#ParsedReport #CompletenessLow
26-03-2024

The Darkside of TheMoon

https://blog.lumen.com/the-darkside-of-themoon

Report completeness: Low

Threats:
Moon_botnet
Faceless_tool
Solarmarker
Icedid
Residential_proxy_technique
Acunetix_tool
Password_spray_technique

Victims:
Asus routers, Iot devices, Soho routers, Network attached storage devices, D-link cameras

Industry:
Telco, Iot

ChatGPT TTPs:
do not use without manual check
T1583.001, T1584.002, T1588.002, T1190, T1046, T1071.001, T1571, T1027, T1090, T1583, have more...

IOCs:
IP: 3

Links:
https://github.com/blacklotuslabs/IOCs/blob/main/Moon\_Faceless\_IOCs.txt

#ParsedReport #ExtractedSchema

Classified images:
code: 1, table: 1, dump: 1, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея:.
Команда Black Lotus Labs в Lumen Technologies раскрыла сложную кампанию по борьбе с киберпреступностью, в которой использовалась вредоносная программа "TheMoon", нацеленная на маршрутизаторы с истекшим сроком службы и устройства Интернета вещей, чтобы стимулировать рост безликого прокси-сервиса, используемого киберпреступниками. Анализ выявил процесс развертывания, сильную корреляцию между TheMoon и Faceless, влияние на безопасность глобальной сети и упреждающие меры, принятые Lumen для нарушения работы и обмена показателями компрометации с сообществом безопасности.
-----

Лаборатории Black Lotus обнаружили многолетнюю кампанию киберпреступности, направленную против устаревших маршрутизаторов и устройств Интернета вещей с использованием обновленной версии вредоносного ПО "TheMoon".

У TheMoon более 40 000 ботов в 88 странах, причем большинство из них служат основой для сервиса Faceless proxy.

Faceless способствует преступной деятельности и использовался операторами ботнетов, такими как SolarMarker и IcedID.

Развертывание вредоносного ПО включает в себя ряд этапов, при этом полезные нагрузки облегчают распространение, прокси-трафик и связь с инфраструктурой Faceless C2.

Существует сильная корреляция между ботами TheMoon и Faceless, со значительным совпадением кластеров активности.

Faceless позволяет пользователям маскировать подключения и представляться законными конечными пользователями интернет-провайдера, работая без проверки KYC и принимая платежи только через криптовалюты.

Скомпрометированные устройства Интернета вещей, питающие Faceless, часто являются неподдерживаемыми устройствами с истекшим сроком службы, что со временем повышает их уязвимость.

Безликие боты, расположенные в основном в США, представляют значительную угрозу для американских учетных записей и организаций, вероятно, сосредоточившись на распределении паролей и утечке данных в финансовом секторе.

Преступники подключают зараженные устройства к прокси-сервисам для анонимизации действий, сигнализируя об отходе от традиционных инструментов, таких как VPN.

Компания Lumen Technologies предприняла действия по блокированию трафика, связанного с TheMoon и Faceless, поделившись IOCs с сообществом безопасности для усиления усилий по кибербезопасности и продолжения мониторинга крупномасштабных ботнетов для защиты от возникающих угроз.

#ParsedReport #CompletenessMedium
26-03-2024

APT-C-43Machete. APT-C-43 (Machete) organization suspected of evolving into more diversified

https://www.ctfiot.com/169674.html

Report completeness: Medium

Actors/Campaigns:
Machete (motivation: information_theft)

Threats:
Spear-phishing_technique

Industry:
Military

Geo:
Turkish, Korean, America

CVEs:
CVE-2017-8570 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- microsoft office (2007, 2013, 2010, 2016)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1566, T1204, T1105, T1027, T1547, T1112, T1574, T1059, T1020, T1210, have more...

IOCs:
IP: 1
Hash: 139
File: 4

Soft:
WeChat, Roblox, discord, Telegram

Algorithms:
md5, base64

Languages:
visual_basic, python

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - подробное описание группы киберугроз APT-C-43, также известной как Machete, сосредоточенной на нацеливании на испаноязычных людей в Латинской Америке с помощью тактики социальной инженерии, распространения вредоносных файлов и развивающихся методов, использующих Python, .NET, Visual Basic и различные типы вредоносных программ. В тексте также освещаются их недавние действия, направленные против военных секретов Венесуэлы, и анализ их потоков атак и методологий.
-----

Организация APT-C-43, также известная как Machete, была впервые идентифицирована Kaspersky в 2014 году. Эта группа нацеливает свои атаки на цели с испаноязычным происхождением в Латинской Америке. Их основной метод первоначальных атак включает тактику социальной инженерии, такую как фишинговые электронные письма или поддельные блоги. Эта тактика используется для распространения вредоносных файлов, причем жертвами преимущественно являются испаноязычные лица. В декабре 2020 года стало известно, что APT-C-43 нацелился на военные секреты Венесуэлы в попытке поддержать оппозицию, используя в своих атаках новый бэкдор Python под названием Pyark.

Потоки атак, использованные APT-C-43 в предыдущих инцидентах, соответствуют методам, использованным при краже военных секретов Венесуэлы. Код VBA, найденный в документе полезной нагрузки, практически не изменился, что позволяет сделать вывод о том, что организацией, стоящей за этой атакой, скорее всего, является APT-C-43.

APT-C-43 продолжает доставлять полезную нагрузку в основном через фишинговые электронные письма и поддельные блоги, используя документы Office с вредоносными макрокодами. Эти макрокоды, будучи активированными, инициируют FTP-запросы для загрузки троянца-бэкдора с удаленного сервера. Вредоносный макрокод зашифрован для обмана пользователей. После выполнения макрокод загружает три файла - lnk, bat и png - в каталог "C:ProgramData". Затем файл lnk перемещается в каталог автозагрузки для запуска файла bat, который, в свою очередь, загружает и выполняет вредоносный код с удаленного сервера funkytothemoon.live.

После перезагрузки компьютера файл lnk в каталоге автозагрузки запускает выполнение файла bat, содержащего вредоносный код. Этот код загружает MSI-файл с сайта funkytothemoon.live, в котором содержится вредоносная программа. В последние годы APT-C-43 эволюционировал за счет использования вредоносных программ, скомпилированных с помощью .NET и Visual Basic в дополнение к Python. Вредоносные программы, скомпилированные с помощью Visual Basic, вставляют вредоносный код в законные программы VB для выполнения гнусных функций. Эти программы могут считывать данные конфигурации, устанавливать постоянство, выполнять резервное копирование файлов и загружать дополнительные вредоносные программы с gitlab.com.

Вредоносная программа .NET, используемая APT-C-43, сильно запутана и взята из проекта Qvoid-Token-Grabber на GitHub, что указывает на сильные возможности перехвата паролей. Модифицированная вредоносная программа .NET шифрует символы файла конфигурации, сохраняет их в ресурсах программы и в конечном итоге отправляет украденную конфиденциальную информацию злоумышленнику через Discord API.

Дальнейшее расследование выявило подозрительный RTF-файл, содержащий полезную нагрузку уязвимости CVE-2017-8570 в данных APT-C-43 C&C. Эта уязвимость срабатывает, когда RTF-файл открывается уязвимой программой Word, выполняя вредоносный код скрипта VBA, который загружает и запускает полезную нагрузку с заранее определенного C&C адреса. Несмотря на сходство доменных имен, используемых APT-C-43, включение CVE-2017-8570 в их поток атак не согласуется с предыдущими отчетами. Однако сопоставление кода VBA привело к обнаружению многочисленных RTF-документов с различными названиями-приманками, преимущественно относящимися к финансовым вопросам, что указывает на потенциальные мотивы, связанные с получением прибыли, и отход от традиционной тактики APT-C-43.

#ParsedReport #CompletenessMedium
26-03-2024

Unknown TTPs of Remcos RAT

https://labs.k7computing.com/index.php/unknown-ttps-of-remcos-rat

Report completeness: Medium

Threats:
Remcos_rat
Amsi_bypass_technique
Amsi-reaper_tool
Process_hollowing_technique

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1566, T1204, T1059, T1053, T1027, T1055, T1573, T1112, T1056, T1123, have more...

IOCs:
File: 2
Url: 5
Hash: 2

Soft:
MacOSX, Internet Explorer

Algorithms:
base64, rc4

Win API:
CreateProcess, GetThreadContext, VirtualAllocEx, WriteProcessMemory, SetThreadContext, ResumeThread, ZwUnmapViewOfSection

Languages:
powershell

Links:
https://github.com/h0ru/AMSI-Reaper.git

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 13, dump: 2, table: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - о троянце удаленного доступа Remcos (RAT), методах его распространения, функциональных возможностях, методах, используемых для уклонения от обнаружения, основной полезной нагрузке и рекомендациях по обнаружению и предотвращению поставщиками услуг кибербезопасности.
-----

Троян Remcos Remote Access Trojan (RAT) активен с 2016 года и обычно распространяется с помощью вредоносных вложений, скачиваний с диска и тактик социальной инженерии. Первоначально представленный европейской компанией BreakingSecurity как законный инструмент дистанционного управления, Remcos с тех пор стал оружием злоумышленников для совершения вредоносных действий, несмотря на первоначальное намерение использовать его на законных основаниях. Вредоносная программа использует командную строку PowerShell в файле быстрого доступа для выполнения скрипта MacOSX.ps1, наряду с несколькими другими компонентами, такими как создание задач для загрузки и выполнения скриптов PowerShell, обход интерфейса проверки на наличие вредоносных программ (AMSI) и загрузка скриптов VB, замаскированных под файлы PNG.

Одним из примечательных инструментов с открытым исходным кодом, используемых Remcos, является AMSIReaper, доступный на GitHub, который помогает обойти защиту AMSI. Сценарий VB, загруженный Remcos, декодируется, чтобы выявить сценарий PowerShell, закодированный с помощью base64, который используется для выполнения опустошения процесса путем введения полезной нагрузки Remcos в новый процесс "RegAsm.exe" на компьютере жертвы. Этот метод помогает избежать обнаружения и незаметно выполнять вредоносные действия.

Основной полезной нагрузкой Remcos является скомпилированный двоичный файл VC8, содержащий зашифрованный блок конфигурации. Первый байт в большом двоичном объекте представляет размер ключа RC4, а остальные зашифрованные данные раскрывают важную информацию, такую как сведения о сервере управления (C2), функциональные возможности вредоносного ПО и настройки регистрации данных жертвы. Remcos предназначен для регистрации нажатий клавиш, данных буфера обмена, захвата аудиовхода с микрофона жертвы, сбора информации о геолокации путем подключения к определенному URL-адресу, создания скриншотов экрана жертвы, отключения контроля учетных записей пользователей (UAC) на устройстве жертвы и отправки данных обратно на сервер C2.

Чтобы избежать множественных экземпляров, Remcos создает мьютекс во время работы на компьютере жертвы. K7 Labs, поставщик услуг кибербезопасности, предлагает возможности обнаружения Remco и других возникающих угроз, рекомендуя пользователям использовать надежные решения для обеспечения безопасности, такие как "K7 Total Security", и обеспечивать регулярные обновления для защиты своих устройств от вторжений RAT и других форм киберугроз.

#technique

Inside Zyxel Devices: Firmware Extraction Analysis

https://paper.seebug.org/3137/

#ParsedReport #CompletenessMedium
27-03-2024

Agent Tesla's New Ride: The Rise of a Novel Loader

https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/agent-teslas-new-ride-the-rise-of-a-novel-loader

Report completeness: Medium

Threats:
Agent_tesla
Smokeloader
Cloudeye
Polymorphism_technique
Amsi_bypass_technique
Koivm

Industry:
Financial

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1566, T1027, T1055, T1563, T1071, T1112, T1105, T1027.002

IOCs:
File: 4
Hash: 12
Url: 4
Email: 2

Algorithms:
xor, base64, sha256, md5, exhibit

Functions:
GetType

Win API:
VirtualProtect, amsiScanBuffer

Platforms:
x64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обсуждении критической роли загрузчиков вредоносных программ в облегчении развертывания вредоносных программ субъектами угроз с выделением конкретных примеров, таких как Smoke Loader и GuLoader. В тексте также рассматривается недавний инцидент с вредоносным загрузчиком, замаскированным под поддельное вложение банковского платежа, что привело к внедрению агента Tesla infostealer. Кроме того, в нем содержится подробный анализ тактики уклонения недавно выявленного загрузчика, методов шифрования и передовых методов, используемых в его работе и системе командования и контроля.
-----

Загрузчики вредоносных программ играют решающую роль в облегчении развертывания вредоносных программ злоумышленниками для преступной деятельности, такой как кража данных и программы-вымогатели.

Примеры загрузчиков вредоносных программ, такие как Smoke Loader и GuLoader, используются группами угроз для расширения возможностей загрузки и выполнения вредоносных программ.

SpiderLabs выявила недавний инцидент 8 марта 2024 года, когда фишинговое электронное письмо содержало вредоносный загрузчик, замаскированный под поддельное вложение банковского платежа, что привело к развертыванию агента Tesla infostealer.

Вредоносный загрузчик проявляет полиморфное поведение, уклоняется от обнаружения, обходя антивирусную защиту, использует прокси-серверы для обфускации и выполняет полезную нагрузку полностью в памяти.

Загрузчик использует методы шифрования, дешифрования, полиморфизм и исправляет функции, такие как VirtualProtect, чтобы обойти механизмы обнаружения.

Он обходит интерфейс проверки на наличие вредоносных программ (AMSI) и подготавливает пространство памяти для входящей полезной нагрузки с определенного URL-адреса, используя строки пользовательского агента и прокси-серверы для скрытого извлечения полезной нагрузки.

Полезная нагрузка, агент Tesla infostealer, осуществляет кейлоггинг, кражу учетных данных и эксфильтрацию данных из памяти, используя для упаковки такие тактики, как KoiVM protector.

Новый загрузчик, наблюдаемый вместе с агентом Tesla, использует обманчивые вложения электронной почты, тактику запутывания, полиморфное поведение, исправления для обхода обнаружения AMSI и отражающую загрузку полезных данных для эффективного развертывания вредоносного ПО.

#ParsedReport #CompletenessMedium
27-03-2024

Ghost in the Archive: F.A.C.C.T. Experts discovered attacks by a new group of cyber spies PhantomCore

https://www.facct.ru/blog/phantomcore

Report completeness: Medium

Actors/Campaigns:
Phantomcore (motivation: cyber_espionage)

Threats:
Phantomrat
Spear-phishing_technique

Victims:
Russian companies

Geo:
Russian, Ukraine

CVEs:
CVE-2023-38831 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- rarlab winrar (<6.23, 5.20, 5.70, 4.20, 4.1.0, 6.20, 4.00, 5.50, 6.21, 4.01, 5.40, 5.01, 5.30, 4.10.2, 4.10, 6.11, 5.11, 5.00, -, 4.11, 5.21, 5.31, 5.10)


TTPs:
Tactics: 10
Technics: 19

IOCs:
File: 17
Domain: 1
Url: 9
Path: 11
Hash: 12

Soft:
Windows Task Scheduler, Telegram, Viber, WhatsApp

Algorithms:
sha1, cbc, zip, md5, sha256, aes-256, aes

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея: В начале 2024 года российские компании подверглись кибератакам со стороны новой группы под названием PhantomCore, использующей уникальный троян удаленного доступа PhantomRAT, использующий уязвимость WinRAR для проникновения в организации и установления связи с сервером управления для вредоносных действий.
-----

В начале 2024 года российские компании подверглись кибератакам со стороны группы кибершпионов, известной как PhantomCore, использующей троян удаленного доступа PhantomRAT.

Злоумышленники рассылали фишинговые электронные письма с защищенными паролем архивами RAR, содержащими PDF-документ вместе с исполняемым файлом, замаскированным в аналогичном каталоге.

PhantomRAT был разработан для скрытой работы с использованием .Сетевые приложения с однофайловым развертыванием, позволяющие избежать обнаружения в зараженных системах.

Злоумышленники воспользовались уязвимостью WinRAR CVE-2023-38831, нацеленной на архивы RAR, что позволило им установить PhantomRAT.

PhantomRAT облегчил загрузку файлов между скомпрометированными хостами и сервером управления, позволяя выполнять команды через cmd.exe.

Вредоносная программа установила соединение RSocket для связи с сервером управления, используя шифрование и специальные модели взаимодействия для эффективной передачи данных.

Структура классов PhantomRAT включала параметры конфигурации, влияющие на его работу, нацеленные на фильтрацию данных, выполнение команд и удаленное управление с помощью сетевых протоколов.

В ходе исследования были обнаружены связанные файлы, такие как PhantomCore.Загрузчик, ответственный за доставку PhantomRAT, с указанием методологий и инфраструктуры группы.

Тестовые адреса C2, найденные в некоторых образцах, предполагают потенциальную разведку перед атакой или тестирование действий субъектов угрозы.

#ParsedReport #CompletenessMedium
27-03-2024

Operation FlightNight: Indian Government Entities and Energy Sector Targeted by Cyber Espionage Campaign

https://blog.eclecticiq.com/operation-flightnight-indian-government-entities-and-energy-sector-targeted-by-cyber-espionage-campaign

Report completeness: Medium

Actors/Campaigns:
Flightnight (motivation: cyber_criminal, cyber_espionage, information_theft)

Threats:
Hackbrowserdata
Go-stealer
Spear-phishing_technique

Industry:
Petroleum, Government, Energy

Geo:
India, Indian, Ukraine, Russia

TTPs:

IOCs:
File: 3
Path: 1
Hash: 7
Domain: 5

Soft:
Slack, Microsoft Office, Google Chrome, Chromium, Microsoft Edge, Opera, OperaGX, Vivaldi, CocCoc, Internet Explorer, have more...

Algorithms:
zip, sha256