#cyberthreattech
На канале Кода Безопасности опубликована запись нашего совместного вебминара про Континент 4 и TI в нем.
В моей части попробовал рассказать основные особенности подготовки IoC и работы с ними именно в NGFW, т.к. там есть много нюансов, отличных от IoC в SIEM.
https://youtu.be/NRCt27PJirI?si=w1aO1GQ5bw5iG6be&t=1051

#technique

Generic and Automated Drive-by GPU Cache Attacks from the Browser

https://ginerlukas.com/publications/papers/WebGPUAttacks.pdf

#technique

Using Tailscale for persistence

https://raesene.github.io/blog/2024/03/24/Using-Tailscale-for-persistence/

#technique

(Anti-)Anti-Rootkit Techniques - Part I: UnKovering mapped rootkits

https://eversinc33.com/posts/anti-anti-rootkit-part-i/

#ParsedReport #CompletenessMedium
25-03-2024

Tycoon 2FA: an in-depth analysis of the latest version of the AiTM phishing kit

https://blog.sekoia.io/tycoon-2fa-an-in-depth-analysis-of-the-latest-version-of-the-aitm-phishing-kit

Report completeness: Medium

Actors/Campaigns:
Saad_tycoon

Threats:
Tycoon_2fa
Aitm_technique
Caffeine_tool
Dadsec_tool
Evilproxy_tool
Nakedpages_tool
Redrum

ChatGPT TTPs:
do not use without manual check
T1059, T1566.002, T1190, T1204.002, T1584.002, T1071.001, T1110.004, T1550.005, T1027, T1047, have more...

IOCs:
File: 3
Domain: 55
Url: 15
Email: 1

Soft:
Telegram, Gmail, chrome

Crypto:
bitcoin

Algorithms:
xor, base64

Languages:
javascript

Links:
https://github.com/SEKOIA-IO/Community/blob/main/IOCs/tycoon2fa/tycoon2fa\_iocs\_20240325.csv
https://github.com/javascript-obfuscator/javascript-obfuscator/

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в появлении и влиянии фишингового набора Tycoon 2FA, включая его методы, операторов, методы распространения, сходства с другими наборами и текущие усилия Sekoia по мониторингу для борьбы с угрозами в киберпространстве.
-----

Tycoon 2FA, фишинговый набор "Противник посередине" (AiTM), недавно стал одним из самых распространенных фишинговых наборов в мире угроз. Платформа Tycoon 2FA "Фишинг как услуга" (PhaaS) активна по меньшей мере с августа 2023 года, а команда Sekoia по обнаружению и исследованию угроз (TDR) выявила ее связь с несколькими участниками угроз, проводящими широкомасштабные и эффективные атаки. Набор быстро расширялся, и в период с октября 2023 по февраль 2024 года было обнаружено более 1100 доменных имен.

Оператор Tycoon 2FA, известный под такими именами, как Tycoon Group, SaaadFridi и Mr_XaaD, продвигает PhaaS с помощью Telegram с октября 2023 года. Они предлагают различные фишинговые шаблоны и шаблоны вложений по ценам, начинающимся от 120 долларов США в течение 10 дней, с различными уровнями цен в зависимости от домена верхнего уровня. Платформа Tycoon 2FA имеет сходство с другим известным набором для фишинга под названием Dadsec OTT, что предполагает потенциальную взаимосвязь между ними с точки зрения повторного использования кода и функциональности.

Фишинговый набор Tycoon 2FA основан на методах AiTM, перехватывающих вводимые пользователем данные во время процессов аутентификации, чтобы украсть сеансовые файлы cookie и обойти многофакторную аутентификацию (MFA). Операции с набором включают перенаправление пользователей на различные этапы, включая проверку турникета Cloudflare и поддельные страницы аутентификации Microsoft, для сбора конфиденциальной информации. Разработка и обслуживание набора, по-видимому, выполняются отдельным лицом, что приводит к ограниченной сложности и постепенным улучшениям.

Недавние обновления Tycoon 2FA расширили его возможности запутывания и защиты от обнаружения, изменив структуру сетевого трафика и улучшив тактику уклонения, чтобы избежать обнаружения ботов и сред анализа. Фишинговый набор распространяется через вложения электронной почты и перенаправления QR-кодов, в первую очередь ориентируясь на организации по всему миру, ориентируясь на сотрудников финансовых, бухгалтерских и исполнительных отделов, чтобы использовать их привилегии доступа.

Отслеживание и мониторинг инфраструктуры Tycoon 2FA были ключевым направлением деятельности Sekoia, при этом были разработаны передовые эвристические методы для выявления и отслеживания последних версий фишингового набора. Благодаря этим усилиям с августа 2023 года были выявлены тысячи фишинговых страниц, связанных с Tycoon 2FA, что свидетельствует о его широком распространении среди участников угроз. Анализируя биткойн-транзакции, связанные с Saad Tycoon Group, аналитики оценивают значительную финансовую выгоду от операций Tycoon 2FA PhaaS, что подтверждает ее прибыльный характер.

Поскольку Tycoon 2FA продолжает представлять существенную угрозу на рынке фишинга AiTM, Sekoia сохраняет бдительность в мониторинге и отслеживании своей деятельности. Оперативная информация, полученная в результате текущего анализа и расследований, позволит принимать упреждающие меры для снижения рисков, связанных с меняющейся тактикой участников угроз Tycoon 2FA.

#ParsedReport #CompletenessLow
24-03-2024

New method! APT28 organizations latest backdoor has built-in a large number of controlled email addresses (which can be logged in successfully) for data theft

https://xz.aliyun.com/t/14123

Report completeness: Low

Actors/Campaigns:
Fancy_bear (motivation: information_theft)

Threats:
Oceanmap

Geo:
Ukrainian, American

ChatGPT TTPs:
do not use without manual check
T1071, T1566, T1027, T1114, T1095, T1082

IOCs:
Hash: 10
File: 3
IP: 5
Email: 13

Soft:
foxmail

Algorithms:
des, rc4, base64, des-cbc

Languages:
c_language

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - анализ коммуникационной модели бэкдора OCEANMAP на разных этапах, изучение проблем, с которыми приходится сталкиваться при настройке почтового сервера, того, как бэкдор реагирует на различные программные среды, его функциональные возможности, используемые методы шифрования и как он работает для получения и выполнения команд удаленного управления по электронной почте. Кроме того, в тексте рассказывается о происхождении бэкдора OCEANMAP и его связи с организацией APT28.
-----

В тексте описывается анализ модели обратной связи OCEANMAP на разных этапах. На начальном этапе автор использовал программное обеспечение hMailServer под управлением системы Windows для создания почтового сервера, но столкнулся с проблемами доступа к нему через Интернет и сохранения чернового содержимого. На втором этапе автор попытался использовать программное обеспечение с возможностью отправки по почте, доступ к которому можно было получить через Интернет, но не смог эффективно реагировать на команды бэкдора OCEANMAP.

Дальнейшая репликация моделирования показала, что, хотя почтовый сервер мог реагировать на определенные команды, ему не удалось извлечь содержимое почты из черновика. Автор предположил, что для корректного реагирования почтового сервера на поведение бэкдора OCEANMAP может потребоваться среда Linux.

Анализ бэкдора OCEANMAP показал, что он не слишком сложен и написан на языке C#. Впервые он был обнаружен Украинским национальным центром реагирования на компьютерные чрезвычайные ситуации и связан с организацией APT28. Бэкдор функционирует, получая команды удаленного управления по электронной почте и выполняя их, возвращая результаты по электронной почте. Информация учетной записи электронной почты встроена в бэкдор, создавая уникальный идентификатор пользователя на основе информации о хосте для инструкций по удаленному управлению.

Различные версии бэкдора OCEANMAP используют алгоритмы шифрования, включая RC4+Base64, DES+Base64 или без шифрования содержимого электронной почты. Бэкдор содержит команды удаленного управления и способен добавлять электронные письма в почтовые ящики "Входящие" и извлекать команды удаленного управления из черновых ящиков.

В ходе анализа также были извлечены адреса почтовых серверов и пароли контролируемых учетных записей почтовых ящиков из собранных образцов бэкдоров OCEANMAP.

#ParsedReport #CompletenessLow
25-03-2024

No, it wasnt here? Spreading malware by abusing Google's advertising tracking function

https://asec.ahnlab.com/ko/62864

Report completeness: Low

Threats:
Rhadamanthys
Trojan/win.agent.c5595056
Trojan/win.agent.c5592526
Trojan/win.agent.c5594794

ChatGPT TTPs:
do not use without manual check
T1566, T1204, T1102, T1027, T1059, T1553, T1583

IOCs:
File: 8
Url: 13
Hash: 10

Soft:
Slack

Algorithms:
md5

#ParsedReport #ExtractedSchema

Classified images:
windows: 2, code: 1, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что киберпреступники используют тактику обмана, такую как манипулирование функцией отслеживания рекламы Google, для распространения вредоносного ПО среди ничего не подозревающих пользователей. В нем освещается конкретный случай, когда вредоносное ПО было замаскировано под популярные программы, что привело к установке вредоносных файлов в системах пользователей. В тексте подчеркивается важность бдительности пользователей при взаимодействии с онлайн-рекламой, чтобы снизить риск стать жертвой таких вредоносных схем.
-----

Аналитический центр безопасности AhnLab (ASEC) недавно использовал функцию отслеживания рекламы Google, чтобы выявить тактику, используемую киберпреступниками для распространения вредоносных программ. Они обнаружили случай, когда вредоносное ПО было замаскировано под популярные программы для установки группового ПО, такие как Notion и Slack. После загрузки вредоносное программное обеспечение извлекло дополнительные вредоносные файлы и полезную нагрузку с сервера злоумышленника. Злоумышленники манипулировали функцией отслеживания рекламы Google, обычно используемой для статистики доступа пользователей, заменив сайт распространения вредоносного ПО сайтом внешней статистики. С тех пор реклама злоумышленника была удалена, но во время распространения нажатие на нее приводило пользователей на определенный адрес, где они неосознанно загружали вредоносный файл.

Цепочка распространения включает в себя серию перенаправлений, ведущих пользователей на страницу, имитирующую внешний вид законного инструмента совместной работы, побуждающего их загружать и запускать вредоносный код. Этот код при выполнении запрашивает веб-сайт хранилища текста, такой как textbin или tinyurl, для получения адреса вредоносной полезной нагрузки. Злоумышленник обращается к этому URL-адресу, чтобы получить адрес полезной нагрузки, который затем отправляется обратно в качестве ответа при обращении к исходному адресу. Следовательно, вредоносная программа Rhadamanthys, классифицируемая как infostealer, загружается из определенного места. Когда эта вредоносная программа запускается, она внедряется и запускается в стандартном файле Windows, расположенном по пути %system32%. Поскольку вредоносная программа работает в обычном системном файле, пользователи могут оставаться в неведении о ее вредоносных действиях, подвергая свою конфиденциальную информацию риску кражи.

Соответствие рекламы Google тактике распространения вредоносных программ, вводящих в заблуждение, подчеркивает коварство киберпреступников. Помимо Google, другие поисковые системы, предлагающие функции отслеживания в статистических целях, также могут быть использованы злоумышленниками для распространения вредоносного кода. Ключевой вывод для пользователей - быть бдительными при взаимодействии с онлайн-рекламой и всегда проверять фактический URL, на который они перенаправлены, вместо того, чтобы полагаться исключительно на отображаемую рекламу. Проявляя осторожность и тщательно изучая URL-адреса, пользователи могут снизить риск стать жертвами таких вредоносных схем.

#ParsedReport #CompletenessMedium
25-03-2024

Over 170K Users Affected by Attack Using Fake Python Infrastructure

https://checkmarx.com/blog/over-170k-users-affected-by-attack-using-fake-python-infrastructure

Report completeness: Medium

Threats:
Supply_chain_technique
Typosquatting_technique

Victims:
Top.gg github organization, Several individual developers, Top.gg contributor, Python developers

Geo:
Japanese, Chinese

ChatGPT TTPs:
do not use without manual check
T1199, T1550, T1195, T1587, T1595, T1204, T1566, T1547, T1027, T1059, have more...

IOCs:
Domain: 3
File: 2
Url: 6
IP: 3
Hash: 3

Soft:
Discord, Windows registry, Opera, Chrome, Vivaldi, Telegram, Instagram

Algorithms:
zip

Languages:
python

Links:
https://github.com/top-gg/python-sdk
https://github.com/editor-syntax
https://github.com/top-gg
https://github.com/top-gg/python-sdk/commit/ecb87731286d72c8b8172db9671f74bd42c6c534

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, windows: 3, code: 4

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная мысль текста заключается в том, что опасная команда аналитик кибер-разведки в Checkmarx исследования обнаружили изощренную кампанию нападения цепочке поставок программного обеспечения, используя различные тактики, методов и процедур (ТПД) для использования нескольких пострадавших, в том числе верхней.организация на GitHub GG и индивидуальные застройщики. Злоумышленники использовали захват учетной записи, внедрение вредоносного кода, поддельные настройки зеркал Python и публикацию вредоносных пакетов в реестре PyPI. Злоумышленники использовали соблазнительные описания инструментов с открытым исходным кодом, чтобы заманить жертв, распространяли вредоносные зависимости, захватывали учетные записи GitHub, использовали тактику социальной инженерии и использовали методы опечатывания. Вредоносные действия включали в себя эксфильтрацию данных, сокрытие и выполнение вредоносного кода с использованием различных методов, а также возможности кражи данных, такие как кейлоггинг, для получения конфиденциальной информации от жертв. Кампания подчеркивает важность постоянного мониторинга, сотрудничества и обмена информацией в сообществе кибербезопасности для борьбы с подобными угрозами в цепочке поставок программного обеспечения.
-----

Исследовательская группа Checkmarx раскрыла сложную кампанию атак, нацеленную на цепочку поставок программного обеспечения, в результате чего было успешно использовано множество жертв, включая Top.gg Организацию GitHub и отдельных разработчиков.

Злоумышленники использовали различные тактики, методы и процедуры (TTP), такие как захват учетной записи с помощью украденных файлов cookie браузера, внесение вредоносного кода с проверенными коммитами, настройка поддельного зеркала Python и публикация вредоносных пакетов в реестре PyPI.

Для заманивания жертв использовались вредоносные инструменты с открытым исходным кодом и заманчивыми описаниями, распространявшиеся в виде вредоносных зависимостей, связанных с популярными проектами GitHub и законными пакетами Python.

Атака включала методы опечатывания, перехваченные учетные записи GitHub и многоступенчатую полезную нагрузку для эксфильтрации данных в инфраструктуру злоумышленника.

Вредоносная программа обладала широкими возможностями для кражи данных, нацеливаясь на веб-браузеры, данные Discord, криптовалютные кошельки, сеансы Telegram, компьютерные файлы и данные Instagram с помощью компонента кейлоггинга, фиксирующего нажатия клавиш.

Кампания продемонстрировала передовые методы распространения вредоносного ПО через надежные платформы, такие как PyPI и GitHub.

Ключевые даты на временной шкале атаки включают регистрацию доменов, добавление вредоносных пакетов в PyPI пользователем "felpes", компрометацию учетной записи GitHub и регистрацию доменов с опечатками для расширения инфраструктуры распространения вредоносного ПО.

Постоянный мониторинг, сотрудничество и обмен информацией в рамках сообщества кибербезопасности имеют решающее значение для борьбы с такими угрозами.

#ParsedReport #CompletenessHigh
22-03-2024

Bringing Access Back Initial Access Brokers Exploit F5 BIG-IP (CVE-2023-46747) and ScreenConnect. Bringing Access Back - Initial Access Brokers Exploit F5 BIG-IP (CVE-2023-46747) and ScreenConnect

https://www.mandiant.com/resources/blog/initial-access-brokers-exploit-f5-screenconnect

Report completeness: High

Actors/Campaigns:
Unc5174 (motivation: hacktivism)
Xiaoqiying (motivation: hacktivism)
Unc302 (motivation: hacktivism)

Threats:
Screenconnect_tool
Connectwise_rat
Supershell
Smuggling_technique
Snowlight
Goreverse
Netcat_tool
Fscan_tool
Goheavy_tool
Gobfuscate_tool
Sliver_c2_tool
Sqlmap_tool
Metasploit_tool
Credential_dumping_technique

Victims:
U.s. defense contractor, Uk government entities, Institutions in asia, Southeast asian and u.s. research and education institutions, Hong kong businesses, Charities, Non-governmental organizations (ngos), U.s. and uk government organizations, Prominent universities in the u.s., Oceania, have more...

Industry:
Education, Government, Military, Ngo

Geo:
Taiwan, Asia, Chinese, Asian, Oceania, China, Canada

CVEs:
CVE-2022-0185 [Vulners]
CVSS V3.1: 8.4,
Vulners: Exploitation: Unknown
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- linux linux kernel (<5.4.173, <5.10.93, <5.15.16, <5.16.2)
- netapp h410c firmware (-)
- netapp h300s firmware (-)
- netapp h500s firmware (-)
- netapp h700s firmware (-)
have more...
CVE-2023-22515 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 10
X-Force: Patch: Official fix
Soft:
- atlassian confluence data center (<8.3.3, 8.0.3, 8.1.0, 8.2.0, have more...)
- atlassian confluence server (<8.3.3, 8.2.3, 8.0.3, 8.0.1, 8.0.0, have more...)

CVE-2024-1709 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 10
X-Force: Patch: Official fix
Soft:
- connectwise screenconnect (<23.9.8, 23.8.5, 23.8.4)

CVE-2023-22518 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 9.1
X-Force: Patch: Official fix
Soft:
- atlassian confluence data center (<7.19.16, 5.7.6, 6.12.1, have more...)

CVE-2024-1708 [Vulners]
CVSS V3.1: 8.4,
Vulners: Exploitation: Unknown
X-Force: Risk: 8.4
X-Force: Patch: Official fix
Soft:
- connectwise screenconnect (<23.9.8, 23.8.5, 23.8.4)

CVE-2022-3052 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- google chrome (<105.0.5195.52)
- google linux and chrome os (-)
- fedoraproject fedora (37)

CVE-2023-46747 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- f5 big-ip access policy manager (le13.1.5, 13.1.1.5, 13.1.1, 13.1.3, 13.1.5, have more...)


TTPs:
Tactics: 11
Technics: 42

IOCs:
File: 1
IP: 5
Url: 4
Hash: 7

Soft:
BIG-IP, Confluence, Zyxel, cURL, Telegram, outlook, MacOS, Unix

Algorithms:
xor, md5, sha256, base64

Languages:
visual_basic, golang

Links:
https://github.com/Chocapikk/CVE-2023-22515

#ParsedReport #GeneratedSchema
Generated with GPT-4