#technique

Inside Zyxel Devices: Firmware Extraction Analysis

https://paper.seebug.org/3137/

#ParsedReport #CompletenessMedium
27-03-2024

Agent Tesla's New Ride: The Rise of a Novel Loader

https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/agent-teslas-new-ride-the-rise-of-a-novel-loader

Report completeness: Medium

Threats:
Agent_tesla
Smokeloader
Cloudeye
Polymorphism_technique
Amsi_bypass_technique
Koivm

Industry:
Financial

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1566, T1027, T1055, T1563, T1071, T1112, T1105, T1027.002

IOCs:
File: 4
Hash: 12
Url: 4
Email: 2

Algorithms:
xor, base64, sha256, md5, exhibit

Functions:
GetType

Win API:
VirtualProtect, amsiScanBuffer

Platforms:
x64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обсуждении критической роли загрузчиков вредоносных программ в облегчении развертывания вредоносных программ субъектами угроз с выделением конкретных примеров, таких как Smoke Loader и GuLoader. В тексте также рассматривается недавний инцидент с вредоносным загрузчиком, замаскированным под поддельное вложение банковского платежа, что привело к внедрению агента Tesla infostealer. Кроме того, в нем содержится подробный анализ тактики уклонения недавно выявленного загрузчика, методов шифрования и передовых методов, используемых в его работе и системе командования и контроля.
-----

Загрузчики вредоносных программ играют решающую роль в облегчении развертывания вредоносных программ злоумышленниками для преступной деятельности, такой как кража данных и программы-вымогатели.

Примеры загрузчиков вредоносных программ, такие как Smoke Loader и GuLoader, используются группами угроз для расширения возможностей загрузки и выполнения вредоносных программ.

SpiderLabs выявила недавний инцидент 8 марта 2024 года, когда фишинговое электронное письмо содержало вредоносный загрузчик, замаскированный под поддельное вложение банковского платежа, что привело к развертыванию агента Tesla infostealer.

Вредоносный загрузчик проявляет полиморфное поведение, уклоняется от обнаружения, обходя антивирусную защиту, использует прокси-серверы для обфускации и выполняет полезную нагрузку полностью в памяти.

Загрузчик использует методы шифрования, дешифрования, полиморфизм и исправляет функции, такие как VirtualProtect, чтобы обойти механизмы обнаружения.

Он обходит интерфейс проверки на наличие вредоносных программ (AMSI) и подготавливает пространство памяти для входящей полезной нагрузки с определенного URL-адреса, используя строки пользовательского агента и прокси-серверы для скрытого извлечения полезной нагрузки.

Полезная нагрузка, агент Tesla infostealer, осуществляет кейлоггинг, кражу учетных данных и эксфильтрацию данных из памяти, используя для упаковки такие тактики, как KoiVM protector.

Новый загрузчик, наблюдаемый вместе с агентом Tesla, использует обманчивые вложения электронной почты, тактику запутывания, полиморфное поведение, исправления для обхода обнаружения AMSI и отражающую загрузку полезных данных для эффективного развертывания вредоносного ПО.

#ParsedReport #CompletenessMedium
27-03-2024

Ghost in the Archive: F.A.C.C.T. Experts discovered attacks by a new group of cyber spies PhantomCore

https://www.facct.ru/blog/phantomcore

Report completeness: Medium

Actors/Campaigns:
Phantomcore (motivation: cyber_espionage)

Threats:
Phantomrat
Spear-phishing_technique

Victims:
Russian companies

Geo:
Russian, Ukraine

CVEs:
CVE-2023-38831 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- rarlab winrar (<6.23, 5.20, 5.70, 4.20, 4.1.0, 6.20, 4.00, 5.50, 6.21, 4.01, 5.40, 5.01, 5.30, 4.10.2, 4.10, 6.11, 5.11, 5.00, -, 4.11, 5.21, 5.31, 5.10)


TTPs:
Tactics: 10
Technics: 19

IOCs:
File: 17
Domain: 1
Url: 9
Path: 11
Hash: 12

Soft:
Windows Task Scheduler, Telegram, Viber, WhatsApp

Algorithms:
sha1, cbc, zip, md5, sha256, aes-256, aes

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея: В начале 2024 года российские компании подверглись кибератакам со стороны новой группы под названием PhantomCore, использующей уникальный троян удаленного доступа PhantomRAT, использующий уязвимость WinRAR для проникновения в организации и установления связи с сервером управления для вредоносных действий.
-----

В начале 2024 года российские компании подверглись кибератакам со стороны группы кибершпионов, известной как PhantomCore, использующей троян удаленного доступа PhantomRAT.

Злоумышленники рассылали фишинговые электронные письма с защищенными паролем архивами RAR, содержащими PDF-документ вместе с исполняемым файлом, замаскированным в аналогичном каталоге.

PhantomRAT был разработан для скрытой работы с использованием .Сетевые приложения с однофайловым развертыванием, позволяющие избежать обнаружения в зараженных системах.

Злоумышленники воспользовались уязвимостью WinRAR CVE-2023-38831, нацеленной на архивы RAR, что позволило им установить PhantomRAT.

PhantomRAT облегчил загрузку файлов между скомпрометированными хостами и сервером управления, позволяя выполнять команды через cmd.exe.

Вредоносная программа установила соединение RSocket для связи с сервером управления, используя шифрование и специальные модели взаимодействия для эффективной передачи данных.

Структура классов PhantomRAT включала параметры конфигурации, влияющие на его работу, нацеленные на фильтрацию данных, выполнение команд и удаленное управление с помощью сетевых протоколов.

В ходе исследования были обнаружены связанные файлы, такие как PhantomCore.Загрузчик, ответственный за доставку PhantomRAT, с указанием методологий и инфраструктуры группы.

Тестовые адреса C2, найденные в некоторых образцах, предполагают потенциальную разведку перед атакой или тестирование действий субъектов угрозы.

#ParsedReport #CompletenessMedium
27-03-2024

Operation FlightNight: Indian Government Entities and Energy Sector Targeted by Cyber Espionage Campaign

https://blog.eclecticiq.com/operation-flightnight-indian-government-entities-and-energy-sector-targeted-by-cyber-espionage-campaign

Report completeness: Medium

Actors/Campaigns:
Flightnight (motivation: cyber_criminal, cyber_espionage, information_theft)

Threats:
Hackbrowserdata
Go-stealer
Spear-phishing_technique

Industry:
Petroleum, Government, Energy

Geo:
India, Indian, Ukraine, Russia

TTPs:

IOCs:
File: 3
Path: 1
Hash: 7
Domain: 5

Soft:
Slack, Microsoft Office, Google Chrome, Chromium, Microsoft Edge, Opera, OperaGX, Vivaldi, CocCoc, Internet Explorer, have more...

Algorithms:
zip, sha256

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, code: 3, windows: 2, dump: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что субъект киберугроз проводит кампанию кибершпионажа под названием "Операция FlightNight", нацеленную на государственные структуры Индии и энергетический сектор, используя настроенную версию программы для кражи информации с открытым исходным кодом HackBrowserData. Злоумышленник использовал фишинговые электронные письма, замаскированные под письма-приглашения от ВВС Индии, использовал каналы Slack для эксфильтрации конфиденциальных данных и хранил ключи Slack workspace и API в коде вредоносного ПО для связи. Атака включала кражу таких данных, как внутренние документы, сообщения электронной почты и данные браузера, в результате чего было отфильтровано в общей сложности 8,81 ГБ данных. Аналитики поделились своими выводами с индийскими властями, чтобы помочь в усилиях по реагированию на инциденты, и подчеркнули важность обмена разведданными, мониторинга, обнаружения на основе поведения и осведомленности сотрудников для эффективной борьбы с развивающимися киберугрозами.
-----

Начиная с 7 марта 2024 года, злоумышленник атаковал государственные учреждения Индии и энергетический сектор, используя настроенную версию программы для кражи информации HackBrowserData с помощью фишинговых электронных писем, замаскированных под письма-приглашения ВВС Индии.

Злоумышленник использовал каналы Slack для эксфильтрации данных, похитив конфиденциальные данные, такие как внутренние документы, электронные письма и данные браузера, общим объемом 8,81 ГБ.

Жертвами стали индийские правительственные учреждения, ответственные за электронные коммуникации, управление ИТ и национальную оборону, а также частные энергетические компании.

Предыдущая атака, совершенная 17 января 2024 года, имела сходство в поведении и технике доставки, что наводит на мысль о взаимосвязанной кампании.

Основным мотивом был кибершпионаж, а кража данных потенциально способствовала дальнейшим вторжениям в инфраструктуру индийского правительства.

EclecticIQ поделилась результатами с индийскими властями, чтобы помочь в выявлении жертв и реагировании на инциденты.

Вредоносная программа обладала расширенными функциями, включая связь по каналам Slack, эксфильтрацию документов и запутывание, чтобы избежать обнаружения.

В вредоносной программе были обнаружены Slack workspace и API-ключи, облегчающие взаимодействие с ботами Slack для извлечения данных.

Операция высветила тенденцию к модификации злоумышленниками инструментов с открытым исходным кодом для кибершпионажа, подчеркнув важность обмена разведданными, мониторинга, обнаружения на основе поведения и информированности сотрудников для борьбы с развивающимися киберугрозами.

#ParsedReport #CompletenessMedium
27-03-2024

Breaking Boundaries: Mispadu's Infiltration Beyond LATAM. Introduction

https://blog.morphisec.com/mispadu-infiltration-beyond-latam

Report completeness: Medium

Threats:
Mispadu
Passview_tool

Industry:
Financial

Geo:
Latam, Russian, Mexico

ChatGPT TTPs:
do not use without manual check
T1566, T1059, T1027, T1497, T1218, T1552, T1071

IOCs:
File: 3
Url: 2
Hash: 21
Domain: 8
Coin: 2

Crypto:
bitcoin

Algorithms:
zip

Languages:
autoit

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в расширении охвата банковского трояна Mispadu за пределы Латинской Америки и усилении его ориентации на европейские страны в ходе недавней кампании, а также в успешной краже учетных данных злоумышленником и использовании фишинговых электронных писем в качестве серьезной угрозы. Кроме того, в тексте подчеркивается эффективность Morphisec в предотвращении атак Mispadu с помощью инновационных технологий защиты, тактика уклонения Mispadu для обхода решений безопасности, а также конкретные детали цепочки заражения и поведения полезной нагрузки, связанные с Mispadu. В целом подчеркивается важность упреждающих мер кибербезопасности и передовых оборонных технологий для противодействия развивающимся киберугрозам.
-----

Mispadu, банковский троян и инфокрад, расширил свои цели за пределы Латинской Америки, включив в них европейские страны, при этом Мексика остается его основным объектом.

Злоумышленник, стоящий за Mispadu, успешно украл тысячи учетных данных с апреля 2023 года, запустив вредоносные фишинговые электронные письма, которые представляют значительную угрозу.

Morphisec, компания по кибербезопасности, эффективно обнаружила и предотвратила атаки в рамках этой кампании, используя запатентованную технологию защиты от движущихся целей.

Недавний всплеск активности Mispadu подчеркивает сохраняющуюся угрозу, исходящую от этого банковского трояна, который обходит многие существующие решения безопасности.

Цепочка заражения, организованная Mispadu, включает в себя несколько этапов, позволяющих избежать обнаружения, отфильтровать данные и использовать украденные учетные данные для дальнейших фишинговых кампаний.

Злоумышленник управляет двумя серверами управления (C2) для получения полезной нагрузки и эксфильтрации украденных учетных данных, используя украденные данные для создания дополнительных фишинговых электронных писем.

Географическое расширение и возросшая активность Mispadu подчеркивают важность упреждающих мер кибербезопасности и инвестиций в передовые решения для защиты от развивающихся киберугроз.

#ParsedReport #CompletenessMedium
27-03-2024

CHAVECLOAK: A Complex Cyber Threat to Brazil s Financial Security

https://socradar.io/chavecloak-cyber-threat-to-brazils-financial-security

Report completeness: Medium

Threats:
Chavecloak
Dll_sideloading_technique
Credential_harvesting_technique

Industry:
Financial

Geo:
Brazilian, Portuguese, Brazil

ChatGPT TTPs:
do not use without manual check
T1566.002, T1140, T1574.002, T1082, T1547.001, T1111, T1132.001, T1059.001, T1071.001, T1041, have more...

IOCs:
File: 3
Url: 3

Soft:
Windows Defender

Crypto:
bitcoin

Algorithms:
zip

Win API:
GetForegroundWindow, GetWindowTextW

Languages:
delphi, powershell

Platforms:
x86

#ParsedReport #ExtractedSchema

Classified images:
windows: 4, schema: 1, code: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что бразильский финансовый сектор сталкивается со значительной угрозой со стороны банковского трояна высокой степени вредоносности под названием CHAVECLOAK. Это сложное вредоносное ПО нацелено на пользователей в Бразилии на платформах Microsoft Windows, инициируя атаку с помощью поддельных PDF-файлов и используя передовые методы для извлечения конфиденциальной финансовой информации. CHAVECLOAK работает скрытно, отслеживая действия пользователей на финансовых платформах и используя как традиционные банковские услуги, так и криптовалютные биржи, подчеркивая меняющийся характер киберугроз, с которыми сталкиваются финансовые учреждения Бразилии.
-----

Бразильский финансовый сектор в настоящее время находится под серьезной угрозой со стороны сложного банковского трояна, известного как CHAVECLOAK. Эта вредоносная программа предназначена для нарушения мер безопасности и извлечения конфиденциальной финансовой информации, в первую очередь нацелена на пользователей в Бразилии, работающих на платформах Microsoft Windows. Уровень серьезности этой угрозы классифицируется как высокий из-за ее возможностей и целенаправленной направленности на бразильский финансовый сектор.

Троянец CHAVECLOAK инициирует свое проникновение через вводящий в заблуждение PDF-файл, содержащий скрытую ссылку для скачивания, которая отображается как документы, связанные с контрактом, на португальском языке. Как только жертва нажимает на ссылку, загружается ZIP-файл, содержащий полезную нагрузку трояна. Затем вредоносная программа использует методы боковой загрузки DLL для незаметной интеграции в систему, запуская многоэтапный процесс атаки. Она собирает информацию о файловой системе, устанавливает постоянство с помощью изменений реестра и подтверждает местоположение жертвы в Бразилии, прежде чем продолжить.

CHAVECLOAK работает скрытно, отслеживая действия пользователя на финансовых платформах и связываясь со своим сервером управления (C2) при обнаружении взаимодействий, связанных с банковской деятельностью. Троянец может блокировать экраны, регистрировать нажатия клавиш и отображать обманчивые всплывающие окна для сбора учетных данных не только с традиционных банковских платформ, но и с криптовалютных бирж.

При распаковке установщика MSI, связанного с CHAVECLOAK, обнаруживаются различные файлы, включая законные исполняемые файлы и подозрительные библиотеки DLL. Троянец работает путем регистрации системной информации, создания файлов журнала и инициирования HTTP-запросов для записи данных, относящихся к жертвам в Бразилии. Он постоянно проверяет наличие активных окон, связанных с финансовой деятельностью, перехватывая конфиденциальную информацию с помощью зависающих экранов, фиксируя нажатия клавиш и отображая вводящие в заблуждение всплывающие окна. Затем украденные данные загружаются в определенные каталоги в зависимости от типа целевого финансового учреждения.

Более старый вариант CHAVECLOAK демонстрирует другой механизм доставки, использующий исполняемый файл Delphi для встраивания окончательной полезной нагрузки. Этот вариант хранит полезную нагрузку в уникальном каталоге, обеспечивает сохранение в системе и активно отслеживает взаимодействия пользователей на экранах банковского обслуживания и входа в систему с использованием биткойнов. Троянец собирает различную конфиденциальную информацию, включая имена пользователей, пароли и нажатия клавиш, которые затем отправляются на его сервер C2 для дальнейшей эксплуатации.

Таким образом, CHAVECLOAK представляет серьезную угрозу для бразильского финансового сектора, используя тактику обмана, изощренные методы и обширные возможности для извлечения конфиденциальной финансовой информации у целевых жертв. Способность трояна отслеживать как традиционные банки, так и криптовалютные биржи подчеркивает эволюционирующий характер киберугроз, с которыми сталкиваются финансовые учреждения Бразилии.

#ParsedReport #CompletenessMedium
27-03-2024

ASEAN Entities in the Spotlight: Chinese APT Group Targeting

https://unit42.paloaltonetworks.com/chinese-apts-target-asean-entities

Report completeness: Medium

Actors/Campaigns:
Red_delta (motivation: cyber_espionage)

Threats:
Pubload

Victims:
Asean-affiliated entity, Entities in myanmar, Entities in the philippines, Entities in japan, Entities in singapore, Government entities in cambodia, Government entities in laos

Industry:
Government, Military

Geo:
Asian, Asia, Myanmar, Laos, Philippines, Japanese, China, Apac, Japan, Chinese, America, Singapore, Cambodia

ChatGPT TTPs:
do not use without manual check
T1204, T1566, T1027, T1574, T1059, T1547, T1105, T1071, T1112, T1588, have more...

IOCs:
File: 8
Path: 1
IP: 8
Url: 2
Domain: 3
Hash: 5

Algorithms:
zip

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что исследователи подразделения 42 выявили китайские группы APT, Stately Taurus и другую неназванную группу, занимающуюся кибершпионажем, нацеленным на организации и страны-члены, связанные с Ассоциацией государств Юго-Восточной Азии (АСЕАН). Эти группы действуют уже несколько лет и нацелены на правительственные и неправительственные организации по всей Северной Америке, Европе и Азии. Кампании кибершпионажа предполагают использование пакетов вредоносных программ, предназначенных для конкретных стран региона АСЕАН, что указывает на текущие угрозы организациям в целях сбора разведывательной информации. Даны рекомендации организациям по усилению своих защитных мер против этих угроз.
-----

Исследователи подразделения 42 обнаружили, что две китайские группы advanced persistent threat (APT), известные как Stately Taurus и другая неназванная группа, в течение последних 90 дней занимались кибершпионажем, нацеленным на организации и страны-члены, связанные с Ассоциацией государств Юго-Восточной Азии (АСЕАН). Stately Taurus, также известная как Mustang Panda, BRONZE PRESIDENT, Red Delta, LuminousMoth, Earth Preta и Camaro Dragon, работает по меньшей мере с 2012 года и считается китайской APT-группой, специализирующейся на кампаниях кибершпионажа. Эта группа имеет историю нападок на государственные структуры, некоммерческие организации, религиозные организации и другие неправительственные организации по всей Северной Америке, Европе и Азии.

Во время Специального саммита АСЕАН-Австралия, состоявшегося в марте 2024 года, исследователи подразделения 42 выявили два вредоносных пакета, приписываемых Stately Taurus, которые были предназначены для атак на организации в Мьянме, на Филиппинах, в Японии и Сингапуре. Первый вредоносный пакет, созданный 4 марта 2024 года, был замаскирован под ZIP-архив, содержащий вредоносный исполняемый файл с именем Talking_Points_for_China.exe, который на самом деле был переименованной копией программы для защиты от регистрации ключей, разработанной QFX Software Corporation. Этот исполняемый файл загрузил вредоносный DLL-файл и попытался установить соединение с вредоносным IP-адресом. Второй пакет, созданный 5 марта 2024 года, представлял собой исполняемый файл скринсейвера с именем Note PSO.scr, предназначенный для загрузки доброкачественного исполняемого файла и вредоносного DLL-файла из определенных мест для целей командования и контроля.

Вторая китайская APT-группа скомпрометировала организацию, аффилированную с АСЕАН, указав, что среда организации была скомпрометирована путем подключения к вредоносной инфраструктуре группы. Кроме того, были обнаружены сетевые связи между организациями, аффилированными с АСЕАН, и инфраструктурой C2 китайских APT-групп, что подчеркивает привлекательность этих организаций в качестве целей шпионажа из-за их обработки конфиденциальной дипломатической и экономической информации в регионе.

Исследователи подразделения 42 отметили время совершения вредоносных действий с отчетливыми перерывами во время значительных китайских праздников, таких как Лунный Новый год и установленный законом "Особый рабочий день". Рабочее время субъекта угрозы совпадает со стандартным китайским временем, демонстрируя характер активности, соответствующий предыдущим наблюдениям во время Золотой недели Китая в 2023 году.

Эти кампании кибершпионажа подчеркивают сохраняющуюся угрозу, исходящую от связанных с национальными государствами группировок, нацеленных на организации в целях сбора разведывательных данных, особенно в контексте геополитических интересов в регионе АСЕАН. Организациям рекомендуется использовать результаты исследования Unit 42 для усиления своих защитных мер против таких угроз, уделяя особое внимание защите от выявленных вредоносных инфраструктур и тактики, используемой китайскими APT-группами.