Forwarded from vx-underground
13-year-old Marco Liberale has created a proof-of-concept PasteBin C2 botnet in Go. Is it fully cross platform working on Windows, Linux, and Mac.
We are very happy to see such a young person contributing to this research space.
Check it out here: https://github.com/marco-liberale/PasteBomb
We are very happy to see such a young person contributing to this research space.
Check it out here: https://github.com/marco-liberale/PasteBomb
GitHub
GitHub - marco-liberale/PasteBomb: PasteBomb C2-less RAT
PasteBomb C2-less RAT. Contribute to marco-liberale/PasteBomb development by creating an account on GitHub.
👍1
#technique
А вот еще интересная статья. Спасибо автору за работу!
Погружаемся в PEB. Подмена аргументов командной строки в запущенных и suspended процессах
https://habr.com/ru/articles/808787/
А вот еще интересная статья. Спасибо автору за работу!
Погружаемся в PEB. Подмена аргументов командной строки в запущенных и suspended процессах
https://habr.com/ru/articles/808787/
Хабр
Погружаемся в PEB. Подмена аргументов командной строки в запущенных и suspended процессах
Каждый процесс в ОС Windows имеет описательный блок PEB (Process Environment Block) размером в 2000 байт, содержащий информацию об этом процессе. Начало этого блока выглядит так: BYTE...
👍3🔥2😱2
#ParsedReport #CompletenessMedium
19-04-2024
Dark Web Profile: Akira Ransomware
https://socradar.io/dark-web-profile-akira-ransomware
Report completeness: Medium
Threats:
Akira_ransomware
Megazord
Spear-phishing_technique
Kerberoasting_technique
Anydesk_tool
Shadow_copies_delete_technique
Adfind_tool
Mimikatz_tool
Credential_dumping_technique
Lazagne_tool
Pchunter64_tool
Nltest_tool
Byovd_technique
Industry:
Healthcare, Education, Financial
Geo:
Australia, America
CVEs:
CVE-2020-3259 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cisco firepower threat defense (<6.5.0.5, <6.4.0.9, <6.3.0.6, <6.2.3.16)
- cisco adaptive security appliance software (<9.9.2.67, <9.8.4.20, <9.13.1.10, <9.10.1.40, <9.12.3.9)
CVE-2023-20269 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cisco adaptive security appliance software (6.2.3, 6.2.3.1, 6.2.3.2, 6.2.3.3, 6.2.3.4, 6.2.3.5, 6.2.3.6, 6.2.3.7, 6.2.3.8, 6.2.3.9, 6.2.3.10, 6.2.3.11, 6.2.3.12, 6.2.3.13, 6.2.3.14, 6.2.3.15, 6.2.3.16, 6.2.3.17, 6.2.3.18, 6.4.0, 6.4.0.1, 6.4.0.2, 6.4.0.3, 6.4.0.4, 6.4.0.5, 6.4.0.6, 6.4.0.7, 6.4.0.8, 6.4.0.9, 6.4.0.10, 6.4.0.11, 6.4.0.12, 6.4.0.13, 6.4.0.14, 6.4.0.15, 6.4.0.16, 6.6.0, 6.6.0.1, 6.6.1, 6.6.3, 6.6.4, 6.6.5, 6.6.5.1, 6.6.5.2, 6.6.7, 6.6.7.1, 6.7.0, 6.7.0.1, 6.7.0.2, 6.7.0.3, 7.0.0, 7.0.0.1, 7.0.1, 7.0.1.1, 7.0.2, 7.0.2.1, 7.0.3, 7.0.4, 7.0.5, 7.0.6, 7.1.0, 7.1.0.1, 7.1.0.2, 7.1.0.3, 7.2.0, 7.2.0.1, 7.2.1, 7.2.2, 7.2.3, 7.2.4, 7.2.4.1, 7.2.5, 7.3.0, 7.3.1, 7.3.1.1, 9.8.1, 9.8.1.5, 9.8.1.7, 9.8.2, 9.8.2.8, 9.8.2.14, 9.8.2.15, 9.8.2.17, 9.8.2.20, 9.8.2.24, 9.8.2.26, 9.8.2.28, 9.8.2.33, 9.8.2.35, 9.8.2.38, 9.8.3, 9.8.3.8, 9.8.3.11, 9.8.3.14, 9.8.3.16, 9.8.3.18, 9.8.3.21, 9.8.3.26, 9.8.3.29, 9.8.4, 9.8.4.3, 9.8.4.7, 9.8.4.8, 9.8.4.10, 9.8.4.12, 9.8.4.15, 9.8.4.17, 9.8.4.20, 9.8.4.22, 9.8.4.25, 9.8.4.26, 9.8.4.29, 9.8.4.32, 9.8.4.33, 9.8.4.34, 9.8.4.35, 9.8.4.39, 9.8.4.40, 9.8.4.41, 9.8.4.43, 9.8.4.44, 9.8.4.45, 9.8.4.46, 9.8.4.48, 9.10.1, 9.12.1, 9.12.1.2, 9.12.1.3, 9.12.2, 9.12.2.1, 9.12.2.4, 9.12.2.5, 9.12.2.9, 9.12.3, 9.12.3.2, 9.12.3.7, 9.12.3.9, 9.12.3.12, 9.12.4, 9.12.4.2, 9.12.4.4, 9.12.4.7, 9.12.4.8, 9.12.4.10, 9.12.4.13, 9.12.4.18, 9.12.4.24, 9.12.4.26, 9.12.4.29, 9.12.4.30, 9.12.4.35, 9.12.4.37, 9.12.4.38, 9.12.4.39, 9.12.4.40, 9.12.4.41, 9.12.4.47, 9.12.4.48, 9.12.4.50, 9.12.4.52, 9.12.4.54, 9.12.4.55, 9.12.4.56, 9.12.4.58, 9.14.1, 9.14.1.6, 9.14.1.10, 9.14.1.15, 9.14.1.19, 9.14.1.30, 9.14.2, 9.14.2.4, 9.14.2.8, 9.14.2.13, 9.14.2.15, 9.14.3, 9.14.3.1, 9.14.3.9, 9.14.3.11, 9.14.3.13, 9.14.3.15, 9.14.3.18, 9.14.4, 9.14.4.6, 9.14.4.7, 9.14.4.12, 9.14.4.13, 9.14.4.14, 9.14.4.15, 9.14.4.17, 9.14.4.22, 9.14.4.23, 9.15.1, 9.15.1.1, 9.15.1.7, 9.15.1.10, 9.15.1.15, 9.15.1.16, 9.15.1.17, 9.15.1.21, 9.16.1, 9.16.1.28, 9.16.2, 9.16.2.3, 9.16.2.7, 9.16.2.11, 9.16.2.13, 9.16.2.14, 9.16.3, 9.16.3.3, 9.16.3.14, 9.16.3.15, 9.16.3.19, 9.16.3.23, 9.16.4, 9.16.4.9, 9.16.4.14, 9.16.4.18, 9.16.4.19, 9.16.4.27, 9.16.4.38, 9.17.1, 9.17.1.7, 9.17.1.9, 9.17.1.10, 9.17.1.11, 9.17.1.13, 9.17.1.15, 9.17.1.20, 9.17.1.30, 9.18.1, 9.18.1.3, 9.18.2, 9.18.2.5, 9.18.2.7, 9.18.2.8, 9.18.3, 9.18.3.39, 9.18.3.46, 9.18.3.53, 9.18.3.55, 9.19.1, 9.19.1.5, 9.19.1.9, 9.19.1.12, 9.19.1.18)
TTPs:
Tactics: 9
Technics: 25
Soft:
ESXi, WinSCP
Crypto:
bitcoin
Algorithms:
chacha20
Languages:
rust, powershell
19-04-2024
Dark Web Profile: Akira Ransomware
https://socradar.io/dark-web-profile-akira-ransomware
Report completeness: Medium
Threats:
Akira_ransomware
Megazord
Spear-phishing_technique
Kerberoasting_technique
Anydesk_tool
Shadow_copies_delete_technique
Adfind_tool
Mimikatz_tool
Credential_dumping_technique
Lazagne_tool
Pchunter64_tool
Nltest_tool
Byovd_technique
Industry:
Healthcare, Education, Financial
Geo:
Australia, America
CVEs:
CVE-2020-3259 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cisco firepower threat defense (<6.5.0.5, <6.4.0.9, <6.3.0.6, <6.2.3.16)
- cisco adaptive security appliance software (<9.9.2.67, <9.8.4.20, <9.13.1.10, <9.10.1.40, <9.12.3.9)
CVE-2023-20269 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cisco adaptive security appliance software (6.2.3, 6.2.3.1, 6.2.3.2, 6.2.3.3, 6.2.3.4, 6.2.3.5, 6.2.3.6, 6.2.3.7, 6.2.3.8, 6.2.3.9, 6.2.3.10, 6.2.3.11, 6.2.3.12, 6.2.3.13, 6.2.3.14, 6.2.3.15, 6.2.3.16, 6.2.3.17, 6.2.3.18, 6.4.0, 6.4.0.1, 6.4.0.2, 6.4.0.3, 6.4.0.4, 6.4.0.5, 6.4.0.6, 6.4.0.7, 6.4.0.8, 6.4.0.9, 6.4.0.10, 6.4.0.11, 6.4.0.12, 6.4.0.13, 6.4.0.14, 6.4.0.15, 6.4.0.16, 6.6.0, 6.6.0.1, 6.6.1, 6.6.3, 6.6.4, 6.6.5, 6.6.5.1, 6.6.5.2, 6.6.7, 6.6.7.1, 6.7.0, 6.7.0.1, 6.7.0.2, 6.7.0.3, 7.0.0, 7.0.0.1, 7.0.1, 7.0.1.1, 7.0.2, 7.0.2.1, 7.0.3, 7.0.4, 7.0.5, 7.0.6, 7.1.0, 7.1.0.1, 7.1.0.2, 7.1.0.3, 7.2.0, 7.2.0.1, 7.2.1, 7.2.2, 7.2.3, 7.2.4, 7.2.4.1, 7.2.5, 7.3.0, 7.3.1, 7.3.1.1, 9.8.1, 9.8.1.5, 9.8.1.7, 9.8.2, 9.8.2.8, 9.8.2.14, 9.8.2.15, 9.8.2.17, 9.8.2.20, 9.8.2.24, 9.8.2.26, 9.8.2.28, 9.8.2.33, 9.8.2.35, 9.8.2.38, 9.8.3, 9.8.3.8, 9.8.3.11, 9.8.3.14, 9.8.3.16, 9.8.3.18, 9.8.3.21, 9.8.3.26, 9.8.3.29, 9.8.4, 9.8.4.3, 9.8.4.7, 9.8.4.8, 9.8.4.10, 9.8.4.12, 9.8.4.15, 9.8.4.17, 9.8.4.20, 9.8.4.22, 9.8.4.25, 9.8.4.26, 9.8.4.29, 9.8.4.32, 9.8.4.33, 9.8.4.34, 9.8.4.35, 9.8.4.39, 9.8.4.40, 9.8.4.41, 9.8.4.43, 9.8.4.44, 9.8.4.45, 9.8.4.46, 9.8.4.48, 9.10.1, 9.12.1, 9.12.1.2, 9.12.1.3, 9.12.2, 9.12.2.1, 9.12.2.4, 9.12.2.5, 9.12.2.9, 9.12.3, 9.12.3.2, 9.12.3.7, 9.12.3.9, 9.12.3.12, 9.12.4, 9.12.4.2, 9.12.4.4, 9.12.4.7, 9.12.4.8, 9.12.4.10, 9.12.4.13, 9.12.4.18, 9.12.4.24, 9.12.4.26, 9.12.4.29, 9.12.4.30, 9.12.4.35, 9.12.4.37, 9.12.4.38, 9.12.4.39, 9.12.4.40, 9.12.4.41, 9.12.4.47, 9.12.4.48, 9.12.4.50, 9.12.4.52, 9.12.4.54, 9.12.4.55, 9.12.4.56, 9.12.4.58, 9.14.1, 9.14.1.6, 9.14.1.10, 9.14.1.15, 9.14.1.19, 9.14.1.30, 9.14.2, 9.14.2.4, 9.14.2.8, 9.14.2.13, 9.14.2.15, 9.14.3, 9.14.3.1, 9.14.3.9, 9.14.3.11, 9.14.3.13, 9.14.3.15, 9.14.3.18, 9.14.4, 9.14.4.6, 9.14.4.7, 9.14.4.12, 9.14.4.13, 9.14.4.14, 9.14.4.15, 9.14.4.17, 9.14.4.22, 9.14.4.23, 9.15.1, 9.15.1.1, 9.15.1.7, 9.15.1.10, 9.15.1.15, 9.15.1.16, 9.15.1.17, 9.15.1.21, 9.16.1, 9.16.1.28, 9.16.2, 9.16.2.3, 9.16.2.7, 9.16.2.11, 9.16.2.13, 9.16.2.14, 9.16.3, 9.16.3.3, 9.16.3.14, 9.16.3.15, 9.16.3.19, 9.16.3.23, 9.16.4, 9.16.4.9, 9.16.4.14, 9.16.4.18, 9.16.4.19, 9.16.4.27, 9.16.4.38, 9.17.1, 9.17.1.7, 9.17.1.9, 9.17.1.10, 9.17.1.11, 9.17.1.13, 9.17.1.15, 9.17.1.20, 9.17.1.30, 9.18.1, 9.18.1.3, 9.18.2, 9.18.2.5, 9.18.2.7, 9.18.2.8, 9.18.3, 9.18.3.39, 9.18.3.46, 9.18.3.53, 9.18.3.55, 9.19.1, 9.19.1.5, 9.19.1.9, 9.19.1.12, 9.19.1.18)
TTPs:
Tactics: 9
Technics: 25
Soft:
ESXi, WinSCP
Crypto:
bitcoin
Algorithms:
chacha20
Languages:
rust, powershell
SOCRadar® Cyber Intelligence Inc.
Dark Web Profile: Akira Ransomware - SOCRadar® Cyber Intelligence Inc.
Since its discovery in early 2023, Akira ransomware has evolved from a seemingly ordinary addition to the ransomware landscape to a significant...
CTT Report Hub
#ParsedReport #CompletenessMedium 19-04-2024 Dark Web Profile: Akira Ransomware https://socradar.io/dark-web-profile-akira-ransomware Report completeness: Medium Threats: Akira_ransomware Megazord Spear-phishing_technique Kerberoasting_technique Anydesk_tool…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Программа-вымогатель Akira представляет собой серьезную и развивающуюся глобальную угрозу, воздействующую на предприятия и критически важную инфраструктуру посредством стратегии двойного вымогательства. Она вдохновлена аниме-фильмом в стиле киберпанк и использует сложные методы, нацеленные на различные отрасли, используя инструменты шифрования и получая доступ несколькими способами.
-----
Программа-вымогатель Akira, обнаруженная в начале 2023 года, быстро превратилась в серьезную угрозу, затрагивающую многочисленные предприятия и объекты критически важной инфраструктуры по всему миру. Известная своей уникальной эстетикой в области утечек информации и коммуникаций, компания Akira использует стратегию двойного вымогательства, при которой данные фильтруются перед шифрованием устройств, требуя плату за расшифровку и за предотвращение раскрытия данных. По состоянию на 1 января 2024 года группа ransom group заявила о получении более 42 миллионов долларов от программ-вымогателей, при этом пострадали более 250 организаций.
Считается, что название Akira было навеяно киберпанковским аниме-фильмом 1988 года, в котором главный герой разрушает Нео-Токио в качестве превентивной меры против злонамеренных сил, параллельно с верой операторов программ-вымогателей в борьбу с системной несправедливостью в экономической системе. Программа-вымогатель была нацелена на организации по всей Северной Америке, Европе и Австралии, первоначально ориентируясь на системы Windows, а затем распространилась на виртуальные машины VMware ESXi с версией Linux.
Первоначально используя расширение .akira для зашифрованных файлов, Akira позже представила Megazord, инструмент шифрования на основе Rust с расширением .powerranges, для некоторых атак, начиная с августа 2023 года. Группа использует в своих атаках поочередно Megazord и Akira_v2. Akira в первую очередь нацелена на крупные предприятия в различных отраслях, таких как образование, финансы, производство и здравоохранение, с помощью фишинговых электронных писем, использования уязвимостей программного обеспечения и VPN-сервисов, в которых отсутствует многофакторная аутентификация (MFA).
Злоумышленники, стоящие за Akira, получают первоначальный доступ с помощью таких методов, как эксплойты VPN, протокол удаленного рабочего стола (RDP), скрытый фишинг и злоупотребление учетными данными. Они обеспечивают постоянство за счет создания новых учетных записей домена и использования методов последующей эксплуатации, таких как Kerberoasting и очистка учетных данных для повышения привилегий. Инструменты сетевого сканирования помогают в проведении разведки, а различные инструменты, такие как FileZilla, WinSCP и AnyDesk, используются для фильтрации данных и создания каналов управления.
Используя модель двойного вымогательства, Akira использует гибридную схему шифрования, сочетающую алгоритмы ChaCha20 и RSA, которая нацелена на определенные типы файлов и размеры, удаляя копии VSS и оставляя записки с требованием выкупа для связи. Они используют такие инструменты, как Mimikatz, PowerShell и WinRAR, для разведки, удаленного доступа, кражи учетных данных и манипулирования системами.
Этот подробный план действий Akira демонстрирует их изощренные методы, тактику уклонения, методы шифрования и использование разнообразных инструментов в ходе их вредоносной деятельности. Операторы программ-вымогателей опираются на культурные отсылки, такие как фильм "Акира", чтобы донести свою миссию по борьбе с тем, что они считают экономической несправедливостью. Более подробную информацию о программе-вымогателе Akira и ее влиянии на организации можно найти в рекомендациях CISA.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Программа-вымогатель Akira представляет собой серьезную и развивающуюся глобальную угрозу, воздействующую на предприятия и критически важную инфраструктуру посредством стратегии двойного вымогательства. Она вдохновлена аниме-фильмом в стиле киберпанк и использует сложные методы, нацеленные на различные отрасли, используя инструменты шифрования и получая доступ несколькими способами.
-----
Программа-вымогатель Akira, обнаруженная в начале 2023 года, быстро превратилась в серьезную угрозу, затрагивающую многочисленные предприятия и объекты критически важной инфраструктуры по всему миру. Известная своей уникальной эстетикой в области утечек информации и коммуникаций, компания Akira использует стратегию двойного вымогательства, при которой данные фильтруются перед шифрованием устройств, требуя плату за расшифровку и за предотвращение раскрытия данных. По состоянию на 1 января 2024 года группа ransom group заявила о получении более 42 миллионов долларов от программ-вымогателей, при этом пострадали более 250 организаций.
Считается, что название Akira было навеяно киберпанковским аниме-фильмом 1988 года, в котором главный герой разрушает Нео-Токио в качестве превентивной меры против злонамеренных сил, параллельно с верой операторов программ-вымогателей в борьбу с системной несправедливостью в экономической системе. Программа-вымогатель была нацелена на организации по всей Северной Америке, Европе и Австралии, первоначально ориентируясь на системы Windows, а затем распространилась на виртуальные машины VMware ESXi с версией Linux.
Первоначально используя расширение .akira для зашифрованных файлов, Akira позже представила Megazord, инструмент шифрования на основе Rust с расширением .powerranges, для некоторых атак, начиная с августа 2023 года. Группа использует в своих атаках поочередно Megazord и Akira_v2. Akira в первую очередь нацелена на крупные предприятия в различных отраслях, таких как образование, финансы, производство и здравоохранение, с помощью фишинговых электронных писем, использования уязвимостей программного обеспечения и VPN-сервисов, в которых отсутствует многофакторная аутентификация (MFA).
Злоумышленники, стоящие за Akira, получают первоначальный доступ с помощью таких методов, как эксплойты VPN, протокол удаленного рабочего стола (RDP), скрытый фишинг и злоупотребление учетными данными. Они обеспечивают постоянство за счет создания новых учетных записей домена и использования методов последующей эксплуатации, таких как Kerberoasting и очистка учетных данных для повышения привилегий. Инструменты сетевого сканирования помогают в проведении разведки, а различные инструменты, такие как FileZilla, WinSCP и AnyDesk, используются для фильтрации данных и создания каналов управления.
Используя модель двойного вымогательства, Akira использует гибридную схему шифрования, сочетающую алгоритмы ChaCha20 и RSA, которая нацелена на определенные типы файлов и размеры, удаляя копии VSS и оставляя записки с требованием выкупа для связи. Они используют такие инструменты, как Mimikatz, PowerShell и WinRAR, для разведки, удаленного доступа, кражи учетных данных и манипулирования системами.
Этот подробный план действий Akira демонстрирует их изощренные методы, тактику уклонения, методы шифрования и использование разнообразных инструментов в ходе их вредоносной деятельности. Операторы программ-вымогателей опираются на культурные отсылки, такие как фильм "Акира", чтобы донести свою миссию по борьбе с тем, что они считают экономической несправедливостью. Более подробную информацию о программе-вымогателе Akira и ее влиянии на организации можно найти в рекомендациях CISA.
#ParsedReport #CompletenessLow
19-04-2024
JavaScript Malware Switches to Server-Side Redirects & DNS TXT Records as TDS
https://blog.sucuri.net/2024/04/javascript-malware-switches-to-server-side-redirects-dns-txt-records-tds.html
Report completeness: Low
Threats:
Vextrio
Victims:
Wordpress sites
Geo:
Brazil, Thailand, Mexico, Pakistan, Egypt, Serbia, Morocco
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1566, T1071, T1027, T1553, T1485, T1574
IOCs:
Domain: 7
Url: 2
IP: 2
Soft:
WordPress, Android, Ubuntu, Fedora
Algorithms:
base64
Functions:
_red
Languages:
php, javascript
Platforms:
x64, apple
19-04-2024
JavaScript Malware Switches to Server-Side Redirects & DNS TXT Records as TDS
https://blog.sucuri.net/2024/04/javascript-malware-switches-to-server-side-redirects-dns-txt-records-tds.html
Report completeness: Low
Threats:
Vextrio
Victims:
Wordpress sites
Geo:
Brazil, Thailand, Mexico, Pakistan, Egypt, Serbia, Morocco
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1566, T1071, T1027, T1553, T1485, T1574
IOCs:
Domain: 7
Url: 2
IP: 2
Soft:
WordPress, Android, Ubuntu, Fedora
Algorithms:
base64
Functions:
_red
Languages:
php, javascript
Platforms:
x64, apple
Sucuri Blog
JavaScript Malware Switches to Server-Side Redirects & DNS TXT Records as TDS
A malware campaign that was injecting malicious JavaScript code into compromised WordPress sites to redirect site visitors to VexTrio domains has since switched to server-side Redirects and using DNS TXT Records as TDS. We include indicators of compromise…
CTT Report Hub
#ParsedReport #CompletenessLow 19-04-2024 JavaScript Malware Switches to Server-Side Redirects & DNS TXT Records as TDS https://blog.sucuri.net/2024/04/javascript-malware-switches-to-server-side-redirects-dns-txt-records-tds.html Report completeness: Low…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста - подробный анализ вредоносной кампании, нацеленной на сайты WordPress, включающей внедрение JavaScript, перенаправление домена и злоупотребление плагином WPCode для распространения вредоносного ПО. В нем также обсуждается наличие бэкдоров, использование динамических поддоменов и рекомендации по стратегиям защиты веб-сайтов от заражения. В тексте рассказывается о тактике, используемой злоумышленниками, масштабах воздействия вредоносного ПО, а также о методах обнаружения и удаления.
-----
Вредоносная кампания, нацеленная на сайты WordPress, включала внедрение вредоносного JavaScript для перенаправления посетителей на домены VexTrio.
Для получения URL-адресов перенаправления использовались динамические текстовые записи DNS типа tracker-cloud.com.
Кампания отслеживалась с августа с учетом изменений в методах обфускации и доменных именах в текстовом трафике DNS.
46 815 зараженных сайтов достигли пика обнаружения в феврале 2024 года (9 222 сайта в том месяце).
Домены TDS включают web-hosts.io, IP-адрес 185.161.248.253, размещенные домены в цепочках перенаправлений.
Злоумышленники использовали PHP-версию внедрения JavaScript через плагин WPCode для распространения вредоносного ПО.
Вредоносная программа содержала бэкдор, позволяющий осуществлять связь через файлы cookie в кодировке base64.
Запросы вредоносных ботов с различных локальных IP-адресов по всему миру предполагают использование прокси-сервера.
Рекомендации включают в себя отключение доменов DNS TDS, смену паролей администратора WordPress и проверку установленных плагинов на наличие вредоносных фрагментов.
Владельцам веб-сайтов настоятельно рекомендуется обратиться за профессиональной помощью в случае заражения.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста - подробный анализ вредоносной кампании, нацеленной на сайты WordPress, включающей внедрение JavaScript, перенаправление домена и злоупотребление плагином WPCode для распространения вредоносного ПО. В нем также обсуждается наличие бэкдоров, использование динамических поддоменов и рекомендации по стратегиям защиты веб-сайтов от заражения. В тексте рассказывается о тактике, используемой злоумышленниками, масштабах воздействия вредоносного ПО, а также о методах обнаружения и удаления.
-----
Вредоносная кампания, нацеленная на сайты WordPress, включала внедрение вредоносного JavaScript для перенаправления посетителей на домены VexTrio.
Для получения URL-адресов перенаправления использовались динамические текстовые записи DNS типа tracker-cloud.com.
Кампания отслеживалась с августа с учетом изменений в методах обфускации и доменных именах в текстовом трафике DNS.
46 815 зараженных сайтов достигли пика обнаружения в феврале 2024 года (9 222 сайта в том месяце).
Домены TDS включают web-hosts.io, IP-адрес 185.161.248.253, размещенные домены в цепочках перенаправлений.
Злоумышленники использовали PHP-версию внедрения JavaScript через плагин WPCode для распространения вредоносного ПО.
Вредоносная программа содержала бэкдор, позволяющий осуществлять связь через файлы cookie в кодировке base64.
Запросы вредоносных ботов с различных локальных IP-адресов по всему миру предполагают использование прокси-сервера.
Рекомендации включают в себя отключение доменов DNS TDS, смену паролей администратора WordPress и проверку установленных плагинов на наличие вредоносных фрагментов.
Владельцам веб-сайтов настоятельно рекомендуется обратиться за профессиональной помощью в случае заражения.
#ParsedReport #CompletenessHigh
19-04-2024
Threat Actor Profile: TransparentTribe
https://cyble.com/blog/threat-actor-profile-transparenttribe
Report completeness: High
Actors/Campaigns:
Transparenttribe (motivation: cyber_espionage)
Steppy_kavach
Sidecopy
Sidewinder
Threats:
Crimson_rat
Typosquatting_technique
Luminosity_rat
Peppy_rat
Beendoor
Bezigate
Bozok_rat
Breach_rat
Caprarat
Darkcomet_rat
Limepad_tool
Mobzsar
Mumbaidown
Njrat
Oblique_rat
Quasar_rat
Silentcmd
Mango
Updatesee
Usbworm
Waizsar
Ss-rat
Slayer616_actor
Androrat_rat
Darkcodersc_actor
Spear-phishing_technique
Credential_dumping_technique
Mimikatz_tool
Victims:
Indian government organizations, Military personnel, Defense contractors, Indian embassies
Industry:
Government, Healthcare, Military, Education
Geo:
Sweden, Malaysia, Kenya, Japan, Belgium, Saudi, Usa, Bulgaria, Germany, Netherlands, India, Syrian, Nepal, Kazakhstan, Thailand, China, Canada, Indian, Iran, Botswana, Spain, Mongolia, Afghanistan, Romania, Austria, Pakistan, Azerbaijan, Turkey, Australia, Czech, Oman, France
CVEs:
CVE-2010-3333 [Vulners]
CVSS V3.1: 9.3,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft open xml file format converter (*)
- microsoft office (2008, 2004, xp, 2007, 2011, 2010, 2003)
CVE-2012-0158 [Vulners]
CVSS V3.1: 9.3,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft office (2010, 2007, 2003)
- microsoft office web components (2003)
- microsoft sql server (2008, 2005, 2000)
- microsoft commerce server (2007, 2009, 2002)
- microsoft biztalk server (2002)
have more...
TTPs:
Tactics: 1
Technics: 13
IOCs:
File: 3
IP: 2
Url: 2
Path: 1
Soft:
Android, Microsoft Word, libreoffice, Microsoft Office, Windows registry
Languages:
python, swift, visual_basic
Platforms:
intel
19-04-2024
Threat Actor Profile: TransparentTribe
https://cyble.com/blog/threat-actor-profile-transparenttribe
Report completeness: High
Actors/Campaigns:
Transparenttribe (motivation: cyber_espionage)
Steppy_kavach
Sidecopy
Sidewinder
Threats:
Crimson_rat
Typosquatting_technique
Luminosity_rat
Peppy_rat
Beendoor
Bezigate
Bozok_rat
Breach_rat
Caprarat
Darkcomet_rat
Limepad_tool
Mobzsar
Mumbaidown
Njrat
Oblique_rat
Quasar_rat
Silentcmd
Mango
Updatesee
Usbworm
Waizsar
Ss-rat
Slayer616_actor
Androrat_rat
Darkcodersc_actor
Spear-phishing_technique
Credential_dumping_technique
Mimikatz_tool
Victims:
Indian government organizations, Military personnel, Defense contractors, Indian embassies
Industry:
Government, Healthcare, Military, Education
Geo:
Sweden, Malaysia, Kenya, Japan, Belgium, Saudi, Usa, Bulgaria, Germany, Netherlands, India, Syrian, Nepal, Kazakhstan, Thailand, China, Canada, Indian, Iran, Botswana, Spain, Mongolia, Afghanistan, Romania, Austria, Pakistan, Azerbaijan, Turkey, Australia, Czech, Oman, France
CVEs:
CVE-2010-3333 [Vulners]
CVSS V3.1: 9.3,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft open xml file format converter (*)
- microsoft office (2008, 2004, xp, 2007, 2011, 2010, 2003)
CVE-2012-0158 [Vulners]
CVSS V3.1: 9.3,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft office (2010, 2007, 2003)
- microsoft office web components (2003)
- microsoft sql server (2008, 2005, 2000)
- microsoft commerce server (2007, 2009, 2002)
- microsoft biztalk server (2002)
have more...
TTPs:
Tactics: 1
Technics: 13
IOCs:
File: 3
IP: 2
Url: 2
Path: 1
Soft:
Android, Microsoft Word, libreoffice, Microsoft Office, Windows registry
Languages:
python, swift, visual_basic
Platforms:
intel
CTT Report Hub
#ParsedReport #CompletenessHigh 19-04-2024 Threat Actor Profile: TransparentTribe https://cyble.com/blog/threat-actor-profile-transparenttribe Report completeness: High Actors/Campaigns: Transparenttribe (motivation: cyber_espionage) Steppy_kavach Sidecopy…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что TransparentTribe - это группа APT, базирующаяся в Пакистане, которая занимается кибершпионажем, нацеленным в первую очередь на индийские правительственные организации, военный персонал и оборонных подрядчиков. Они используют различные тактики и инструменты для использования уязвимостей, распространения вредоносного ПО и нарушения безопасности своих объектов, распространяя свою деятельность за пределы Индии и на другие страны. Их методы включают фишинг, социальную инженерию и использование специально разработанных вредоносных программ, таких как the Crimson RAT. TransparentTribe постоянно совершенствует свою тактику и процедуры, ориентируясь на пользователей из государственных структур Индии, демонстрируя связи с другими группами APT, такими как SideCopy и SideWinder.
-----
TransparentTribe - это группа APT, базирующаяся в Пакистане, которая нацелена на правительственные организации Индии, военнослужащих, оборонных подрядчиков и другие страны, такие как Австралия, Австрия, Канада, Китай, Германия, Япония, США и т.д.
Они используют для своих атак такие платформы, как Windows и Android, и используют такие тактики, как создание поддельных веб-сайтов и документов, чтобы обманом заставить пользователей раскрыть учетные данные или загрузить вредоносное ПО, подобное the Crimson RAT.
Были заподозрены связи между TransparentTribe и другими группами APT, такими как SideCopy и SideWinder.
Они используют различные средства заражения, включая файлы вредоносных документов, файлы PowerPoint, таблицы Excel, файлы для ввода данных на рабочем столе Linux и методы социальной инженерии, чтобы нацелиться на жертв.
TransparentTribe использует домены с доменным именем ".in" и популярные файлообменные платформы, такие как Google Drive, для размещения вредоносных файлов, что затрудняет идентификацию их сетевой инфраструктуры.
Группа разрабатывает вредоносные программы, нацеленные на системы Windows, Linux и Android, и использует различные методы для заражения каждого типа операционной системы.
Они используют уязвимости, такие как CVE-2012-0158 и CVE-2010-3333, для доставки полезной нагрузки, используя, среди прочего, таких уязвимостей, как Crimson RAT, DarkComet, QuasarRAT.
TransparentTribe использует методы в рамках платформы MITRE ATT&CK для своих операций, включая фишинг, выполнение команд, манипулирование реестром, запутывание, сброс учетных данных, обнаружение сети и эксфильтрацию данных.
Группа постоянно совершенствует свою тактику, процедуры и инструменты, ориентируясь на пользователей в государственных структурах Индии.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что TransparentTribe - это группа APT, базирующаяся в Пакистане, которая занимается кибершпионажем, нацеленным в первую очередь на индийские правительственные организации, военный персонал и оборонных подрядчиков. Они используют различные тактики и инструменты для использования уязвимостей, распространения вредоносного ПО и нарушения безопасности своих объектов, распространяя свою деятельность за пределы Индии и на другие страны. Их методы включают фишинг, социальную инженерию и использование специально разработанных вредоносных программ, таких как the Crimson RAT. TransparentTribe постоянно совершенствует свою тактику и процедуры, ориентируясь на пользователей из государственных структур Индии, демонстрируя связи с другими группами APT, такими как SideCopy и SideWinder.
-----
TransparentTribe - это группа APT, базирующаяся в Пакистане, которая нацелена на правительственные организации Индии, военнослужащих, оборонных подрядчиков и другие страны, такие как Австралия, Австрия, Канада, Китай, Германия, Япония, США и т.д.
Они используют для своих атак такие платформы, как Windows и Android, и используют такие тактики, как создание поддельных веб-сайтов и документов, чтобы обманом заставить пользователей раскрыть учетные данные или загрузить вредоносное ПО, подобное the Crimson RAT.
Были заподозрены связи между TransparentTribe и другими группами APT, такими как SideCopy и SideWinder.
Они используют различные средства заражения, включая файлы вредоносных документов, файлы PowerPoint, таблицы Excel, файлы для ввода данных на рабочем столе Linux и методы социальной инженерии, чтобы нацелиться на жертв.
TransparentTribe использует домены с доменным именем ".in" и популярные файлообменные платформы, такие как Google Drive, для размещения вредоносных файлов, что затрудняет идентификацию их сетевой инфраструктуры.
Группа разрабатывает вредоносные программы, нацеленные на системы Windows, Linux и Android, и использует различные методы для заражения каждого типа операционной системы.
Они используют уязвимости, такие как CVE-2012-0158 и CVE-2010-3333, для доставки полезной нагрузки, используя, среди прочего, таких уязвимостей, как Crimson RAT, DarkComet, QuasarRAT.
TransparentTribe использует методы в рамках платформы MITRE ATT&CK для своих операций, включая фишинг, выполнение команд, манипулирование реестром, запутывание, сброс учетных данных, обнаружение сети и эксфильтрацию данных.
Группа постоянно совершенствует свою тактику, процедуры и инструменты, ориентируясь на пользователей в государственных структурах Индии.
#ParsedReport #CompletenessMedium
20-04-2024
Analysis of the new Sticky Werewolf cyber spy attack using Rhadamanthys Stealer
https://habr.com/ru/companies/f_a_c_c_t/articles/809063
Report completeness: Medium
Actors/Campaigns:
Sticky_werewolf (motivation: cyber_espionage)
Threats:
Rhadamanthys
Darktrack_rat
Glorysprout
Ozone
Meta_stealer
Redline_stealer
Themida_tool
Teamviewer_tool
Putty_tool
Victims:
Government agencies, Financial companies
Industry:
Government, Financial
Geo:
Haiti, Poland, Belarus, Russia, Russian
ChatGPT TTPs:
T1566, T1204, T1564, T1059, T1070, T1027, T1574, T1583, T1105, T1555, have more...
IOCs:
File: 13
Command: 3
IP: 3
Path: 15
Url: 2
Hash: 2
Soft:
NSIS Installer, Chrome, Internet Explorer, Brave-Browser, 360Browser, CocCoc, Pale Moon, Opera, Sleipnir5, K-Meleon, have more...
Wallets:
dashcore, electron_cash, electrum, tronlink, mymonero, bitcoincore, coinomi, defichain-electrum, jaxx, mycrypto, have more...
Crypto:
litecoin, binance, monero
Languages:
autoit
20-04-2024
Analysis of the new Sticky Werewolf cyber spy attack using Rhadamanthys Stealer
https://habr.com/ru/companies/f_a_c_c_t/articles/809063
Report completeness: Medium
Actors/Campaigns:
Sticky_werewolf (motivation: cyber_espionage)
Threats:
Rhadamanthys
Darktrack_rat
Glorysprout
Ozone
Meta_stealer
Redline_stealer
Themida_tool
Teamviewer_tool
Putty_tool
Victims:
Government agencies, Financial companies
Industry:
Government, Financial
Geo:
Haiti, Poland, Belarus, Russia, Russian
ChatGPT TTPs:
do not use without manual checkT1566, T1204, T1564, T1059, T1070, T1027, T1574, T1583, T1105, T1555, have more...
IOCs:
File: 13
Command: 3
IP: 3
Path: 15
Url: 2
Hash: 2
Soft:
NSIS Installer, Chrome, Internet Explorer, Brave-Browser, 360Browser, CocCoc, Pale Moon, Opera, Sleipnir5, K-Meleon, have more...
Wallets:
dashcore, electron_cash, electrum, tronlink, mymonero, bitcoincore, coinomi, defichain-electrum, jaxx, mycrypto, have more...
Crypto:
litecoin, binance, monero
Languages:
autoit
Хабр
Разбор новой атаки кибершпионов Sticky Werewolf с использованием Rhadamanthys Stealer
5 апреля 2024 года на платформу VirusTotal была загружена вредоносная ссылка кибершпионской группы Sticky Werewolf . Внимание аналитиков тогда привлекла новая для группы полезная нагрузка –...
CTT Report Hub
#ParsedReport #CompletenessMedium 20-04-2024 Analysis of the new Sticky Werewolf cyber spy attack using Rhadamanthys Stealer https://habr.com/ru/companies/f_a_c_c_t/articles/809063 Report completeness: Medium Actors/Campaigns: Sticky_werewolf (motivation:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В тексте рассказывается о Sticky Werewolf, группе кибершпионажа, известной своими атаками на правительственные учреждения и финансовые компании. Недавно они включили в свой инструментарий модульную программу Rhadamanthys Stealer, написанную на C++. Это введение привлекло внимание аналитиков из-за его возможностей в краже конфиденциальной информации. В анализе рассматривается цепочка атак, используемая Sticky Werewolf, с подробным описанием их методов уклонения от обнаружения и конкретных действий, предпринимаемых группой. В целом.
Аналитики подчеркивают важность Rhadamanthys Stealer в операциях Sticky Werewolf, подчеркивая сложность и изощренность кибератак группы.
-----
В тексте рассказывается о группе кибершпионажа под названием Sticky Werewolf и ее использовании Rhadamanthys Stealer, модульной программы для кражи данных, написанной на C++. Группа в основном нацелена на правительственные учреждения и финансовые компании и была связана с различными кибератаками в России, Беларуси и Польше. Вектор атак Sticky Werewolf часто включает фишинговые электронные письма со ссылками на вредоносные файлы и использование троянских программ удаленного доступа, таких как Darktrack RAT и Ozone RAT, а также таких злоумышленников, как Glory Stealer и RedLine Stealer. Появление Rhadamanthys Stealer в их наборе инструментов привлекло внимание аналитиков.
В ходе анализа была проанализирована цепочка атак, используемая Sticky Werewolf, от первоначального фишингового электронного письма до загрузки вредоносных файлов. Злоумышленники используют различные методы, чтобы избежать обнаружения, например, используют службу регистрации IP-адресов для сбора информации о потенциальных жертвах и фильтрации нежелательного трафика. Они перенаправляют жертв на легальный сервис, gofile.io чтобы обманом заставить пользователей загружать вредоносные файлы, такие как priglashenie_na_sovet.pdf.exe.
После запуска вредоносных файлов запускается сложная цепочка событий. Запускается запутанный скрипт BAT с именем Grave, который собирает компоненты для внедрения Rhadamanthys Stealer в различные процессы. Основной модуль Rhadamanthys Stealer отвечает за развертывание различных модулей в памяти и кражу конфиденциальной информации из зараженной системы. Stealer нацелен на широкий спектр данных, включая историю посещенных страниц, закладки, файлы cookie, учетные данные для входа в систему и информацию, связанную с криптовалютой, из различных приложений.
Полезная нагрузка Rhadamanthys Stealer взаимодействует с сервером C2, расположенным по адресу hxxps://94.156.8.211:443, для получения инструкций и доставки украденных данных. Аналитики определили сетевой адрес основного модуля, сервер C2 и мьютекс для анализируемого Rhadamanthys Stealer. Группа использовала сервер, расположенный на 94.156.8.211, чтобы максимально использовать возможности Rhadamanthys Stealer.
Кроме того, Sticky Werewolf использовал самозаверяющий SSL-сертификат на порт 2096 для загрузки компонента stealer. В тексте также содержатся технические подробности о командах, выполняемых во время атаки, таких как перемещение файлов, создание каталогов и копирование данных в системе. Аналитики представили подробный обзор программного обеспечения, на которое нацелен Rhadamanthys Stealer, охватывающего широкий спектр приложений и сервисов, подверженных риску кражи данных.
Аналитики Борис Мартынюк и Дмитрий Купин подчеркнули важность Rhadamanthys Stealer как нового инструмента в арсенале Sticky Werewolf. В тексте подчеркивается сложность и изощренность цепочки атак, проливающей свет на тактику, используемую группой кибершпионажа. В целом, анализ представляет собой всесторонний обзор угрозы, исходящей от Sticky Werewolf, и последствий использования Rhadamanthys Stealer для целенаправленных кибератак.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В тексте рассказывается о Sticky Werewolf, группе кибершпионажа, известной своими атаками на правительственные учреждения и финансовые компании. Недавно они включили в свой инструментарий модульную программу Rhadamanthys Stealer, написанную на C++. Это введение привлекло внимание аналитиков из-за его возможностей в краже конфиденциальной информации. В анализе рассматривается цепочка атак, используемая Sticky Werewolf, с подробным описанием их методов уклонения от обнаружения и конкретных действий, предпринимаемых группой. В целом.
Аналитики подчеркивают важность Rhadamanthys Stealer в операциях Sticky Werewolf, подчеркивая сложность и изощренность кибератак группы.
-----
В тексте рассказывается о группе кибершпионажа под названием Sticky Werewolf и ее использовании Rhadamanthys Stealer, модульной программы для кражи данных, написанной на C++. Группа в основном нацелена на правительственные учреждения и финансовые компании и была связана с различными кибератаками в России, Беларуси и Польше. Вектор атак Sticky Werewolf часто включает фишинговые электронные письма со ссылками на вредоносные файлы и использование троянских программ удаленного доступа, таких как Darktrack RAT и Ozone RAT, а также таких злоумышленников, как Glory Stealer и RedLine Stealer. Появление Rhadamanthys Stealer в их наборе инструментов привлекло внимание аналитиков.
В ходе анализа была проанализирована цепочка атак, используемая Sticky Werewolf, от первоначального фишингового электронного письма до загрузки вредоносных файлов. Злоумышленники используют различные методы, чтобы избежать обнаружения, например, используют службу регистрации IP-адресов для сбора информации о потенциальных жертвах и фильтрации нежелательного трафика. Они перенаправляют жертв на легальный сервис, gofile.io чтобы обманом заставить пользователей загружать вредоносные файлы, такие как priglashenie_na_sovet.pdf.exe.
После запуска вредоносных файлов запускается сложная цепочка событий. Запускается запутанный скрипт BAT с именем Grave, который собирает компоненты для внедрения Rhadamanthys Stealer в различные процессы. Основной модуль Rhadamanthys Stealer отвечает за развертывание различных модулей в памяти и кражу конфиденциальной информации из зараженной системы. Stealer нацелен на широкий спектр данных, включая историю посещенных страниц, закладки, файлы cookie, учетные данные для входа в систему и информацию, связанную с криптовалютой, из различных приложений.
Полезная нагрузка Rhadamanthys Stealer взаимодействует с сервером C2, расположенным по адресу hxxps://94.156.8.211:443, для получения инструкций и доставки украденных данных. Аналитики определили сетевой адрес основного модуля, сервер C2 и мьютекс для анализируемого Rhadamanthys Stealer. Группа использовала сервер, расположенный на 94.156.8.211, чтобы максимально использовать возможности Rhadamanthys Stealer.
Кроме того, Sticky Werewolf использовал самозаверяющий SSL-сертификат на порт 2096 для загрузки компонента stealer. В тексте также содержатся технические подробности о командах, выполняемых во время атаки, таких как перемещение файлов, создание каталогов и копирование данных в системе. Аналитики представили подробный обзор программного обеспечения, на которое нацелен Rhadamanthys Stealer, охватывающего широкий спектр приложений и сервисов, подверженных риску кражи данных.
Аналитики Борис Мартынюк и Дмитрий Купин подчеркнули важность Rhadamanthys Stealer как нового инструмента в арсенале Sticky Werewolf. В тексте подчеркивается сложность и изощренность цепочки атак, проливающей свет на тактику, используемую группой кибершпионажа. В целом, анализ представляет собой всесторонний обзор угрозы, исходящей от Sticky Werewolf, и последствий использования Rhadamanthys Stealer для целенаправленных кибератак.
#ParsedReport #CompletenessHigh
21-04-2024
Multi-level Dropbox commands and TutorialRAT behind APT43
https://www.genians.co.kr/blog/threat_intelligence/dropbox
Report completeness: High
Actors/Campaigns:
Kimsuky
Threats:
Tutorialrat
Babyshark
Randomquery
Spear-phishing_technique
Trurat
Xenorat
Exbyte_stealer
Winvnc_tool
Tutclient_tool
Industry:
Financial, Government
Geo:
China, Korea, Chinese, Korean, Gyeonggi-do, Thailand, Usa
ChatGPT TTPs:
T1566.001, T1566.002, T1105, T1552.001, T1027, T1059.001, T1047, T1090, T1112, T1204.002, have more...
IOCs:
File: 50
Domain: 11
IP: 4
Command: 1
Path: 5
Hash: 25
Soft:
Slack, task scheduler, Google Chrome, Chrome
Crypto:
bitcoin
Algorithms:
base64, zip, aes, md5, pbkdf2
Functions:
PowerShell, GetTimeInterval, GetBrowserInfo
Win API:
GetAsyncKeyState, GetKeyboardState, GetForegroundWindow, ToUnicode, GetClipboardSequenceNumber, IsClipboardFormatAvailable, GetTickCount, ShowWindow, CryptProtectData
Languages:
php, c_language, powershell
Platforms:
x64, x86
21-04-2024
Multi-level Dropbox commands and TutorialRAT behind APT43
https://www.genians.co.kr/blog/threat_intelligence/dropbox
Report completeness: High
Actors/Campaigns:
Kimsuky
Threats:
Tutorialrat
Babyshark
Randomquery
Spear-phishing_technique
Trurat
Xenorat
Exbyte_stealer
Winvnc_tool
Tutclient_tool
Industry:
Financial, Government
Geo:
China, Korea, Chinese, Korean, Gyeonggi-do, Thailand, Usa
ChatGPT TTPs:
do not use without manual checkT1566.001, T1566.002, T1105, T1552.001, T1027, T1059.001, T1047, T1090, T1112, T1204.002, have more...
IOCs:
File: 50
Domain: 11
IP: 4
Command: 1
Path: 5
Hash: 25
Soft:
Slack, task scheduler, Google Chrome, Chrome
Crypto:
bitcoin
Algorithms:
base64, zip, aes, md5, pbkdf2
Functions:
PowerShell, GetTimeInterval, GetBrowserInfo
Win API:
GetAsyncKeyState, GetKeyboardState, GetForegroundWindow, ToUnicode, GetClipboardSequenceNumber, IsClipboardFormatAvailable, GetTickCount, ShowWindow, CryptProtectData
Languages:
php, c_language, powershell
Platforms:
x64, x86
www.genians.co.kr
APT43 배후의 다단계 드롭박스 명령과 TutorialRAT
지니언스 시큐리티 센터는 APT43 그룹이 다단계 공격 체인을 활용해 시그니처 기반 Anti-Virus 탐지 기술 회피에 집중함을 확인했습니다. 특히, 드롭박스 클라우드 저장소를 마치 공격 거점으로 활용해 위협 모니터링 범위에서 탈피하기 위한 전술 노력도 시도 중입니다.
CTT Report Hub
#ParsedReport #CompletenessHigh 21-04-2024 Multi-level Dropbox commands and TutorialRAT behind APT43 https://www.genians.co.kr/blog/threat_intelligence/dropbox Report completeness: High Actors/Campaigns: Kimsuky Threats: Tutorialrat Babyshark Randomquery…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в подробном анализе киберугроз, связанных с группой APT43, с особым упором на использование ими многоступенчатых команд Dropbox и обучающих программ в своей вредоносной деятельности. APT43 использует различные методы обмана, такие как скрытый фишинг, выдача себя за законных лиц и использование вредоносных кодов в сжатых файлах, чтобы обойти традиционные методы обнаружения антивирусом. Деятельность группы связана с их кампанией по борьбе с угрозами BabyShark, в которой особое внимание уделяется использованию облачного хранилища Dropbox в вредоносных целях. В анализе подчеркивается необходимость упреждающей идентификации таких угроз и рассматриваются технические детали стратегий атаки APT43, включая распространение вредоносных файлов, использование команд PowerShell и такие операции, как кейлоггинг и эксфильтрация данных. Кроме того, в нем подчеркивается, что группа отдает предпочтение программам RAT с открытым исходным кодом, таким как TutorialRAT для удаленного управления, демонстрируя свои знания языка программирования C# для эффективного осуществления вредоносных действий.
-----
В своих вредоносных действиях APT43 group использует многоступенчатые команды Dropbox и TutorialRAT.
Они используют обманчивую тактику, такую как имитация политических встреч, опросов и лекций, чтобы заманить жертв.
Первоначальный подход включает в себя обычные электронные письма и стратегии реактивного фишинга.
APT43 стремится обойти традиционные методы обнаружения антивирусом, используя многоуровневую цепочку атак Dropbox.
Действия связаны с кампанией по борьбе с угрозами BabyShark и направлены на использование Dropbox в злонамеренных целях.
Для эффективного обнаружения таких угроз и реагирования на них используются системы EDR Genian с технологией обнаружения аномального поведения XBA.
APT43 фокусируется на уклонении от обнаружения антивирусом на основе сигнатур с помощью многоэтапных цепочек атак.
Для разных жертв используются конкретные индивидуальные подходы.
Вредоносные файлы распространяются в сжатом виде в формате RAR с защитой паролем для обхода антивирусного обнаружения.
Для обмена данными и расшифровки используются команды PowerShell с жестко заданными учетными данными Dropbox.
К вредоносным операциям относятся кейлоггинг, утечка данных с помощью токенов Dropbox и кража системной информации.
"TutorialRAT" - это программа дистанционного управления на C#, используемая APT43, с исходным кодом, доступным на GitHub.
APT43 использует программы RAT с открытым исходным кодом и демонстрирует владение языком программирования C# для своей деятельности.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в подробном анализе киберугроз, связанных с группой APT43, с особым упором на использование ими многоступенчатых команд Dropbox и обучающих программ в своей вредоносной деятельности. APT43 использует различные методы обмана, такие как скрытый фишинг, выдача себя за законных лиц и использование вредоносных кодов в сжатых файлах, чтобы обойти традиционные методы обнаружения антивирусом. Деятельность группы связана с их кампанией по борьбе с угрозами BabyShark, в которой особое внимание уделяется использованию облачного хранилища Dropbox в вредоносных целях. В анализе подчеркивается необходимость упреждающей идентификации таких угроз и рассматриваются технические детали стратегий атаки APT43, включая распространение вредоносных файлов, использование команд PowerShell и такие операции, как кейлоггинг и эксфильтрация данных. Кроме того, в нем подчеркивается, что группа отдает предпочтение программам RAT с открытым исходным кодом, таким как TutorialRAT для удаленного управления, демонстрируя свои знания языка программирования C# для эффективного осуществления вредоносных действий.
-----
В своих вредоносных действиях APT43 group использует многоступенчатые команды Dropbox и TutorialRAT.
Они используют обманчивую тактику, такую как имитация политических встреч, опросов и лекций, чтобы заманить жертв.
Первоначальный подход включает в себя обычные электронные письма и стратегии реактивного фишинга.
APT43 стремится обойти традиционные методы обнаружения антивирусом, используя многоуровневую цепочку атак Dropbox.
Действия связаны с кампанией по борьбе с угрозами BabyShark и направлены на использование Dropbox в злонамеренных целях.
Для эффективного обнаружения таких угроз и реагирования на них используются системы EDR Genian с технологией обнаружения аномального поведения XBA.
APT43 фокусируется на уклонении от обнаружения антивирусом на основе сигнатур с помощью многоэтапных цепочек атак.
Для разных жертв используются конкретные индивидуальные подходы.
Вредоносные файлы распространяются в сжатом виде в формате RAR с защитой паролем для обхода антивирусного обнаружения.
Для обмена данными и расшифровки используются команды PowerShell с жестко заданными учетными данными Dropbox.
К вредоносным операциям относятся кейлоггинг, утечка данных с помощью токенов Dropbox и кража системной информации.
"TutorialRAT" - это программа дистанционного управления на C#, используемая APT43, с исходным кодом, доступным на GitHub.
APT43 использует программы RAT с открытым исходным кодом и демонстрирует владение языком программирования C# для своей деятельности.
#ParsedReport #CompletenessHigh
21-04-2024
Threat Group FIN7 Targets the U.S. Automotive Industry
https://blogs.blackberry.com/en/2024/04/fin7-targets-the-united-states-automotive-industry
Report completeness: High
Actors/Campaigns:
Carbanak (motivation: financially_motivated, cyber_criminal)
Threats:
Spear-phishing_technique
Lolbas_technique
Powertrash_tool
Blackcat
Revil
Darkside
Blackmatter
Typosquatting_technique
Powersploit
Victims:
Large automotive manufacturer
Industry:
Transport, Financial, Healthcare, Retail
Geo:
Russian
TTPs:
Tactics: 8
Technics: 22
IOCs:
Domain: 9
File: 10
Hash: 9
IP: 44
Command: 1
Soft:
OpenSSH, Embarcadero, Active Directory, Windows Service
Algorithms:
sha256, md5
Win API:
EnumWindows
Languages:
delphi, powershell
Links:
21-04-2024
Threat Group FIN7 Targets the U.S. Automotive Industry
https://blogs.blackberry.com/en/2024/04/fin7-targets-the-united-states-automotive-industry
Report completeness: High
Actors/Campaigns:
Carbanak (motivation: financially_motivated, cyber_criminal)
Threats:
Spear-phishing_technique
Lolbas_technique
Powertrash_tool
Blackcat
Revil
Darkside
Blackmatter
Typosquatting_technique
Powersploit
Victims:
Large automotive manufacturer
Industry:
Transport, Financial, Healthcare, Retail
Geo:
Russian
TTPs:
Tactics: 8
Technics: 22
IOCs:
Domain: 9
File: 10
Hash: 9
IP: 44
Command: 1
Soft:
OpenSSH, Embarcadero, Active Directory, Windows Service
Algorithms:
sha256, md5
Win API:
EnumWindows
Languages:
delphi, powershell
Links:
https://github.com/PowerShellMafia/PowerSploit/blob/master/CodeExecution/Invoke-Shellcode.ps1BlackBerry
Threat Group FIN7 Targets the U.S. Automotive Industry
BlackBerry analysts have identified a spear-phishing campaign by threat group FIN7 that targeted a large automotive manufacturer based in the United States. FIN7 used the lure of a free IP scanning tool to run malware and gain an initial foothold.