основе шеллкода первой стадии, обычно используемое для загрузки других вариантов вредоносных программ, таких как Agent Tesla и Lokibot, среди прочих. Обнаруженный в 2019 году, Guloader остается активным по сей день. Исследования показывают, что многие из этих образцов представляют собой дампы памяти, извлеченные с помощью API VirusTotal (VT), обнаруживающие присутствие шеллкода GuLoader. Примечательно, что были случаи прямой загрузки шеллкода GuLoader в VT, причем некоторые поставщики систем безопасности быстро обнаруживали это. С другой стороны, HemiGate предстает как бэкдор, связанный с субъектом угрозы, идентифицированным как Earth Estries, о чем в прошлом году появился первый публичный отчет TrendMicro. После этого первоначального разоблачения было отслежено, как четыре отдельных образца HemiGate были загружены в VT в течение последующих месяцев. Самый последний образец, загруженный в начале января 2024 года, по поведению очень напоминает своих предшественников. Демонстрируя характеристики, сходные с имитацией libvlc.dll Библиотеки динамических ссылок (DLL), HemiGate использует методы боковой загрузки DLL, о чем свидетельствуют экспортируемые функции. Все экспортируемые данные, за исключением libvlc_new, остаются пустыми, при этом последний выполняет функции для расшифровки зашифрованной полезной нагрузки (бэкдор HemiGate) с помощью алгоритма шифрования RC4.

IronWind идентифицирован как загрузчик с начальным доступом, впервые опубликованный Proofpoint в ноябре прошлого года. Для получения подробной технической информации заинтересованные стороны могут обратиться к всестороннему анализу, предоставленному Proofpoint. После этого раскрытия был введен постоянный мониторинг для отслеживания случаев загрузки образцов IronWind в VirusTotal.

Кроме того, есть ссылка на правило обнаружения под названием "Потенциальная Libvlc.DLL Боковая загрузка", предназначенное для выявления потенциальных случаев боковой загрузки библиотеки DLL с использованием libvlc.dll, законной библиотеки DLL, обычно связанной с медиаплеером VLC. Специфика правила, автор, ссылки и связанная с ними информация приведены для контекста и дальнейшего изучения.

#ParsedReport #CompletenessMedium
07-03-2024

TODDLERSHARK: ScreenConnect Vulnerability Exploited to Deploy BABYSHARK Variant

https://www.kroll.com/en/insights/publications/cyber/screenconnect-vulnerability-exploited-to-deploy-babyshark

Report completeness: Medium

Actors/Campaigns:
Kimsuky

Threats:
Babyshark
Screenconnect_tool
Polymorphism_technique
Connectwise_rat
Junk_code_technique
Spear-phishing_technique
Reconshark

CVEs:
CVE-2024-1708 [Vulners]
CVSS V3.1: 8.4,
Vulners: Exploitation: Unknown
X-Force: Risk: 8.4
X-Force: Patch: Official fix
Soft:
- connectwise screenconnect (<23.9.8)

CVE-2024-1709 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 10
X-Force: Patch: Official fix
Soft:
- connectwise screenconnect (<23.9.8)


TTPs:

IOCs:
File: 3
Command: 14
Registry: 1
Path: 3
Url: 4
Domain: 1

Soft:
windows registry

Algorithms:
exhibit, base64

Languages:
powershell, visual_basic

Platforms:
x86, intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в уязвимости в ConnectWise ScreenConnect версий 23.9.7 и более ранних, использовании этой уязвимости субъектами угроз для удаленного выполнения кода, обнаружении новой вредоносной кампании, связанной с APT-группой Kimsuky, использовании полиморфных методов в вредоносном ПО для уклонения от обнаружения и важности о своевременном исправлении уязвимых приложений и внедрении упреждающих мер безопасности для смягчения киберугроз.
-----

ConnectWise ScreenConnect версий 23.9.7 и более ранних уязвим для эксплуатации, что требует немедленного исправления.

Была обнаружена вредоносная кампания, напоминающая BABYSHARK, связанная с APT-группой Kimsuky (KTA082).

Использует CVE-2024-1708 и CVE-2024-1709 для облегчения удаленного выполнения кода после аутентификации.

Поведение вредоносного ПО включает в себя сильно запутанный код, динамическую загрузку URL-адресов с сервера C2, модификации реестра и эксфильтрацию данных.

Вредоносное ПО нацелено на кражу системной информации и создание запланированных задач для потенциальных дальнейших вредоносных загрузок.

Сходство наводит на мысль об эволюционировавшей версии BABYSHARK, использующей полиморфные методы уклонения.

Подчеркивалась важность оперативного исправления уязвимых приложений для снижения рисков.

Особое внимание уделяется упреждающим мерам безопасности, регулярным оценкам безопасности и мониторингу аномалий для борьбы со сложными киберугрозами.

#ParsedReport #CompletenessLow
07-03-2024

JetBrains TeamCity Authentication Bypass vulnerability under Active Exploitation

https://cyble.com/blog/jetbrains-teamcity-authentication-bypass-vulnerability-under-active-exploitation

Report completeness: Low

Actors/Campaigns:
Lazarus
Andariel

Threats:
Supply_chain_technique
Mitm_technique

Geo:
Ireland, Germany

CVEs:
CVE-2024-27198 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- jetbrains teamcity (<2023.11.4)

CVE-2023-42793 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- jetbrains teamcity (<2023.05.4)

CVE-2024-27199 [Vulners]
CVSS V3.1: 7.3,
Vulners: Exploitation: True
X-Force: Risk: 7.3
X-Force: Patch: Official fix


ChatGPT TTPs:
do not use without manual check
T1190, T1068, T1210, T1560, T1199

IOCs:
IP: 11

Soft:
JetBrains TeamCity, TeamCity, JetBrains, TeamCity JetBrains

Languages:
swift

#ParsedReport #GeneratedSchema
Generated with GPT-4