#ParsedReport #CompletenessMedium
13-03-2024

CVE-2024-21412: DarkGate Operators Exploit Microsoft Windows SmartScreen Bypass in Zero-Day Campaign

https://www.trendmicro.com/en_us/research/24/c/cve-2024-21412--darkgate-operators-exploit-microsoft-windows-sma.html

Report completeness: Medium

Actors/Campaigns:
Water_hydra

Threats:
Darkgate
Amos_stealer
Rhadamanthys
Motw_bypass_technique
Dll_sideloading_technique
Process_injection_technique
Process_hollowing_technique

Geo:
Africa, America, Asia

CVEs:
CVE-2023-36025 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- microsoft windows 10 1507 (-)
- microsoft windows 10 1607 (-)
- microsoft windows 10 1809 (-)
- microsoft windows 10 21h2 (-)
- microsoft windows 10 22h2 (-)
have more...
CVE-2024-21412 [Vulners]
CVSS V3.1: 8.1,
Vulners: Exploitation: True
X-Force: Risk: 8.1
X-Force: Patch: Official fix
Soft:
- microsoft windows 10 1809 (<10.0.17763.5458)
- microsoft windows 10 21h2 (<10.0.19044.4046)
- microsoft windows 10 22h2 (<10.0.19045.4046)
- microsoft windows 11 21h2 (<10.0.22000.2777)
- microsoft windows 11 22h2 (<10.0.22621.3155)
have more...

TTPs:
Tactics: 1
Technics: 2

ChatGPT TTPs:
do not use without manual check
T1566, T1204, T1553.005, T1574, T1059, T1027, T1105, T1055, T1082, T1112, have more...

IOCs:
Domain: 2
File: 12
Hash: 10
Path: 1
Registry: 1

Soft:
macOS, Windows Defender SmartScreen, Microsoft Defender

Algorithms:
md5, sha256, zip, base64, xor

Functions:
GetHandleVerifier

Win API:
decompress, VirtualProtect, EnumWindows, VirtualAlloc, LoadLibraryA, GetProcAddress, GetTickCount, GetSystemInfo

Languages:
autoit, delphi

Platforms:
apple, x86, x64

#ParsedReport #ExtractedSchema

Classified images:
windows: 24, schema: 1, dump: 4, code: 13

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
В тексте обсуждается кампания DarkGate, выявленная инициативой Zero Day, которая использовала уязвимости с помощью поддельных установщиков программного обеспечения и PDF-файлов, содержащих перенаправления Google DDM, для компрометации систем вредоносным ПО DarkGate. Кампания приписывается финансово мотивированным злоумышленникам, использующим передовые методы уклонения, подчеркивая риски, связанные с неофициальными установщиками программного обеспечения. Клиенты Trend Micro были защищены от угрозы нулевого дня, и Microsoft выпустила исправление для устранения уязвимости.
-----

Инициатива нулевого дня (ZDI) недавно выявила кампанию DarkGate в середине января 2024 года, использующую CVE-2024-21412 с помощью поддельных установщиков программного обеспечения. В кампании использовались PDF-файлы, содержащие перенаправления Google DoubleClick Digital Marketing (DDM) на скомпрометированные сайты, на которых размещен обходной код SmartScreen CVE-2024-21412, что приводит к вредоносным установщикам Microsoft (.MSI). Эти установщики маскировались под легальное программное обеспечение, такое как Apple iTunes, Notion и NVIDIA, заражая пользователей вредоносным ПО DarkGate. DarkGate, работающий по модели "вредоносное ПО как услуга" (MaaS), представляет собой сложный штамм, часто используемый финансово мотивированными участниками угроз по всему миру. Эта кампания была частью анализа нулевого дня Water Hydra APT, подчеркивающего важность осторожного отношения к неофициальным установщикам программного обеспечения. Клиенты Trend Micro были защищены от этого "нулевого дня" с 17 января, а Microsoft официально исправила CVE-2024-21412 13 февраля.

Злоумышленники все чаще злоупотребляют технологиями Google Ads, включая открытые перенаправления в Google DDM, для распространения вредоносных программ. Используя уязвимости, такие как CVE-2024-21412, злоумышленники запустили цепочку заражения DarkGate, используя PDF-файлы с открытыми перенаправлениями на скомпрометированные серверы. С помощью серии интернет-файлов быстрого доступа и .Пакеты MSI, использующие CVE-2023-36025, DarkGate загрузили библиотеку DLL для расшифровки и развертывания полезной нагрузки вредоносного ПО. DarkGate также использовала метод боковой загрузки DLL с участием NVIDIA Share.exe для загрузки троянской библиотеки libcef.библиотека dll расшифровывала последующие полезные загрузки с использованием мастер-ключей и пользовательских алгоритмов XOR. Кампания продемонстрировала использование операторами DarkGate различных легальных приложений для дополнительной загрузки библиотек DLL, структурирования компонентов вредоносного ПО таким образом, чтобы избежать обнаружения.

Развертывание полезной нагрузки DarkGate включало автоматическую загрузку PE-файла в память с помощью загрузчика AutoIt и запуск троянца удаленного доступа DarkGate (RAT) через сложную цепочку шагов расшифровки и выполнения. RAT версии 6 DarkGate, предлагаемый как MaaS на форумах по киберпреступности, включает шифрование XOR для настройки и использует защиту от ntdll.подключение dll и динамическое разрешение API для избежания обнаружения. Вредоносная программа регистрирует зараженные системы на сервере C&C с помощью зашифрованных HTTP POST-запросов, демонстрируя сложные возможности уклонения.

#ParsedReport #CompletenessLow
13-03-2024

.NET Malware 101: Analyzing the .NET Executable File Structure

https://intezer.com/blog/incident-response/intro-to-malware-net-executable-file

Report completeness: Low

Actors/Campaigns:
Killnet

Threats:
Locky
Redline_stealer
Cryptoclippy
Doublezero
Hatef
Quasar_rat
Nanocore_rat
Sunburst

Industry:
Financial

Geo:
Israel

ChatGPT TTPs:
do not use without manual check
T1027, T1027.002, T1547, T1059, T1064, T1112, T1584.006

IOCs:
File: 3
Hash: 1

Soft:
NET Framework, NET Core, macOS

Functions:
DeleteDiscoveryProfileInternal

Win API:
MessageBox

Win Services:
bits

Platforms:
cross-platform

Links:
https://github.com/icsharpcode/ILSpy
https://github.com/dnSpy/dnSpy
https://github.com/dotnet/core

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
В тексте подробно исследуется мир реверс-инжиниринга вредоносных программ .NET, подчеркивается важность понимания структур кода вредоносных программ .NET для эффективной защиты от кибербезопасности. В нем обсуждается, как вредоносное ПО в .NET сложно анализировать из-за запутывания и меняющегося поведения, и подчеркивается популярность фреймворка как среди разработчиков, так и среди кибератакеров. Обсуждение охватывает библиотеку классов Framework, эволюционирующий ландшафт угроз, контролируемое выполнение управляемых языков, сложности управления памятью, анализ метаданных, методы кодирования и инструменты для анализа вредоносных программ .NET. В конечном счете, текст направлен на то, чтобы дать читателям знания и навыки, необходимые для анализа угроз на базе .NET и защиты от них с помощью обратного проектирования.
-----

В тексте содержится подробное исследование мира реверс-инжиниринга вредоносных программ .NET, подчеркивается важность понимания структур кода, лежащих в основе вредоносных программ .NET, для эффективного противодействия киберугрозам. В нем подчеркивается популярность .NET framework пользуется популярностью как у легальных разработчиков, так и у авторов вредоносных программ благодаря удобному процессу разработки и богатому набору функций. Вредоносное ПО, разработанное в .NET, может быть сложным для анализа из-за методов запутывания и его способности изменять поведение или скрываться, что затрудняет обнаружение и обратное проектирование.

В тексте обсуждается значение библиотеки классов Framework (FCL) в рамках .NET framework, предоставляющей разработчикам ряд функциональных возможностей для различных приложений. В нем также затрагивается меняющийся ландшафт угроз, где кибератаки постоянно используют адаптируемые.Сетевая платформа для создания сложных угроз, таких как программы-вымогатели, похитители учетных данных, банковские трояны, деструктивные очистители, трояны удаленного доступа и загрузчики вредоносных программ.

Кроме того, в тексте объясняется контролируемое выполнение управляемых языков, таких как C#, F# или VB.NET, средой выполнения через Intermediate Language (IL). В нем рассматриваются сложности и обязанности, связанные с управлением памятью и обработкой ошибок в контексте анализа вредоносных программ, подчеркивается важность понимания неуправляемых функций для обхода мер защиты управляемой среды.

Кроме того, в тексте рассматриваются метаданные внутри .Внутренние компоненты NET, детализирующие такие таблицы, как TypeDef, MethodDef, FieldDef и CustomAttribute, которые хранят описательную информацию о сборках, классах, методах и пользовательских атрибутах. Пример анализа таблиц метаданных приведен с помощью вредоносной программы Sunburst (SolarWinds).

В нем также объясняются методы кодирования тел методов в .NET, включая форматы Tiny и Fat, и демонстрируется, как такие инструменты, как dnSpy и IDA, могут использоваться для анализа и понимания инструкций и кодов операций внутри .NET вредоносов.

В конечном счете, цель текста - прояснить процесс обратного проектирования .NET, снабдить читателей необходимыми знаниями для анализа .NET-файлов, получить представление о функциональности вредоносных программ и усилить защиту от угроз. Анализируя сложности .NET framework, текст закладывает основу для развития у отдельных лиц навыков и знаний, необходимых для эффективного анализа и противодействия.Сетевые угрозы посредством обратного проектирования.

Как мне кажется - это пример достаточно неплохого и понятного графического представления TTP и последовательности их применения.
Нашим TI-аналитикам на заметку :)

#technique

LTair: The LTE Air Interface Tool

In this blog post, we introduce LTair, a tool that allows NCC Group to perform different attacks on the LTE Control Plane via the air interface. It gives NCC the capability to assess the correct implementation of the LTE standard in operators’ systems and user equipment.

https://research.nccgroup.com/2024/03/14/ltair-the-lte-air-interface-tool/

#ParsedReport #CompletenessMedium
14-03-2024

Unveiling the depths of Residential Proxies providers

https://blog.sekoia.io/unveiling-the-depths-of-residential-proxies-providers

Report completeness: Medium

Actors/Campaigns:
Duke (motivation: cyber_espionage)
0ktapus

Threats:
Residential_proxy_technique
Lumiproxy_tool
Pias5proxy_tool
Abcproxy_tool
922proxy_tool
Lunaproxy_tool
Piaproxy_tool
Supply_chain_technique
Luminati_tool
Iproyal_pawns_tool
Tron
Revsocks
Upx_tool
Password_spray_technique
Fineproxy
Rayobyte
Caffeine_tool
Aitm_technique
Adload_loader
Ipstorm
Spyder
Thunderproxy
Peer2profit_tool

Industry:
Government, Iot, Financial, Telco, Retail, E-commerce, Media

Geo:
Hongkong, Russia, Cyprus, Russian, France, Philippine

ChatGPT TTPs:
do not use without manual check
T1020, T1583, T1071, T1090, T1059, T1203, T1047

IOCs:
Coin: 1
IP: 8
Domain: 36
File: 19

Soft:
Telegram, WhatsApp, Discord, Android, crontab, macOS, VALORANT

Crypto:
ethereum, bitcoin, binance

Platforms:
arm, x64

#ParsedReport #ExtractedSchema

Classified images:
code: 1, windows: 1, chart: 2, schema: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
В тексте обсуждается, как локальные прокси используются для сокрытия источников подключения к Интернету для повышения конфиденциальности или доступа к контенту с географическим ограничением. В нем подчеркивается растущая угроза, исходящая от фрагментированной и нерегулируемой экосистемы локальных прокси, используемых как в законных, так и в злонамеренных целях. В тексте подчеркивается необходимость повышения бдительности при выявлении источников трафика и защите от связанных с этим рисков с помощью осторожного и хорошо информированного подхода к управлению сетевым трафиком. В нем также затрагивается использование локальных прокси-серверов в киберпреступной деятельности, такой как DDoS-атаки, кибершпионаж и финансово мотивированные кампании по распространению вредоносных программ, а также этические проблемы, связанные с их поставщиками, и проблемы с обнаружением и атрибуцией вредоносных действий.
-----

Локальные прокси-серверы используются для маскировки истинного источника интернет-соединения, создавая растущую угрозу в киберпространстве из-за фрагментированных и нерегулируемых провайдеров, использующих вводящие в заблуждение методы для получения миллионов хостов и IP-адресов.

Microsoft предупредила о том, что российская разведывательная служба SVR использует службу локальных прокси-серверов (RESIP) для шпионской деятельности.

Повторные запросы являются неотъемлемой частью киберпреступности, включая DDoS-атаки, шпионаж и финансово мотивированные кампании вредоносного по, при этом провайдеры открыто размещают рекламу на форумах и в открытом доступе в Интернете.

Провайдеры дифференцируют себя на основе таких факторов, как размер пула IP-адресов, стимулы для увеличения объема трафика, способы оплаты, включая криптовалюты, и отсутствие мер "Знай своего клиента" (KYC).

Некоторые поставщики услуг RESIP проводят ребрендинг и принимают криптовалюты, при этом взаимосвязанные организации совместно используют инфраструктуру и каналы обмена криптовалютами.

Сети RESIP получают IP-адреса различными способами, включая вовлечение пользователей, встраивание прокси-программ в программное обеспечение и незаконный взлом устройств.

Несмотря на усилия правоохранительных органов, сохраняются проблемы, связанные с перебоями в предоставлении услуг RESIP из-за конкурентного и неструктурированного характера рынка.

Распространение сервисов greyhat RESIP усложняет обнаружение и атрибуцию вредоносных действий, что указывает на растущее внедрение в более широкую экосистему угроз.

#ParsedReport #CompletenessMedium
14-03-2024

Beware of information-stealing malicious code disguised as installation file

https://asec.ahnlab.com/ko/62976

Report completeness: Medium

Threats:
Stealc
Heavens_gate_technique
Vidar_stealer
Lumma_stealer

Geo:
Korea

ChatGPT TTPs:
do not use without manual check
T1566.002, T1204.002, T1027, T1059, T1055, T1574.002, T1546.011

IOCs:
File: 7
Hash: 10
Url: 27

Soft:
Discord, Telegram

Algorithms:
md5

Languages:
autoit

Platforms:
x64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея: Злоумышленники распространяют вредоносное ПО StealC, замаскированное под установщиков программного обеспечения, через различные платформы, используя сложные методы для кражи конфиденциальной информации. Вредоносная программа демонстрирует поведение, сходное с другими вредоносными программами, занимающимися кражей информации, и подчеркивает эволюционирующий характер киберугроз, подчеркивая важность бдительности и надежных мер кибербезопасности для борьбы с такой вредоносной деятельностью.
-----

Вредоносная программа StealC распространяется под видом установщика через такие платформы, как Discord, GitHub, Dropbox.

Предназначен для кражи конфиденциальной информации: сведений о системе, данных браузера, информации о криптовалютном кошельке, сообщений Discord, данных Telegram, содержимого электронной почты.

Методы, аналогичные вредоносному ПО, распространяемому в виде программных взломов; использует имена файлов, подобные setup_2024.008.20534_win64_86.exe.

Выполняется путем загрузки закодированных вредоносных данных с сайта, размещающего изображения, включая командный код и двоичные файлы для вредоносных действий.

Использует ручное отображение ntdll и технику Heaven's Gate для обхода мер безопасности.

Внедряется в автоматические Ит-процессы, чтобы избежать обнаружения; поведение аналогично вредоносному ПО Vidar.

Vidar может получать командные адреса с таких платформ, как Steam и Telegram.

Эволюционирующий характер вредоносного ПО демонстрируется новыми образцами с теми же вредоносными операциями, но разными техниками или общими адресами C2.

AhnLab предоставляет диагностические данные и хэши MD5 для обнаружения и анализа.

Пользователям рекомендуется соблюдать осторожность при загрузке исполняемых файлов и запускать файлы только из официальных источников, чтобы избежать вредоносного ПО StealC.

#ParsedReport #CompletenessLow
14-03-2024

Empty heading. The Anatomy of an ALPHA SPIDER Ransomware Attack

https://www.crowdstrike.com/blog/anatomy-of-alpha-spider-ransomware

Report completeness: Low

Actors/Campaigns:
Alpha_spider

Threats:
Blackcat
Cobalt_strike
Systembc
Pwnkit_tool
Nmap_tool
Masscan_tool
Koloveeam_tool
Winrm_tool
Lolbin_technique
Motw_bypass_technique

CVEs:
CVE-2021-21972 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- vmware vcenter server (6.5, 6.7, 7.0)
- vmware cloud foundation (<3.10.1.2, <4.2)

CVE-2021-40347 [Vulners]
CVSS V3.1: 5.4,
Vulners: Exploitation: Unknown
X-Force: Risk: 8.2
X-Force: Patch: Official fix
Soft:
- postorius project postorius (<1.3.5)

CVE-2021-44529 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- ivanti endpoint manager cloud services appliance (le4.5, 4.6)


ChatGPT TTPs:
do not use without manual check
T1564.004, T1190, T1068, T1070.004, T1543.003, T1556.001, T1218.003, T1552.004, T1562.001, T1036.005, have more...

IOCs:
File: 4
Path: 1

Soft:
ESXi, Ivanti, Microsoft SQL Server Management Studio, Windows Service

Crypto:
bitcoin

Languages:
rust, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что ALPHA SPIDER, группа исполнителей угроз, активно проводит операции с программами-вымогателями, используя инновационные и традиционные методы, представляя значительную угрозу для организаций. Несмотря на их успешные операции, отсутствие конкретных оперативных мер безопасности оставляет защитникам возможность эффективно обнаруживать их действия и реагировать на них.
-----

Исполнитель угроз, известный как ALPHA SPIDER, стоит за программой-вымогателем Alphv, активно проводя операции с программами-вымогателями с использованием инновационных методов.

Филиалы ALPHA SPIDER используют такие тактики, как использование уязвимостей в устройствах GNU/Linux, альтернативные потоки данных и вмешательство в файлы конфигурации сети, чтобы обойти меры безопасности.

Alphv ransomware-as-a-service предлагает расширенные функции, включая варианты программ-вымогателей, нацеленные на несколько операционных систем, и настраиваемый вариант, который ежечасно перестраивается, чтобы избежать обнаружения антивирусом.

Филиалы ALPHA SPIDER нацелены на инфраструктуру виртуализации жертв, используют такие инструменты, как Cobalt Strike и SystemBC, для разведки и используют уязвимости программного обеспечения, такие как CVE-2021-44529 и CVE-2021-40347, для первоначального доступа и повышения привилегий.

Исполнитель угроз, известный как Threat Actor 1, провел обширное сетевое обнаружение с использованием таких инструментов, как Nmap, mitm6 и responder, нацелился на утилиту резервного копирования Veeam для извлечения учетных данных и использовал альтернативные потоки данных и программное обеспечение MEGA client для эксфильтрации.

Несмотря на их изощренные методы, отсутствие конкретных оперативных мер безопасности у филиалов ALPHA SPIDER предоставляет правозащитникам возможности для эффективного обнаружения и реагирования.

#ParsedReport #CompletenessMedium
14-03-2024

Unveiling the depths of residential proxies providers

https://www.orangecyberdefense.com/global/blog/research/residential-proxies

Report completeness: Medium

Actors/Campaigns:
Duke (motivation: cyber_espionage)
0ktapus
Proxynation

Threats:
Residential_proxy_technique
Lumiproxy_tool
Pias5proxy_tool
Abcproxy_tool
922proxy_tool
Lunaproxy_tool
Piaproxy_tool
Supply_chain_technique
Luminati_tool
Iproyal_pawns_tool
Tron
Revsocks
Upx_tool
Password_spray_technique
Fineproxy
Rayobyte
Caffeine_tool
Aitm_technique
Adload_loader
Ipstorm
Spyder
Thunderproxy
Boostyproxy
Socksescort
Bhproxies
Peer2profit_tool

Victims:
Microsoft, Philippine media company rappler, Macos systems and windows users

Industry:
Media, Retail, Telco, Government, E-commerce, Financial, Iot

Geo:
Russian, Hongkong, Russia, Philippine, France, Cyprus

ChatGPT TTPs:
do not use without manual check
T1583, T1071, T1566, T1027, T1110, T1557, T1496, T1571, T1046, T1190, have more...

IOCs:
Coin: 1
IP: 8
Domain: 36
File: 19

Soft:
Telegram, WhatsApp, Discord, Android, crontab, macOS, VALORANT

Crypto:
ethereum, bitcoin, binance

Platforms:
arm, x64