#ParsedReport #CompletenessLow
24-03-2024

APT-C-09. 1. Analysis of attack activities

https://mp.weixin.qq.com/s?__biz=MzUyMjk4NzExMA==&mid=2247495954&idx=1&sn=d1b69cdc1465a9c0c033fe88e5c9ce51

Report completeness: Low

Actors/Campaigns:
Dropping_elephant

Victims:
Palestinian federal tax office

Geo:
Palestinian, Pakistan, Asian

ChatGPT TTPs:
do not use without manual check
T1195, T1566, T1547, T1071, T1027, T1573, T1041

IOCs:
Hash: 2
Url: 3
File: 3

Algorithms:
rc4, aes, base64, md5

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
code: 7, windows: 1, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - анализ кибератаки, приписываемой организации Mahagrass, с подробным описанием тактики и методов, используемых группой threat actor, а также их эволюции в использовании полезных бэкдоров на основе C#. Анализ подчеркивает настойчивость группы, адаптацию к мерам безопасности, историческую ориентацию на конкретные регионы и постоянные усилия по совершенствованию своих вредоносных инструментов для будущих операций.
-----

Проанализированный образец выявляет кибератаку, соответствующую тактике организации Mahagrass. Атака включает использование вредоносных файлов lnk для загрузки документов-приманки и полезной нагрузки с удаленных серверов, создания запланированных задач для сохранения и использования URL-адресов, содержащих строки "b-cdn.net". Вредоносная полезная нагрузка содержит подпись "RUNSWITHSCISSORS LTD", характерную для предыдущих действий группы Mahagrass. Примечательно, что значение IV в алгоритме AES соответствует значению, ранее определенному в анализе, связанном с Махараштрой, что указывает на потенциальную связь. Кроме того, формат URL для загрузки данных отражает прошлые действия. Использование алгоритма RC4 и определенных ключевых начальных символов еще больше увязывает эту атаку с предыдущими действиями Mahaca. Выбор злоумышленником адреса для загрузки в Пакистане в сочетании с историческими нападениями на Федеральное налоговое управление Палестины усиливает подозрения в принадлежности к группе Mahagrass.

APT-C-09 Mahagrass, также известный как White Elephant, Patchwork и Dropping Elephant, является объектом повышенной постоянной угрозы (APT), возникшим в Южной Азии и активно действующим с 2015 года. Известная тем, что нацелена на соседние страны с целью кражи конфиденциальной информации, организация постоянно совершенствует свою тактику обхода сетевой безопасности. Недавние наблюдения указывают на использование полезных бэкдоров на основе C#, что свидетельствует о расширении возможностей злоумышленника. Это дополнение является отходом от их предыдущих атак, предполагая новый этап в разработке их вредоносных инструментов. Переход к полезным нагрузкам на C# означает постоянные усилия Mahagrass по расширению своих арсеналов и адаптации к меняющимся мерам безопасности.

Фишинговый файл, использованный при атаке, запускает PowerShell для выполнения вредоносных инструкций при открытии файла lnk. Это действие инициирует загрузку содержимого-приманки и вредоносных полезных нагрузок с определенных URL-адресов, а также обеспечивает сохранение с помощью запланированных задач. Загруженная полезная нагрузка шифрует такие данные, как MAC-адрес, имя хоста, выполненные команды и результаты, которые впоследствии отправляются обратно на сервер C2. Процесс шифрования включает методы RC4 и Base64 перед передачей данных с использованием POST-запроса на указанный адрес сервера.

Принимая во внимание исторический контекст, Mahagrass постоянно участвовала в кибератаках, нацеленных на Пакистан и соседние страны, сохраняя постоянное внимание к своим целям. Преступники, стоящие за группой APT-C-09, демонстрируют твердую решимость постоянно совершенствовать свои методы атаки и адаптироваться к контрмерам. Внедрение полезных бэкдоров C# означает расширение их возможностей, что свидетельствует о намерении развивать и диверсифицировать их инструменты для будущих операций. В то время как текущая полезная нагрузка на C# относительно проста, организация, вероятно, со временем усложнит свой вредоносный код, что потребует постоянного изучения их эволюционирующей тактики.

#ParsedReport #CompletenessLow
24-03-2024

Cybercriminals Accelerate Online Scams During Ramadan and Eid Fitr

https://www.resecurity.com/blog/article/cybercriminals-accelerate-online-scams-during-ramadan-and-eid-fitr

Report completeness: Low

Actors/Campaigns:
Smishing_triad (motivation: cyber_criminal)

Industry:
Financial, Transport, Government, Logistic, E-commerce, Retail

Geo:
Mena

ChatGPT TTPs:
do not use without manual check
T1566, T1598, T1199, T1114, T1606, T1566.002, T1110, T1589, T1059

IOCs:
Domain: 12

Soft:
iMessage, WhatsApp

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что во время Рамадана наблюдается значительный рост мошеннических действий, направленных против ближневосточных предприятий, особенно в секторе электронной коммерции в Саудовской Аравии. Киберпреступники используют онлайн-платформы с помощью различных тактик, таких как выдача себя за поставщиков логистических услуг, фишинговые схемы, нацеленные на финансовые учреждения и платформы, такие как SADAD, и использование многоступенчатых фишинговых наборов для перехвата 2FA и OTP. Эти мероприятия привели, по оценкам, к финансовому эффекту в размере от 70 до 100 миллионов долларов, что сказалось на экспатриантах, жителях и посетителях региона. Служба безопасности приняла меры по блокировке мошеннических сайтов, и для интернет-пользователей крайне важно проявлять осторожность при обмене личной и платежной информацией, чтобы снизить потенциальные риски мошенничества.
-----

Всплеск мошеннических действий, направленных против ближневосточных предприятий во время Рамадана.

Предполагаемый финансовый эффект составит 70-100 миллионов долларов, что затронет экспатриантов, местных жителей и иностранных гостей.

Выдача себя за поставщиков логистических услуг, таких как Aramex, SMSA Express и Zajil Express, посредством вводящих в заблуждение SMS-сообщений.

Жертв обманом заставляли совершать немедленные платежи или раскрывать данные кредитной карты и онлайн-банкинга.

Личная информация часто используется в Даркнете для дальнейших мошеннических схем.

Мошенники имитируют платежные формы финансовых учреждений, таких как SNB и Riyad Bank, для получения конфиденциальной информации.

Фишинговые схемы, нацеленные на учетные данные для входа на такие платформы, как SADAD, широко используемые для оплаты счетов в Саудовской Аравии.

Использование многоступенчатых фишинговых наборов для перехвата 2FA или OTP-сообщений, обеспечивающих несанкционированный доступ к учетной записи.

Мошенники вербуют жертв в качестве "денежных мулов" с помощью информации, связанной с работой, в рамках фишинговых схем.

Мошеннический таргетинг на официальные программы, такие как Ajeer и Ejar, путем создания поддельных предложений о работе с целью эксплуатации работников.

Служба безопасности заблокировала более 320 мошеннических сайтов, выдающих себя за ключевых поставщиков логистических услуг и услуг электронного правительства на Ближнем Востоке.

Пользователям Интернета рекомендуется избегать обмена личной и платежной информацией с подозрительными сайтами или лицами, выдающими себя за представителей банка или правительства.

Важность сообщения о подозрительных действиях местным правоохранительным органам и назначенным контактам внутри организаций.

Ожидание дальнейшей активизации мошеннических действий, использующих тактику социальной инженерии и облачные сервисы хостинга.

#cyberthreattech
На канале Кода Безопасности опубликована запись нашего совместного вебминара про Континент 4 и TI в нем.
В моей части попробовал рассказать основные особенности подготовки IoC и работы с ними именно в NGFW, т.к. там есть много нюансов, отличных от IoC в SIEM.
https://youtu.be/NRCt27PJirI?si=w1aO1GQ5bw5iG6be&t=1051

#technique

Generic and Automated Drive-by GPU Cache Attacks from the Browser

https://ginerlukas.com/publications/papers/WebGPUAttacks.pdf

#technique

Using Tailscale for persistence

https://raesene.github.io/blog/2024/03/24/Using-Tailscale-for-persistence/

#technique

(Anti-)Anti-Rootkit Techniques - Part I: UnKovering mapped rootkits

https://eversinc33.com/posts/anti-anti-rootkit-part-i/

#ParsedReport #CompletenessMedium
25-03-2024

Tycoon 2FA: an in-depth analysis of the latest version of the AiTM phishing kit

https://blog.sekoia.io/tycoon-2fa-an-in-depth-analysis-of-the-latest-version-of-the-aitm-phishing-kit

Report completeness: Medium

Actors/Campaigns:
Saad_tycoon

Threats:
Tycoon_2fa
Aitm_technique
Caffeine_tool
Dadsec_tool
Evilproxy_tool
Nakedpages_tool
Redrum

ChatGPT TTPs:
do not use without manual check
T1059, T1566.002, T1190, T1204.002, T1584.002, T1071.001, T1110.004, T1550.005, T1027, T1047, have more...

IOCs:
File: 3
Domain: 55
Url: 15
Email: 1

Soft:
Telegram, Gmail, chrome

Crypto:
bitcoin

Algorithms:
xor, base64

Languages:
javascript

Links:
https://github.com/SEKOIA-IO/Community/blob/main/IOCs/tycoon2fa/tycoon2fa\_iocs\_20240325.csv
https://github.com/javascript-obfuscator/javascript-obfuscator/

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в появлении и влиянии фишингового набора Tycoon 2FA, включая его методы, операторов, методы распространения, сходства с другими наборами и текущие усилия Sekoia по мониторингу для борьбы с угрозами в киберпространстве.
-----

Tycoon 2FA, фишинговый набор "Противник посередине" (AiTM), недавно стал одним из самых распространенных фишинговых наборов в мире угроз. Платформа Tycoon 2FA "Фишинг как услуга" (PhaaS) активна по меньшей мере с августа 2023 года, а команда Sekoia по обнаружению и исследованию угроз (TDR) выявила ее связь с несколькими участниками угроз, проводящими широкомасштабные и эффективные атаки. Набор быстро расширялся, и в период с октября 2023 по февраль 2024 года было обнаружено более 1100 доменных имен.

Оператор Tycoon 2FA, известный под такими именами, как Tycoon Group, SaaadFridi и Mr_XaaD, продвигает PhaaS с помощью Telegram с октября 2023 года. Они предлагают различные фишинговые шаблоны и шаблоны вложений по ценам, начинающимся от 120 долларов США в течение 10 дней, с различными уровнями цен в зависимости от домена верхнего уровня. Платформа Tycoon 2FA имеет сходство с другим известным набором для фишинга под названием Dadsec OTT, что предполагает потенциальную взаимосвязь между ними с точки зрения повторного использования кода и функциональности.

Фишинговый набор Tycoon 2FA основан на методах AiTM, перехватывающих вводимые пользователем данные во время процессов аутентификации, чтобы украсть сеансовые файлы cookie и обойти многофакторную аутентификацию (MFA). Операции с набором включают перенаправление пользователей на различные этапы, включая проверку турникета Cloudflare и поддельные страницы аутентификации Microsoft, для сбора конфиденциальной информации. Разработка и обслуживание набора, по-видимому, выполняются отдельным лицом, что приводит к ограниченной сложности и постепенным улучшениям.

Недавние обновления Tycoon 2FA расширили его возможности запутывания и защиты от обнаружения, изменив структуру сетевого трафика и улучшив тактику уклонения, чтобы избежать обнаружения ботов и сред анализа. Фишинговый набор распространяется через вложения электронной почты и перенаправления QR-кодов, в первую очередь ориентируясь на организации по всему миру, ориентируясь на сотрудников финансовых, бухгалтерских и исполнительных отделов, чтобы использовать их привилегии доступа.

Отслеживание и мониторинг инфраструктуры Tycoon 2FA были ключевым направлением деятельности Sekoia, при этом были разработаны передовые эвристические методы для выявления и отслеживания последних версий фишингового набора. Благодаря этим усилиям с августа 2023 года были выявлены тысячи фишинговых страниц, связанных с Tycoon 2FA, что свидетельствует о его широком распространении среди участников угроз. Анализируя биткойн-транзакции, связанные с Saad Tycoon Group, аналитики оценивают значительную финансовую выгоду от операций Tycoon 2FA PhaaS, что подтверждает ее прибыльный характер.

Поскольку Tycoon 2FA продолжает представлять существенную угрозу на рынке фишинга AiTM, Sekoia сохраняет бдительность в мониторинге и отслеживании своей деятельности. Оперативная информация, полученная в результате текущего анализа и расследований, позволит принимать упреждающие меры для снижения рисков, связанных с меняющейся тактикой участников угроз Tycoon 2FA.

#ParsedReport #CompletenessLow
24-03-2024

New method! APT28 organizations latest backdoor has built-in a large number of controlled email addresses (which can be logged in successfully) for data theft

https://xz.aliyun.com/t/14123

Report completeness: Low

Actors/Campaigns:
Fancy_bear (motivation: information_theft)

Threats:
Oceanmap

Geo:
Ukrainian, American

ChatGPT TTPs:
do not use without manual check
T1071, T1566, T1027, T1114, T1095, T1082

IOCs:
Hash: 10
File: 3
IP: 5
Email: 13

Soft:
foxmail

Algorithms:
des, rc4, base64, des-cbc

Languages:
c_language

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - анализ коммуникационной модели бэкдора OCEANMAP на разных этапах, изучение проблем, с которыми приходится сталкиваться при настройке почтового сервера, того, как бэкдор реагирует на различные программные среды, его функциональные возможности, используемые методы шифрования и как он работает для получения и выполнения команд удаленного управления по электронной почте. Кроме того, в тексте рассказывается о происхождении бэкдора OCEANMAP и его связи с организацией APT28.
-----

В тексте описывается анализ модели обратной связи OCEANMAP на разных этапах. На начальном этапе автор использовал программное обеспечение hMailServer под управлением системы Windows для создания почтового сервера, но столкнулся с проблемами доступа к нему через Интернет и сохранения чернового содержимого. На втором этапе автор попытался использовать программное обеспечение с возможностью отправки по почте, доступ к которому можно было получить через Интернет, но не смог эффективно реагировать на команды бэкдора OCEANMAP.

Дальнейшая репликация моделирования показала, что, хотя почтовый сервер мог реагировать на определенные команды, ему не удалось извлечь содержимое почты из черновика. Автор предположил, что для корректного реагирования почтового сервера на поведение бэкдора OCEANMAP может потребоваться среда Linux.

Анализ бэкдора OCEANMAP показал, что он не слишком сложен и написан на языке C#. Впервые он был обнаружен Украинским национальным центром реагирования на компьютерные чрезвычайные ситуации и связан с организацией APT28. Бэкдор функционирует, получая команды удаленного управления по электронной почте и выполняя их, возвращая результаты по электронной почте. Информация учетной записи электронной почты встроена в бэкдор, создавая уникальный идентификатор пользователя на основе информации о хосте для инструкций по удаленному управлению.

Различные версии бэкдора OCEANMAP используют алгоритмы шифрования, включая RC4+Base64, DES+Base64 или без шифрования содержимого электронной почты. Бэкдор содержит команды удаленного управления и способен добавлять электронные письма в почтовые ящики "Входящие" и извлекать команды удаленного управления из черновых ящиков.

В ходе анализа также были извлечены адреса почтовых серверов и пароли контролируемых учетных записей почтовых ящиков из собранных образцов бэкдоров OCEANMAP.

#ParsedReport #CompletenessLow
25-03-2024

No, it wasnt here? Spreading malware by abusing Google's advertising tracking function

https://asec.ahnlab.com/ko/62864

Report completeness: Low

Threats:
Rhadamanthys
Trojan/win.agent.c5595056
Trojan/win.agent.c5592526
Trojan/win.agent.c5594794

ChatGPT TTPs:
do not use without manual check
T1566, T1204, T1102, T1027, T1059, T1553, T1583

IOCs:
File: 8
Url: 13
Hash: 10

Soft:
Slack

Algorithms:
md5

#ParsedReport #ExtractedSchema

Classified images:
windows: 2, code: 1, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4