#ParsedReport #CompletenessMedium
07-03-2024

Around We Go: Planet Stealer Emerges

https://inquest.net/blog/around-we-go-planet-stealer-emerges

Report completeness: Medium

Threats:
Planetstealer
Upx_tool
Smokeloader

Industry:
Financial, Healthcare, Education

TTPs:

ChatGPT TTPs:
do not use without manual check
T1566, T1583, T1588, T1496, T1027, T1041, T1560, T1573

IOCs:
Url: 4
IP: 1
Hash: 4

Soft:
Chromium, Telegram

Algorithms:
zip

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в появлении и анализе троянского проекта по краже информации под названием Planet Stealer, подчеркивающего важность отслеживания возможностей противников в сборе конфиденциальной информации и необходимость защитных механизмов для борьбы с такими угрозами. Кроме того, в нем обсуждаются функциональные возможности Planet Stealer, методы распространения, связь с другими угрозами и рекомендуемые стратегии защиты для смягчения их воздействия.
-----

Planet Stealer - это троян, крадущий информацию, разработанный в Go, предлагаемый как вредоносное ПО как услуга (MaaS) на подпольных форумах.

Троянец используется злоумышленниками для сбора конфиденциальной информации со скомпрометированных хостов, распространяется в виде исполняемых файлов и доставляется с помощью многоэтапной тактики заражения.

Planet Stealer взаимодействует с активным сервером управления (C2) посредством HTTP POST-запросов с использованием API, потенциально привязанных к одному субъекту угрозы или базовой инфраструктуре продавца вредоносного ПО.

Троянец может уклониться от полного анализа, используя методы уклонения, что потенциально повысит его долговечность и скрытность в будущих итерациях.

Примечательная функция эксфильтрации включает в себя использование Telegram для эксфильтрации данных с подключением к серверам C2, работающим на сервисе ASGI на основе Python, с определенными конечными точками, такими как /submit/info и /submit/file.

Были отмечены связи с другими угрозами, такими как SmokeLoader, и присутствие на подпольных форумах, таких как BreachForums и Hack Forums.

Для борьбы с такими угрозами, как Planet Stealer, предприятиям рекомендуется развертывать сетевые системы обнаружения и усиливать защиту путем перехвата и анализа трафика HTTP/HTTPS для эффективной борьбы с коммуникациями C2.

#ParsedReport #CompletenessMedium
07-03-2024

Ransomware Precursor Activity Traced to Compromised Vendor Account

https://www.esentire.com/blog/ransomware-precursor-activity-traced-to-compromised-vendor-account

Report completeness: Medium

Actors/Campaigns:
0ktapus (motivation: cyber_criminal)

Threats:
Cobalt_strike
Credential_dumping_technique

Geo:
Emea, America, Apac

TTPs:

IOCs:
Path: 1
Hash: 6
File: 6
Url: 2
Registry: 1
Domain: 2

Soft:
Active Directory, PsExec

Algorithms:
md5, zip

Languages:
powershell

Links:
https://github.com/esThreatIntelligence/iocs/blob/main/Threat%20Actor%20Leveraging%20Compromised%20RDP%20Sessions%20for%20Level.io%20RMM%20Deployment/iocs.txt

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Подразделение eSentire Threat Response Unit (TRU) активно отслеживает угрозы и повышает устойчивость организации, сотрудничая с командами безопасности клиентов для обнаружения потенциальных угроз по всей поверхности атаки и реагирования на них. В конкретном инциденте, связанном с киберпреступной группой Spider, TRU идентифицировала скомпрометированный хост, выделила разведку, извлечение учетных данных, сброс учетных данных, развертывание инструмента Level.io RMM и вредоносного ПО Cobalt Strike. Применяемая тактика подчеркивает важность тщательного мониторинга действий, проверки целостности программного обеспечения сторонних производителей и понимания стратегий постоянного доступа участников угроз.
-----

Подразделение реагирования на угрозы eSentire (TRU) - это специализированная команда, занимающаяся повышением устойчивости организации путем использования возможностей упреждающего поиска угроз и исследований. Эта элитная группа поддерживает круглосуточные операционные центры безопасности (SOCS) и вносит свой вклад в разработку моделей обнаружения угроз в рамках облачной платформы eSentire XDR. TRU тесно сотрудничает со службами безопасности клиентов, чтобы постоянно совершенствовать управляемые службы обнаружения и реагирования, обеспечивая всестороннюю видимость потенциальных угроз по всей поверхности атаки.

В конкретном инциденте, выявленном TRU в феврале 2024 года, скомпрометированный хост был обнаружен с помощью сеанса RDP, инициированного скомпрометированной учетной записью поставщика ИТ-услуг, которая выходила за рамки мониторинга. Исполнитель угрозы, стоящий за этим взломом, провел разведку домена, извлечение учетных данных, повышение привилегий и в конечном итоге развернул инструмент Level.io RMM, что привело к развертыванию вредоносного ПО Cobalt Strike. Наблюдаемые тактики, методы и процедуры (TTP) предполагают потенциальную связь с разрозненной киберпреступной группой Spider, хотя из-за ограниченной видимости первоначального заражения (нулевой пациент) эта оценка остается неубедительной.

Исполнитель угрозы попытался установить агент RMM уровня на хост с помощью сценария PowerShell и применил тактику сброса учетных данных, обратившись к диспетчеру задач и обнаружив скрытые файлы в каталоге. Развертывание полезной нагрузки Cobalt Strike наряду с дополнительными резервными вариантами подчеркивает стратегию постоянного доступа, обычно применяемую субъектами угроз для поддержания контроля над скомпрометированными хостами и установления соединений с серверами командования и контроля.

Разведывательные действия, попытки сброса учетных данных и маневры по повышению привилегий - это типичные начальные шаги, предпринимаемые субъектами угроз для сбора разведданных и расширения своего доступа в сети. Использование легальных инструментов, таких как PsExec и Task Manager, подчеркивает способность участников угроз перепрофилировать стандартные утилиты для вредоносных целей, подчеркивая важность тщательного мониторинга этих действий. Установка инструментов RMM, таких как Level.io, служит иллюстрацией целей злоумышленников по сохранению контроля над скомпрометированными системами, что требует проверки целостности программного обеспечения сторонних производителей в сетях организаций.

Использование полезных нагрузок Cobalt Strike в качестве средства установления постоянного доступа является примером распространенной тактики, применяемой субъектами угроз для обеспечения постоянного несанкционированного проникновения в сети и проведения дальнейших вредоносных операций. Акцент на повышении привилегий с использованием таких методов, как PsExec, подчеркивает цель злоумышленников получить повышенный доступ к системе, предоставив им неограниченный контроль над критически важными системными ресурсами и конфиденциальными данными.

#ParsedReport #CompletenessHigh
07-03-2024

Fenix Botnet Targeting LATAM Users. NarniaRAT

https://www.esentire.com/blog/fenix-botnet-targeting-latam-users

Report completeness: High

Threats:
Fenix
Narniarat
Process_injection_technique

Victims:
Latin american financial institutions, Government of mexico

Industry:
Education, Financial, Government

Geo:
Latam, American, Mexico

ChatGPT TTPs:
do not use without manual check
T1020, T1566, T1059, T1003, T1568, T1055, T1573, T1041

IOCs:
IP: 1
File: 6
Hash: 6
Url: 3
Domain: 1

Soft:
Chrome, Internet Explorer, Opera

Algorithms:
exhibit, xor, zip, md5

Win API:
QueueUserAPC

Languages:
rust, powershell

Links:
https://github.com/RussianPanda95/Yara-Rules/blob/main/NarniaRAT/mal\_NarniaRAT.yar
https://github.com/esThreatIntelligence/iocs/blob/main/BotnetFenix/botnetfenix\_iocs.txt
https://github.com/RussianPanda95/Yara-Rules/tree/main/FenixBotnet

#ParsedReport #ExtractedSchema

Classified images:
windows: 4, schema: 1, code: 6

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - подробное описание двух вариантов вредоносного ПО, NarniaRAT и BotnetFenix, используемых в кампании по борьбе с киберугрозами, нацеленной на латиноамериканских пользователей. Эти вредоносные программы обладают специфическими возможностями, такими как эксфильтрация файлов, мониторинг банковских операций, эксфильтрация данных, удаленное выполнение задач, кража банковских учетных данных и использование методов внедрения процессов. Кампания включает в себя принуждение жертв обманом загружать вредоносные файлы с поддельного правительственного веб-сайта, подчеркивая важность распознавания первоначальных переносчиков инфекции и необходимость постоянной осведомленности и просвещения об угрозах кибербезопасности. В тексте также подчеркивается необходимость механизмов обнаружения поведения и мониторинга сетевого трафика на предмет аномальных паттернов для эффективного обнаружения и смягчения этих угроз.
-----

Два варианта вредоносного ПО, NarniaRAT и BotnetFenix, являются частью кампании по борьбе с киберугрозами, нацеленной на латиноамериканских пользователей.

NarniaRAT извлекает файлы из определенных папок, отслеживает связанные с банком процессы в браузере и обладает возможностями извлечения данных.

BotnetFenix написан на Rust, выполняет такие задачи, как загрузка отражающего кода, выполнение команд PowerShell и загрузка программы-похитителя с именем "steal.crypt".

БотнетFenix может расшифровывать полезные данные, используя алгоритм XOR и жестко закодированные ключи, и взаимодействует с жестко закодированными серверами C2.

Кампания нацелена на латиноамериканских пользователей с помощью вредоносного zip-архива, замаскированного под веб-сайт правительства Мексики.

Полезная нагрузка устанавливает троянца удаленного доступа (RAT) с возможностями кражи информации и вовлекает скомпрометированные компьютеры в ботнет.

Угрозы направлены на кражу банковских учетных данных, подчеркивая опасность для финансовой безопасности.

Первоначальные переносчики заражения включают посещение вредоносных веб-сайтов, использование внедрения процессов для скрытого выполнения полезных нагрузок в рамках законных процессов.

Осознание опасностей, связанных с ненадежными сайтами, механизмы обнаружения поведения и мониторинг сетевого трафика имеют решающее значение для защиты.

Оба варианта вредоносного ПО создают серьезные последствия для конфиденциальности и безопасности данных благодаря таким функциям, как эксфильтрация данных, захват экрана, кейлоггинг и кража банковской информации.

#ParsedReport #CompletenessMedium
08-03-2024

Voicemail Themed Emails Tycoon Phishing-as-a-Service Platform

https://www.esentire.com/blog/voicemail-themed-emails-tycoon-phishing-as-a-service-platform

Report completeness: Medium

Actors/Campaigns:
Tycoon

Threats:
Antibot
Smuggling_technique

Industry:
Retail

Geo:
Apac, America, Emea

ChatGPT TTPs:
do not use without manual check
T1566, T1204.002, T1020, T1071.001, T1001, T1568.002, T1556.003, T1568.001, T1059, T1193, have more...

IOCs:
Domain: 2
File: 1
Url: 4

Soft:
Telegram

Algorithms:
xor

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста посвящена подразделению реагирования на угрозы eSentire (TRU) и их усилиям по повышению устойчивости организации с помощью комплексных служб обнаружения угроз и реагирования на них. Команда TRU сотрудничает с операционными центрами безопасности и группами безопасности клиентов, чтобы обеспечить полную видимость поверхности атаки организации, проводить проверку угроз, упреждающий поиск и оригинальные исследования для защиты от известных и неизвестных угроз. В тексте также обсуждается конкретный инцидент, связанный с фишинговой кампанией, и подчеркивается коммерциализация и изощренность фишинговых операций, подчеркивается необходимость постоянной адаптации мер безопасности для эффективного противодействия развивающимся угрозам.
-----

Подразделение eSentire по реагированию на угрозы (TRU) предлагает комплексные услуги по обнаружению угроз и реагированию на них, сотрудничая с операционными центрами безопасности (SoCs) и группами безопасности клиентов для улучшения управляемых служб обнаружения и реагирования.

TRU фокусируется на обеспечении полной видимости всей поверхности атаки организации с помощью глобальной проверки угроз, упреждающего поиска угроз и оригинального исследования угроз.

Недавний инцидент связан с тем, что eSentire отреагировала на фишинговую кампанию, направленную против пользователей розничного сектора, которые использовали взломанную учетную запись для рассылки фишинговых писем на тему голосовой почты, ведущих на поддельную страницу входа в Microsoft, размещенную на allo.io.

Фишинговый сайт использовал запрос CloudFlare Turnstile prompt, запутанный код и пытался извлечь IP-адреса пользователей и информацию о браузере.

Связь с ailinux.ru выявила подключение к панели управления TycoonGroup, платформе фишинга как услуги, предлагающей различные функции для облегчения атак и уклонения от обнаружения.

Фишинговые кампании часто рассчитываются стратегически для достижения максимального эффекта, используются такие методы, как контрабанда HTML, для внедрения вредоносных полезных данных и требуют многоуровневых стратегий безопасности для эффективной защиты.

Коммерциализация таких платформ, как TycoonGroup, демонстрирует изощренность фишинговых операций и подчеркивает необходимость постоянной адаптации мер безопасности для противодействия развивающимся угрозам.

#ParsedReport #CompletenessLow
08-03-2024

New Malware Campaign Found Exploiting Stored XSS in Popup Builder < 4.2.3

https://blog.sucuri.net/2024/03/new-malware-campaign-found-exploiting-stored-xss-in-popup-builder-4-2-3.html

Report completeness: Low

Threats:
Balada_injector

Victims:
Popup builder wordpress plugin users

ChatGPT TTPs:
do not use without manual check
T1190, T1064, T1070.004, T1102.002, T1550.004, T1485, T1562.001

IOCs:
Domain: 2
Url: 1

Soft:
WordPress

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - о новой кампании Balada Injector, нацеленной на уязвимость в плагине WordPress Popup Builder, приводящую к многочисленным заражениям веб-сайтов. В тексте подчеркивается важность тщательной очистки, обнаружения скрытых бэкдоров и обновления плагина для предотвращения повторного заражения. Кроме того, в нем упоминается роль аналитика по безопасности Пуджи Шриваставы в борьбе с вредоносными угрозами и предоставлении экспертных знаний в области обнаружения вредоносных программ и устранения их последствий.
-----

В январе была обнаружена новая кампания Balada Injector, использующая уязвимость в плагине WordPress Popup Builder, раскрытую Марком Монпасом в ноябре 2023 года. В последнее время наблюдается рост числа атак, нацеленных на ту же уязвимость, которые заразили более 3300 веб-сайтов по данным PublicWWW и 1170 сайтов, обнаруженных SiteCheck. Злоумышленники используют уязвимость для внедрения вредоносного кода в пользовательский раздел JS или CSS интерфейса администратора WordPress, хранящийся в таблице базы данных wp_postmeta. Два варианта вредоносного кода были идентифицированы как вредоносное ПО?pbuilder_injection.1.x с помощью проверки сайта.

Если веб-сайт скомпрометирован, необходима тщательная очистка. Хотя удаление вредоносной инъекции из интерфейса Popup Builder является временным решением, вредоносная программа быстро повторно заражает скомпрометированные среды. Чтобы предотвратить повторное заражение, необходимо обнаружить и удалить скрытые бэкдоры, а также исключить любых незнакомых администраторов сайта или вредоносный код. Обновление плагина Popup Builder до последней версии после очистки имеет решающее значение для обеспечения безопасности сайта. Владельцам веб-сайтов настоятельно рекомендуется поддерживать обновления программного обеспечения и исправления безопасности или использовать брандмауэр веб-сайта для виртуального устранения уязвимостей, если немедленные обновления невозможны.

Пуджа Шривастава, аналитик по безопасности, занимается борьбой с новыми и необнаруженными вредоносными угрозами, имея богатый опыт в области исследований вредоносных программ и обеспечения безопасности, охватывающий более 7 лет. Опыт Пуджи заключается в обнаружении вредоносных программ, мониторинге и исправлении ошибок на веб-сайтах. В дополнение к своей роли она проводит тренинги, перекрестное обучение и наставничество для новых аналитиков и занимается повышением квалификации. Вне работы Пуджа любит исследовать новые места и кухни, экспериментировать с приготовлением пищи и играть в шахматы.

От имени нашего бездушного ИИ поздравляем всех девушек этого канала с Международным женским днем!

Отличный канал Кирилла Митрофанова, посвященный TI и инструментам для работы с ним.

https://t.me/qb_channel

#ParsedReport #CompletenessLow
09-03-2024

NetKiller.Condi Botnet Exploits CVE-2024-0778 One Week After Disclosure

https://www.akamai.com/blog/security-research/2024/mar/netkiller-condi-botnet-exploits-camera

Report completeness: Low

Threats:
Mirai
Condi
Netkiller_botnet
Sora_botnet

Geo:
Vietnam

CVEs:
CVE-2013-7471 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: 7.3
X-Force: Patch: Unavailable
Soft:
- dlink dir-300 firmware (2.14b01)
- dlink dir-600 firmware (<2.17b01)
- dlink dir-645 firmware (<1.04b11)
- dlink dir-845 firmware (<1.02b03)
- dlink dir-865 firmware (1.05b03)
have more...
CVE-2017-17215 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Unavailable
Soft:
- huawei hg532 firmware (-)

CVE-2014-8361 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 8.3
X-Force: Patch: Official fix
Soft:
- dlink dir-905l firmware (le1.02)
- dlink dir-605l firmware (le1.13, le2.04)
- dlink dir-600l firmware (le1.15, le2.05)
- realtek realtek sdk (-)
- dlink dir-619l firmware (le1.15, le2.03)
have more...
CVE-2024-0778 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: 9.8
X-Force: Patch: Unavailable
Soft:
- uniview isc 2500-s firmware (le20210930)


ChatGPT TTPs:
do not use without manual check
T1190, T1068, T1071, T1566, T1105, T1027, T1046, T1583, T1584, T1059, have more...

IOCs:
File: 5
Domain: 6
IP: 15
Hash: 11

Soft:
Hadoop

Algorithms:
sha256

Languages:
php

Links:
https://github.com/topics/condi-botnet
https://github.com/dezhoutorizhao/cve/blob/main/rce.md

#ParsedReport #ExtractedSchema

Classified images:
code: 1, schema: 1