CTT Report Hub
#ParsedReport #CompletenessLow 21-04-2024 Messengers and dating sites - new methods of attacks UAC-0184 (CERT-UA#9474) https://cert.gov.ua/article/6278521 Report completeness: Low Actors/Campaigns: Uac0184 Threats: Hijackloader Shadowladder Ghostpulse…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что правительственная группа реагирования на компьютерные чрезвычайные ситуации в Украине, CERT-UA, активно работает над предотвращением, обнаружением и реагированием на киберинциденты и атаки, уделяя особое внимание деятельности группы UAC-0184, нацеленной на военнослужащих в Украине через популярные мессенджеры и социальные сети. инженерная тактика.
-----
Правительственная группа реагирования на компьютерные чрезвычайные ситуации Украины, CERT-UA, активно участвует в реализации организационных и технических мер по предотвращению, обнаружению и реагированию на киберинциденты и кибератаки. В 2024 году наблюдался заметный рост активности группы UAC-0184. Эта группа специально нацелена на получение несанкционированного доступа к компьютерам, принадлежащим представителям Сил обороны Украины, с целью кражи документов и данных мессенджеров.
Группа UAC-0184 использует различные тактики для распространения вредоносного ПО, основным каналом распространения которого являются популярные мессенджеры. Первоначальное проникновение включает в себя элементы социальной инженерии, такие как рассылка вводящих в заблуждение сообщений с такими темами, как возбуждение административного или уголовного дела, видеозаписи боевых действий или просьбы о знакомстве через популярные платформы. Ведя постоянную переписку с военнослужащими, злоумышленники убеждают их открыть или обработать файл (архив), неосознанно содержащий вредоносное программное обеспечение.
В ходе своей деятельности злоумышленники используют целый ряд программных средств, включая коммерческие программы и утилиты с открытым исходным кодом. Известные инструменты в их арсенале включают IDAT (HijackLoader, SHADOWLADDER, GHOSTPULSE) для нанесения основного урона, REMCOSRAT, VIOTTOKEYLOGGER, XWORM, SIGTOP и TUSC. SIGTOP и TUSC специально используются для кражи и скачивания данных, включая сообщения и контактную информацию, из приложения Signal messenger, которое широко используется военнослужащими в Украине.
Крайне важно признать, что злоумышленники постоянно совершенствуют свои методы внедрения вредоносных программ через популярные мессенджеры, используя эти платформы в качестве недостаточно контролируемых каналов обмена информацией. Кроме того, военнослужащие должны проявлять осторожность в своей деятельности в Интернете, поскольку кажущиеся безобидными действия, такие как размещение фотографий в военной форме, могут непреднамеренно сделать их главными мишенями для злоумышленных атак.
Злоумышленники используют различные пути к файлам для выполнения своих операций, таких как манипулирование файлами в каталогах %APPDATA% и %TMP%, а также на рабочем столе пользователей. К конкретным файлам и каталогам, которые были идентифицированы как часть стратегии злоумышленников, относятся ASIO.dll, bandele.wma, timepiece.ogg, converter.exe, vcruntime140.dll и многие другие, расположенные в разных местах системы.
Кроме того, злоумышленники разработали новые методы проведения атак, сосредоточив внимание на мессенджерах и сайтах знакомств в качестве основных объектов. Группа UAC-0184, помеченная как CERT-UA#9474, постоянно совершенствует свою тактику и стратегию, чтобы избежать обнаружения и успешно скомпрометировать целевые системы.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что правительственная группа реагирования на компьютерные чрезвычайные ситуации в Украине, CERT-UA, активно работает над предотвращением, обнаружением и реагированием на киберинциденты и атаки, уделяя особое внимание деятельности группы UAC-0184, нацеленной на военнослужащих в Украине через популярные мессенджеры и социальные сети. инженерная тактика.
-----
Правительственная группа реагирования на компьютерные чрезвычайные ситуации Украины, CERT-UA, активно участвует в реализации организационных и технических мер по предотвращению, обнаружению и реагированию на киберинциденты и кибератаки. В 2024 году наблюдался заметный рост активности группы UAC-0184. Эта группа специально нацелена на получение несанкционированного доступа к компьютерам, принадлежащим представителям Сил обороны Украины, с целью кражи документов и данных мессенджеров.
Группа UAC-0184 использует различные тактики для распространения вредоносного ПО, основным каналом распространения которого являются популярные мессенджеры. Первоначальное проникновение включает в себя элементы социальной инженерии, такие как рассылка вводящих в заблуждение сообщений с такими темами, как возбуждение административного или уголовного дела, видеозаписи боевых действий или просьбы о знакомстве через популярные платформы. Ведя постоянную переписку с военнослужащими, злоумышленники убеждают их открыть или обработать файл (архив), неосознанно содержащий вредоносное программное обеспечение.
В ходе своей деятельности злоумышленники используют целый ряд программных средств, включая коммерческие программы и утилиты с открытым исходным кодом. Известные инструменты в их арсенале включают IDAT (HijackLoader, SHADOWLADDER, GHOSTPULSE) для нанесения основного урона, REMCOSRAT, VIOTTOKEYLOGGER, XWORM, SIGTOP и TUSC. SIGTOP и TUSC специально используются для кражи и скачивания данных, включая сообщения и контактную информацию, из приложения Signal messenger, которое широко используется военнослужащими в Украине.
Крайне важно признать, что злоумышленники постоянно совершенствуют свои методы внедрения вредоносных программ через популярные мессенджеры, используя эти платформы в качестве недостаточно контролируемых каналов обмена информацией. Кроме того, военнослужащие должны проявлять осторожность в своей деятельности в Интернете, поскольку кажущиеся безобидными действия, такие как размещение фотографий в военной форме, могут непреднамеренно сделать их главными мишенями для злоумышленных атак.
Злоумышленники используют различные пути к файлам для выполнения своих операций, таких как манипулирование файлами в каталогах %APPDATA% и %TMP%, а также на рабочем столе пользователей. К конкретным файлам и каталогам, которые были идентифицированы как часть стратегии злоумышленников, относятся ASIO.dll, bandele.wma, timepiece.ogg, converter.exe, vcruntime140.dll и многие другие, расположенные в разных местах системы.
Кроме того, злоумышленники разработали новые методы проведения атак, сосредоточив внимание на мессенджерах и сайтах знакомств в качестве основных объектов. Группа UAC-0184, помеченная как CERT-UA#9474, постоянно совершенствует свою тактику и стратегию, чтобы избежать обнаружения и успешно скомпрометировать целевые системы.
#cyberthreattech
Ребята из PassLeak прислали нам здоровенный список ресурсов с проксями. Грядет большое пополнение в нашем фиде :)
Ребята из PassLeak прислали нам здоровенный список ресурсов с проксями. Грядет большое пополнение в нашем фиде :)
#ParsedReport #CompletenessMedium
22-04-2024
Technical analysis of the Rust loader for the digital weapon organization OceanLotus (APT-Q-31)
https://www.ctfiot.com/175132.html
Report completeness: Medium
Actors/Campaigns:
Oceanlotus
Threats:
Cobalt_strike
Victims:
Chinese government, Scientific research institutes, Maritime institutions, Maritime construction, Shipping companies
Industry:
Government, Transport, Maritime
Geo:
Chinese, China, Asia
ChatGPT TTPs:
T1566, T1204, T1105, T1027, T1055, T1574, T1047
IOCs:
Hash: 7
Domain: 1
Soft:
re.com, trycloudflare, Android, WeChat
Algorithms:
md5, xor
Win API:
VirtualAlloc
Languages:
rust
22-04-2024
Technical analysis of the Rust loader for the digital weapon organization OceanLotus (APT-Q-31)
https://www.ctfiot.com/175132.html
Report completeness: Medium
Actors/Campaigns:
Oceanlotus
Threats:
Cobalt_strike
Victims:
Chinese government, Scientific research institutes, Maritime institutions, Maritime construction, Shipping companies
Industry:
Government, Transport, Maritime
Geo:
Chinese, China, Asia
ChatGPT TTPs:
do not use without manual checkT1566, T1204, T1105, T1027, T1055, T1574, T1047
IOCs:
Hash: 7
Domain: 1
Soft:
re.com, trycloudflare, Android, WeChat
Algorithms:
md5, xor
Win API:
VirtualAlloc
Languages:
rust
CTF导航
海莲花(APT-Q-31)组织数字武器Rust加载器技术分析 | CTF导航
团伙背景海莲花,又名OceanLotus、APT32,奇安信内部跟踪编号APT-Q-31,是由奇安信威胁情报中心最早披露并命名的一个APT组织。自2012年4月起,海莲花针对中国政府、科研院所、海事机构、海域建设、航运企业等相关...
CTT Report Hub
#ParsedReport #CompletenessMedium 22-04-2024 Technical analysis of the Rust loader for the digital weapon organization OceanLotus (APT-Q-31) https://www.ctfiot.com/175132.html Report completeness: Medium Actors/Campaigns: Oceanlotus Threats: Cobalt_strike…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что OceanLotus, также известная как APT32 и APT-Q-31, является передовой группой постоянных угроз, которая проводит систематические и целенаправленные кибератаки против различных организаций в Китае и Юго-Восточной Азии, используя ряд методов и инструментов атаки, чтобы избежать обнаружения и установления виновности. В тексте рассказывается об использовании группой специально разработанных вредоносных программ, проектов с открытым исходным кодом и коммерческих инструментов, а также об их новой тактике, позволяющей оставаться незамеченными. Кроме того, Центр анализа угроз QiAnXin предоставляет пользователям рекомендации о том, как защитить себя от таких угроз, как OceanLotus.
-----
OceanLotus, также известная как APT32 и APT-Q-31, представляет собой группу продвинутых постоянных угроз (APT), которая была первоначально идентифицирована и названа Центром анализа угроз QiAnXin. С апреля 2012 года OceanLotus проводит систематические, целенаправленные и устойчивые кибератаки против различных организаций, включая правительство Китая, научно-исследовательские институты, морские организации, судоходные компании и другие ключевые секторы. Цели группы охватывают весь Китай и Юго-Восточную Азию, включая правительственные учреждения, исследовательские институты, средства массовой информации и предприятия.
OceanLotus использует широкий спектр методов и средств атаки, часто сочетая специально разработанные вредоносные программы, проекты с открытым исходным кодом и коммерческие инструменты для проведения своих операций. Например, Центр анализа угроз QiAnXin наблюдал, как OceanLotus использовал загрузчик, написанный на Rust, для загрузки троянца Cobalt Strike в память во время атаки на внутреннюю цель. Образцы вредоносных программ группы были обнаружены на платформах с открытым исходным кодом, что свидетельствует о совпадении характеристик Rust-кода и шелл-кода.
Образцы загрузчика Rust, связанные с OceanLotus, демонстрируют сложные процессы, такие как изменение прав доступа к памяти, расшифровка содержимого и выполнение шелл-кода. Эти загрузчики могут взаимодействовать с туннельным сервисом Cloudflare как частью своей инфраструктуры управления (C&C), чтобы скрыть реальный IP-адрес сервера. Вредоносная программа loader, используемая OceanLotus, имеет сходство кода с ранее захваченными образцами атак, что усиливает связь с APT group.
Одним из примечательных аспектов деятельности OceanLotus является использование идентификатора лицензии 987654321 в данных конфигурации троянца Cobalt Strike. Этот идентификатор, который также содержится в образцах из открытых источников, может быть попыткой OceanLotus скрыть принадлежность своей деятельности по добыче кобальта. Группа обновляет свои методы атаки, такие как шифрование полезной нагрузки в загрузчиках и использование законных библиотек DLL для хранения вредоносного шеллкода, в попытке избежать обнаружения системами безопасности и посеять путаницу в отношении атрибуции.
Для борьбы с OceanLotus и подобными угрозами Центр анализа угроз QiAnXin рекомендует пользователям проявлять осторожность в Интернете. Рекомендации включают в себя отказ от перехода по ссылкам из неизвестных источников в социальных сетях, отказ от использования вложений электронной почты от незнакомых отправителей, отказ от использования подозрительных файлов с сенсационными названиями и отказ от использования неофициальных источников при загрузке приложений. Пользователям также настоятельно рекомендуется регулярно создавать резервные копии важных файлов, своевременно вносить исправления в программное обеспечение и проявлять бдительность в отношении фишинговых атак.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что OceanLotus, также известная как APT32 и APT-Q-31, является передовой группой постоянных угроз, которая проводит систематические и целенаправленные кибератаки против различных организаций в Китае и Юго-Восточной Азии, используя ряд методов и инструментов атаки, чтобы избежать обнаружения и установления виновности. В тексте рассказывается об использовании группой специально разработанных вредоносных программ, проектов с открытым исходным кодом и коммерческих инструментов, а также об их новой тактике, позволяющей оставаться незамеченными. Кроме того, Центр анализа угроз QiAnXin предоставляет пользователям рекомендации о том, как защитить себя от таких угроз, как OceanLotus.
-----
OceanLotus, также известная как APT32 и APT-Q-31, представляет собой группу продвинутых постоянных угроз (APT), которая была первоначально идентифицирована и названа Центром анализа угроз QiAnXin. С апреля 2012 года OceanLotus проводит систематические, целенаправленные и устойчивые кибератаки против различных организаций, включая правительство Китая, научно-исследовательские институты, морские организации, судоходные компании и другие ключевые секторы. Цели группы охватывают весь Китай и Юго-Восточную Азию, включая правительственные учреждения, исследовательские институты, средства массовой информации и предприятия.
OceanLotus использует широкий спектр методов и средств атаки, часто сочетая специально разработанные вредоносные программы, проекты с открытым исходным кодом и коммерческие инструменты для проведения своих операций. Например, Центр анализа угроз QiAnXin наблюдал, как OceanLotus использовал загрузчик, написанный на Rust, для загрузки троянца Cobalt Strike в память во время атаки на внутреннюю цель. Образцы вредоносных программ группы были обнаружены на платформах с открытым исходным кодом, что свидетельствует о совпадении характеристик Rust-кода и шелл-кода.
Образцы загрузчика Rust, связанные с OceanLotus, демонстрируют сложные процессы, такие как изменение прав доступа к памяти, расшифровка содержимого и выполнение шелл-кода. Эти загрузчики могут взаимодействовать с туннельным сервисом Cloudflare как частью своей инфраструктуры управления (C&C), чтобы скрыть реальный IP-адрес сервера. Вредоносная программа loader, используемая OceanLotus, имеет сходство кода с ранее захваченными образцами атак, что усиливает связь с APT group.
Одним из примечательных аспектов деятельности OceanLotus является использование идентификатора лицензии 987654321 в данных конфигурации троянца Cobalt Strike. Этот идентификатор, который также содержится в образцах из открытых источников, может быть попыткой OceanLotus скрыть принадлежность своей деятельности по добыче кобальта. Группа обновляет свои методы атаки, такие как шифрование полезной нагрузки в загрузчиках и использование законных библиотек DLL для хранения вредоносного шеллкода, в попытке избежать обнаружения системами безопасности и посеять путаницу в отношении атрибуции.
Для борьбы с OceanLotus и подобными угрозами Центр анализа угроз QiAnXin рекомендует пользователям проявлять осторожность в Интернете. Рекомендации включают в себя отказ от перехода по ссылкам из неизвестных источников в социальных сетях, отказ от использования вложений электронной почты от незнакомых отправителей, отказ от использования подозрительных файлов с сенсационными названиями и отказ от использования неофициальных источников при загрузке приложений. Пользователям также настоятельно рекомендуется регулярно создавать резервные копии важных файлов, своевременно вносить исправления в программное обеспечение и проявлять бдительность в отношении фишинговых атак.
#ParsedReport #CompletenessHigh
22-04-2024
ToddyCat is making holes in your infrastructure
https://securelist.com/toddycat-traffic-tunneling-data-extraction-tools/112443
Report completeness: High
Actors/Campaigns:
Toddycat (motivation: cyber_espionage, information_theft)
Threats:
Lofise_tool
Pcexter_tool
Impacket_tool
Retefe
Iobit_tool
Netscan_tool
Krong_tool
Cuthead_tool
Tomberbil
Mimikatz_tool
Shadow_copies_delete_technique
Victims:
Governmental organizations
Industry:
Education
Geo:
Thailand, Asia-pacific
TTPs:
Tactics: 1
Technics: 1
ChatGPT TTPs:
T1021, T1570, T1572, T1090, T1041, T1119, T1003, T1040
IOCs:
File: 14
Path: 2
IP: 2
Email: 1
Coin: 1
Command: 5
Url: 5
Domain: 1
Hash: 12
Soft:
PsExec, OpenSSH for Windows, OPENSSH, softether, curl, whatsapp, Chrome, Mozilla Thunderbird
Algorithms:
xor, 7zip, zip
Functions:
GetOwner
Win API:
CryptProtectData, CryptUnprotectData
Platforms:
intel, x86
Links:
22-04-2024
ToddyCat is making holes in your infrastructure
https://securelist.com/toddycat-traffic-tunneling-data-extraction-tools/112443
Report completeness: High
Actors/Campaigns:
Toddycat (motivation: cyber_espionage, information_theft)
Threats:
Lofise_tool
Pcexter_tool
Impacket_tool
Retefe
Iobit_tool
Netscan_tool
Krong_tool
Cuthead_tool
Tomberbil
Mimikatz_tool
Shadow_copies_delete_technique
Victims:
Governmental organizations
Industry:
Education
Geo:
Thailand, Asia-pacific
TTPs:
Tactics: 1
Technics: 1
ChatGPT TTPs:
do not use without manual checkT1021, T1570, T1572, T1090, T1041, T1119, T1003, T1040
IOCs:
File: 14
Path: 2
IP: 2
Email: 1
Coin: 1
Command: 5
Url: 5
Domain: 1
Hash: 12
Soft:
PsExec, OpenSSH for Windows, OPENSSH, softether, curl, whatsapp, Chrome, Mozilla Thunderbird
Algorithms:
xor, 7zip, zip
Functions:
GetOwner
Win API:
CryptProtectData, CryptUnprotectData
Platforms:
intel, x86
Links:
https://github.com/gentilkiwi/mimikatz/wiki/module-\~-dpapihttps://github.com/icsharpcode/SharpZipLibhttps://github.com/fortra/impackethttps://github.com/fatedier/frpSecurelist
ToddyCat’s traffic tunneling and data extraction tools
We continue to report on the APT group ToddyCat. This time, we’ll talk about traffic tunneling, constant access to a target infrastructure and data extraction from hosts.
CTT Report Hub
#ParsedReport #CompletenessHigh 22-04-2024 ToddyCat is making holes in your infrastructure https://securelist.com/toddycat-traffic-tunneling-data-extraction-tools/112443 Report completeness: High Actors/Campaigns: Toddycat (motivation: cyber_espionage…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что APT group ToddyCat нацелена на правительственные организации, особенно связанные с обороной, в Азиатско-Тихоокеанском регионе, используя различные инструменты и методы для автоматизации сбора данных, поддержания постоянного доступа к системам и уклонения от обнаружения с целью кражи конфиденциальной информации в промышленных масштабах.
-----
Группа APT ToddyCat нацелена на правительственные организации, особенно связанные с обороной, в Азиатско-Тихоокеанском регионе, занимаясь кражей конфиденциальной информации со взломанных хостов в промышленных масштабах. Для достижения этой цели они используют различные инструменты и методы для автоматизации сбора данных, обеспечения постоянного доступа к системам и предотвращения обнаружения.
Одним из методов, используемых ToddyCat, является установление SSH-соединений с удаленными серверами с помощью таких инструментов, как PsExec или Impacket. Перенаправляя сетевой трафик с определенных портов сервера на порты зараженных хостов, злоумышленники обеспечивают постоянный доступ к службам, запущенным на целевых хостах. Эта тактика, особенно на контроллерах домена, позволяет им извлекать IP-адреса узлов внутренней сети с помощью DNS-запросов, расширяя их разведывательные возможности.
Злоумышленники также используют пакет SoftEther VPN для настройки VPN-серверов на скомпрометированных системах. Это решение с открытым исходным кодом поддерживает различные протоколы VPN, позволяя ToddyCat создавать безопасные соединения для туннелирования и удаленного доступа. Настраивая VPN-сервер с помощью определенных файлов и компонентов, злоумышленники создают скрытые каналы связи и передачи данных, повышая свою операционную безопасность.
Ngrok, облегченный агент, используется ToddyCat для перенаправления трафика команд и контроля (C2) между конечными точками и облачной инфраструктурой. В сочетании с другим инструментом под названием Krong, который дополняется легальным приложением, позволяющим избежать обнаружения, Ngrok обеспечивает передачу зашифрованных данных через прокси-серверы, маскируя вредоносные действия и сохраняя скрытность в скомпрометированной среде.
Еще больше расширяя свой доступ и контроль над целевыми хостами, ToddyCat устанавливает FRP-клиент для быстрого обратного прокси-сервера. FRP, инструмент, написанный на платформе Go, облегчает внешний доступ к локальным серверам за NAT или брандмауэрами, обеспечивая гибкость в маршрутизации трафика для связи C2 и оперативного управления.
Представляя новый инструмент cuthead, ToddyCat расширяет свои возможности поиска файлов в взломанных системах. Этот исполняемый файл .NET предназначен для поиска определенных типов файлов или ключевых слов в именах файлов, что облегчает автоматизированный сбор целевых документов. Задавая параметры поиска, включая расширения файлов и даты последнего изменения, cuthead упрощает процесс идентификации и архивирования соответствующих файлов для последующей фильтрации.
В случаях, когда для расшифровки данных требуются ключи шифрования, ToddyCat использует варианты mimikatz и TomBerBil для извлечения этих ключей из системных процессов, в частности из экземпляров explorer.exe и JSON-файлов браузера. Несмотря на риск обнаружения системами безопасности из-за широкого распространения этих инструментов, ToddyCat продолжает использовать их наряду с такими методами, как теневое копирование дисков и архивирование пользовательских данных для целей эксфильтрации.
Сочетая широкий спектр инструментов и тактик, ToddyCat обеспечивает постоянный доступ к скомпрометированной инфраструктуре, автоматизирует процессы сбора данных и использует методы шифрования и туннелирования, чтобы избежать обнаружения и достичь своих целей по краже данных у важных объектов в Азиатско-Тихоокеанском регионе.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что APT group ToddyCat нацелена на правительственные организации, особенно связанные с обороной, в Азиатско-Тихоокеанском регионе, используя различные инструменты и методы для автоматизации сбора данных, поддержания постоянного доступа к системам и уклонения от обнаружения с целью кражи конфиденциальной информации в промышленных масштабах.
-----
Группа APT ToddyCat нацелена на правительственные организации, особенно связанные с обороной, в Азиатско-Тихоокеанском регионе, занимаясь кражей конфиденциальной информации со взломанных хостов в промышленных масштабах. Для достижения этой цели они используют различные инструменты и методы для автоматизации сбора данных, обеспечения постоянного доступа к системам и предотвращения обнаружения.
Одним из методов, используемых ToddyCat, является установление SSH-соединений с удаленными серверами с помощью таких инструментов, как PsExec или Impacket. Перенаправляя сетевой трафик с определенных портов сервера на порты зараженных хостов, злоумышленники обеспечивают постоянный доступ к службам, запущенным на целевых хостах. Эта тактика, особенно на контроллерах домена, позволяет им извлекать IP-адреса узлов внутренней сети с помощью DNS-запросов, расширяя их разведывательные возможности.
Злоумышленники также используют пакет SoftEther VPN для настройки VPN-серверов на скомпрометированных системах. Это решение с открытым исходным кодом поддерживает различные протоколы VPN, позволяя ToddyCat создавать безопасные соединения для туннелирования и удаленного доступа. Настраивая VPN-сервер с помощью определенных файлов и компонентов, злоумышленники создают скрытые каналы связи и передачи данных, повышая свою операционную безопасность.
Ngrok, облегченный агент, используется ToddyCat для перенаправления трафика команд и контроля (C2) между конечными точками и облачной инфраструктурой. В сочетании с другим инструментом под названием Krong, который дополняется легальным приложением, позволяющим избежать обнаружения, Ngrok обеспечивает передачу зашифрованных данных через прокси-серверы, маскируя вредоносные действия и сохраняя скрытность в скомпрометированной среде.
Еще больше расширяя свой доступ и контроль над целевыми хостами, ToddyCat устанавливает FRP-клиент для быстрого обратного прокси-сервера. FRP, инструмент, написанный на платформе Go, облегчает внешний доступ к локальным серверам за NAT или брандмауэрами, обеспечивая гибкость в маршрутизации трафика для связи C2 и оперативного управления.
Представляя новый инструмент cuthead, ToddyCat расширяет свои возможности поиска файлов в взломанных системах. Этот исполняемый файл .NET предназначен для поиска определенных типов файлов или ключевых слов в именах файлов, что облегчает автоматизированный сбор целевых документов. Задавая параметры поиска, включая расширения файлов и даты последнего изменения, cuthead упрощает процесс идентификации и архивирования соответствующих файлов для последующей фильтрации.
В случаях, когда для расшифровки данных требуются ключи шифрования, ToddyCat использует варианты mimikatz и TomBerBil для извлечения этих ключей из системных процессов, в частности из экземпляров explorer.exe и JSON-файлов браузера. Несмотря на риск обнаружения системами безопасности из-за широкого распространения этих инструментов, ToddyCat продолжает использовать их наряду с такими методами, как теневое копирование дисков и архивирование пользовательских данных для целей эксфильтрации.
Сочетая широкий спектр инструментов и тактик, ToddyCat обеспечивает постоянный доступ к скомпрометированной инфраструктуре, автоматизирует процессы сбора данных и использует методы шифрования и туннелирования, чтобы избежать обнаружения и достичь своих целей по краже данных у важных объектов в Азиатско-Тихоокеанском регионе.
👍1
#ParsedReport #CompletenessHigh
22-04-2024
MuddyWater campaign abusing Atera Agents
https://harfanglab.io/en/insidethelab/muddywater-rmm-campaign
Report completeness: High
Actors/Campaigns:
Muddywater
Threats:
Atera_tool
Spear-phishing_technique
Screenconnect_tool
Syncro_tool
Simplehelp_tool
Password_spray_technique
Darkbeatc2
Supply_chain_technique
Victims:
Airlines, It companies, Telecommunication, Pharmaceutical, Automotive manufacturing, Logistics, Travel and tourism, Employment/immigration agency, Small businesses, Ministry of foreign affairs of paraguay, have more...
Industry:
Education, Logistic, Transport, Healthcare, Aerospace, Telco
Geo:
Paraguay, Algeria, Egypt, Israel, Turkey, Israeli, Iranian, India, Italy, London
ChatGPT TTPs:
T1078, T1566, T1190, T1114, T1552, T1071, T1021, T1547, T1595
IOCs:
Hash: 13
File: 8
Url: 1
Domain: 3
Soft:
Outlook, Gmail
Algorithms:
sha256, zip
Languages:
powershell
YARA: Found
Links:
22-04-2024
MuddyWater campaign abusing Atera Agents
https://harfanglab.io/en/insidethelab/muddywater-rmm-campaign
Report completeness: High
Actors/Campaigns:
Muddywater
Threats:
Atera_tool
Spear-phishing_technique
Screenconnect_tool
Syncro_tool
Simplehelp_tool
Password_spray_technique
Darkbeatc2
Supply_chain_technique
Victims:
Airlines, It companies, Telecommunication, Pharmaceutical, Automotive manufacturing, Logistics, Travel and tourism, Employment/immigration agency, Small businesses, Ministry of foreign affairs of paraguay, have more...
Industry:
Education, Logistic, Transport, Healthcare, Aerospace, Telco
Geo:
Paraguay, Algeria, Egypt, Israel, Turkey, Israeli, Iranian, India, Italy, London
ChatGPT TTPs:
do not use without manual checkT1078, T1566, T1190, T1114, T1552, T1071, T1021, T1547, T1595
IOCs:
Hash: 13
File: 8
Url: 1
Domain: 3
Soft:
Outlook, Gmail
Algorithms:
sha256, zip
Languages:
powershell
YARA: Found
Links:
https://github.com/HarfangLab/iocs/tree/main/TRR240402
CTT Report Hub
#ParsedReport #CompletenessHigh 22-04-2024 MuddyWater campaign abusing Atera Agents https://harfanglab.io/en/insidethelab/muddywater-rmm-campaign Report completeness: High Actors/Campaigns: Muddywater Threats: Atera_tool Spear-phishing_technique Screenconnect_tool…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В тексте обсуждается деятельность иранской организации MuddyWater, спонсируемой государством, с акцентом на их недавнюю кампанию с использованием законного инструмента удаленного мониторинга Atera Agent для проведения фишинговых атак в различных секторах и странах. MuddyWater использует бесплатные пробные версии Atera Agent, использует скомпрометированные учетные записи электронной почты для регистрации и со временем повышает качество своих электронных писем, предназначенных для фишинга. Также подчеркивается широкий охват действий злоумышленника, сотрудничество с другими участниками угроз и потенциальный прогресс в развертывании имплантов PowerShell, что подчеркивает необходимость бдительности и сотрудничества в усилиях по обеспечению кибербезопасности.
-----
Иранский государственный агент по борьбе с угрозами MuddyWater активно использует законный инструмент удаленного мониторинга и управления Atera Agent как минимум с 2021 года для своих киберкампаний.
С октября 2023 года MuddyWater расширила свою деятельность с участием агента Atera, ориентируясь на такие отрасли, как авиакомпании, IT-компании, телекоммуникации, фармацевтика, автомобилестроение, логистика и многое другое во многих странах.
Злоумышленник использует такие тактики, как использование бесплатных пробных предложений, регистрация агентов Atera с помощью скомпрометированных учетных записей электронной почты, полученных различными способами, и использование возможностей инструмента для удаленного управления непосредственно из веб-интерфейса.
Тактика подводной охоты MuddyWater претерпела изменения, и в последних электронных письмах появились более изощренные и убедительные приманки по сравнению с предыдущими кампаниями.
Скомпрометированные учетные записи деловой электронной почты, полученные MuddyWater, позволяют им активизировать усилия по борьбе с фишингом, обеспечить устойчивость внутри организаций и потенциально сотрудничать с другими иранскими злоумышленниками для проведения атак на цепочки поставок.
Существуют опасения, что после успешного развертывания Atera Agent MuddyWater может перейти к развертыванию импланта PowerShell в своих атаках.
Поощряется сотрудничество между затронутыми организациями и исследователями для улучшения обнаружения, реагирования и отслеживания новых вредоносных действий, связанных с кампаниями MuddyWater.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В тексте обсуждается деятельность иранской организации MuddyWater, спонсируемой государством, с акцентом на их недавнюю кампанию с использованием законного инструмента удаленного мониторинга Atera Agent для проведения фишинговых атак в различных секторах и странах. MuddyWater использует бесплатные пробные версии Atera Agent, использует скомпрометированные учетные записи электронной почты для регистрации и со временем повышает качество своих электронных писем, предназначенных для фишинга. Также подчеркивается широкий охват действий злоумышленника, сотрудничество с другими участниками угроз и потенциальный прогресс в развертывании имплантов PowerShell, что подчеркивает необходимость бдительности и сотрудничества в усилиях по обеспечению кибербезопасности.
-----
Иранский государственный агент по борьбе с угрозами MuddyWater активно использует законный инструмент удаленного мониторинга и управления Atera Agent как минимум с 2021 года для своих киберкампаний.
С октября 2023 года MuddyWater расширила свою деятельность с участием агента Atera, ориентируясь на такие отрасли, как авиакомпании, IT-компании, телекоммуникации, фармацевтика, автомобилестроение, логистика и многое другое во многих странах.
Злоумышленник использует такие тактики, как использование бесплатных пробных предложений, регистрация агентов Atera с помощью скомпрометированных учетных записей электронной почты, полученных различными способами, и использование возможностей инструмента для удаленного управления непосредственно из веб-интерфейса.
Тактика подводной охоты MuddyWater претерпела изменения, и в последних электронных письмах появились более изощренные и убедительные приманки по сравнению с предыдущими кампаниями.
Скомпрометированные учетные записи деловой электронной почты, полученные MuddyWater, позволяют им активизировать усилия по борьбе с фишингом, обеспечить устойчивость внутри организаций и потенциально сотрудничать с другими иранскими злоумышленниками для проведения атак на цепочки поставок.
Существуют опасения, что после успешного развертывания Atera Agent MuddyWater может перейти к развертыванию импланта PowerShell в своих атаках.
Поощряется сотрудничество между затронутыми организациями и исследователями для улучшения обнаружения, реагирования и отслеживания новых вредоносных действий, связанных с кампаниями MuddyWater.
#ParsedReport #CompletenessMedium
21-04-2024
UAC-0133 (Sandworm) plans for cyber sabotage on almost 20 objects of critical infrastructure of Ukraine
https://cert.gov.ua/article/6278706
Report completeness: Medium
Actors/Campaigns:
Sandworm
Threats:
Kapeka
Loadgrip
Supply_chain_technique
Weevely
Regeorg
Gossipflow_tool
Chisel_tool
Libprocesshider_rootkit
Juicypotato_tool
Rottenpotatong_tool
Dumplsass_tool
Chrysaor
Victims:
Energy companies, Water supply facilities, Heat supply enterprises
Industry:
Energy, Government, Ics
Geo:
Ukraine
ChatGPT TTPs:
T1566, T1190, T1583, T1027, T1555, T1587, T1547, T1584, T1059, T1071, have more...
IOCs:
File: 34
Hash: 138
Path: 8
Command: 2
Registry: 2
IP: 17
Soft:
Windows registry
Algorithms:
aes, aes-128-cbc
Languages:
php
21-04-2024
UAC-0133 (Sandworm) plans for cyber sabotage on almost 20 objects of critical infrastructure of Ukraine
https://cert.gov.ua/article/6278706
Report completeness: Medium
Actors/Campaigns:
Sandworm
Threats:
Kapeka
Loadgrip
Supply_chain_technique
Weevely
Regeorg
Gossipflow_tool
Chisel_tool
Libprocesshider_rootkit
Juicypotato_tool
Rottenpotatong_tool
Dumplsass_tool
Chrysaor
Victims:
Energy companies, Water supply facilities, Heat supply enterprises
Industry:
Energy, Government, Ics
Geo:
Ukraine
ChatGPT TTPs:
do not use without manual checkT1566, T1190, T1583, T1027, T1555, T1587, T1547, T1584, T1059, T1071, have more...
IOCs:
File: 34
Hash: 138
Path: 8
Command: 2
Registry: 2
IP: 17
Soft:
Windows registry
Algorithms:
aes, aes-128-cbc
Languages:
php
cert.gov.ua
CERT-UA
Урядова команда реагування на комп’ютерні надзвичайні події України, яка функціонує в складі Державної служби спеціального зв’язку та захисту інформації України.
CTT Report Hub
#ParsedReport #CompletenessMedium 21-04-2024 UAC-0133 (Sandworm) plans for cyber sabotage on almost 20 objects of critical infrastructure of Ukraine https://cert.gov.ua/article/6278706 Report completeness: Medium Actors/Campaigns: Sandworm Threats: Kapeka…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста - подробный обзор вредоносного киберплана, раскрытого Правительственной группой реагирования на компьютерные чрезвычайные ситуации в Украине (CERT-UA), организованного группой Sandworm в марте 2024 года. Злоумышленники стремились нарушить работу предприятий энергетики, водо- и теплоснабжения в Украине с помощью различных вредоносных инструментов и тактик, подчеркивая необходимость усиления мер кибербезопасности и упреждающего анализа угроз для защиты от таких сложных угроз, нацеленных на критически важную инфраструктуру.
-----
В марте 2024 года Правительственная группа реагирования на компьютерные чрезвычайные ситуации в Украине (CERT-UA) раскрыла вредоносный план группы Sandworm. Целью было нарушить работу примерно двадцати предприятий энерго-, водо- и теплоснабжения в десяти регионах Украины. Злоумышленники использовали различные вредоносные программы, в том числе бэкдор QUEUESEED и новые дополнения, такие как LOADGRIP и BIASBOAT, Linux-вариант QUEUESEED.
В ходе расследования инцидента CERT-UA обнаружил, что целью атак был компьютер под управлением операционной системы Linux, который управлял технологическими процессами с помощью специализированного программного обеспечения. BIASBOAT был замаскирован под файл, зашифрованный для определенного сервера, что указывает на сложный подход. Был подтвержден факт компрометации по меньшей мере трех цепочек поставок, причем основной несанкционированный доступ был связан с уязвимостями программного обеспечения или доступом сотрудников поставщиков к организациям ICS.
Злоумышленники использовали КОМПЬЮТЕРЫ с программно-определяемыми радиоприемниками (SDRS) в корпоративных сетях для горизонтального перемещения и кибератак на корпоративные сети, внедряя такие инструменты, как веб-оболочки PHP и туннели. CERT-UA незамедлительно приняла меры по информированию пострадавших предприятий, удалению вредоносного ПО, анализу хронологии инцидентов и усилению мер кибербезопасности.
Вредоносные программы QUEUESEED и GOSSIPFLOW ранее использовались в разрушительных кибератаках на объекты водоснабжения в Украине. UAC-0133, входящий в группу Sandworm, был идентифицирован как подкластер UAC-0002, что подчеркивает опыт группы в атаках на критически важную инфраструктуру.
Успеху плана киберсаботажа способствовали слабые методы обеспечения безопасности, такие как неадекватная сегментация и небрежное отношение поставщиков к безопасности программного обеспечения. Злоумышленники намеревались использовать несанкционированный доступ к ICS для усиления воздействия потенциальных ракетных ударов по украинской инфраструктуре.
QUEUESEED, написанный на C++, представляет собой универсальный бэкдор, способный выполнять команды, обновлять конфигурации и самоудаляться. Он взаимодействует с сервером управления по протоколу HTTPS, используя зашифрованные данные в формате JSON. BIASBOAT, Linux-версия QUEUESEED, запускается с помощью инжектора LOADGRIP и взаимодействует с центральным сервером. Другой используемый инструмент, GOSSIPFLOW, устанавливает туннели и действует как прокси-сервер SOCKS5.
Злоумышленники использовали различные файлы и скрипты для сохранения данных, такие как запланированные задачи, записи реестра и общие библиотеки. Они атаковали широкий спектр систем и каталогов в средах Windows и Linux, демонстрируя сложные и стойкие возможности для борьбы с киберугрозами.
В ответ на эту угрозу CERT-UA рекомендовала усилить меры безопасности, включая сегментацию сети, контроль доступа, оценку безопасности программного обеспечения и готовность к реагированию на инциденты, чтобы смягчить будущие киберугрозы, нацеленные на критически важную инфраструктуру. Проведенный анализ подчеркивает важность упреждающей разведки угроз и надежных протоколов кибербезопасности для защиты от сложных угроз, таких как Sandworm.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста - подробный обзор вредоносного киберплана, раскрытого Правительственной группой реагирования на компьютерные чрезвычайные ситуации в Украине (CERT-UA), организованного группой Sandworm в марте 2024 года. Злоумышленники стремились нарушить работу предприятий энергетики, водо- и теплоснабжения в Украине с помощью различных вредоносных инструментов и тактик, подчеркивая необходимость усиления мер кибербезопасности и упреждающего анализа угроз для защиты от таких сложных угроз, нацеленных на критически важную инфраструктуру.
-----
В марте 2024 года Правительственная группа реагирования на компьютерные чрезвычайные ситуации в Украине (CERT-UA) раскрыла вредоносный план группы Sandworm. Целью было нарушить работу примерно двадцати предприятий энерго-, водо- и теплоснабжения в десяти регионах Украины. Злоумышленники использовали различные вредоносные программы, в том числе бэкдор QUEUESEED и новые дополнения, такие как LOADGRIP и BIASBOAT, Linux-вариант QUEUESEED.
В ходе расследования инцидента CERT-UA обнаружил, что целью атак был компьютер под управлением операционной системы Linux, который управлял технологическими процессами с помощью специализированного программного обеспечения. BIASBOAT был замаскирован под файл, зашифрованный для определенного сервера, что указывает на сложный подход. Был подтвержден факт компрометации по меньшей мере трех цепочек поставок, причем основной несанкционированный доступ был связан с уязвимостями программного обеспечения или доступом сотрудников поставщиков к организациям ICS.
Злоумышленники использовали КОМПЬЮТЕРЫ с программно-определяемыми радиоприемниками (SDRS) в корпоративных сетях для горизонтального перемещения и кибератак на корпоративные сети, внедряя такие инструменты, как веб-оболочки PHP и туннели. CERT-UA незамедлительно приняла меры по информированию пострадавших предприятий, удалению вредоносного ПО, анализу хронологии инцидентов и усилению мер кибербезопасности.
Вредоносные программы QUEUESEED и GOSSIPFLOW ранее использовались в разрушительных кибератаках на объекты водоснабжения в Украине. UAC-0133, входящий в группу Sandworm, был идентифицирован как подкластер UAC-0002, что подчеркивает опыт группы в атаках на критически важную инфраструктуру.
Успеху плана киберсаботажа способствовали слабые методы обеспечения безопасности, такие как неадекватная сегментация и небрежное отношение поставщиков к безопасности программного обеспечения. Злоумышленники намеревались использовать несанкционированный доступ к ICS для усиления воздействия потенциальных ракетных ударов по украинской инфраструктуре.
QUEUESEED, написанный на C++, представляет собой универсальный бэкдор, способный выполнять команды, обновлять конфигурации и самоудаляться. Он взаимодействует с сервером управления по протоколу HTTPS, используя зашифрованные данные в формате JSON. BIASBOAT, Linux-версия QUEUESEED, запускается с помощью инжектора LOADGRIP и взаимодействует с центральным сервером. Другой используемый инструмент, GOSSIPFLOW, устанавливает туннели и действует как прокси-сервер SOCKS5.
Злоумышленники использовали различные файлы и скрипты для сохранения данных, такие как запланированные задачи, записи реестра и общие библиотеки. Они атаковали широкий спектр систем и каталогов в средах Windows и Linux, демонстрируя сложные и стойкие возможности для борьбы с киберугрозами.
В ответ на эту угрозу CERT-UA рекомендовала усилить меры безопасности, включая сегментацию сети, контроль доступа, оценку безопасности программного обеспечения и готовность к реагированию на инциденты, чтобы смягчить будущие киберугрозы, нацеленные на критически важную инфраструктуру. Проведенный анализ подчеркивает важность упреждающей разведки угроз и надежных протоколов кибербезопасности для защиты от сложных угроз, таких как Sandworm.
#ParsedReport #CompletenessMedium
21-04-2024
Search. Finding the unknown unknowns, part 1
https://blog.strikeready.com/blog/finding-the-unknown-unknowns-part-1
Report completeness: Medium
Actors/Campaigns:
Fancy_bear
Threats:
Atera_tool
Polymorphism_technique
Geo:
Israel, Australia, Israeli, Italy, Ukrainian, Ukraine, Turkish
ChatGPT TTPs:
T1566, T1204, T1566.001, T1563.002, T1140, T1059, T1071, T1027, T1036
IOCs:
Email: 1
Url: 11
Hash: 22
Algorithms:
zip
Platforms:
x86
Links:
21-04-2024
Search. Finding the unknown unknowns, part 1
https://blog.strikeready.com/blog/finding-the-unknown-unknowns-part-1
Report completeness: Medium
Actors/Campaigns:
Fancy_bear
Threats:
Atera_tool
Polymorphism_technique
Geo:
Israel, Australia, Israeli, Italy, Ukrainian, Ukraine, Turkish
ChatGPT TTPs:
do not use without manual checkT1566, T1204, T1566.001, T1563.002, T1140, T1059, T1071, T1027, T1036
IOCs:
Email: 1
Url: 11
Hash: 22
Algorithms:
zip
Platforms:
x86
Links:
https://github.com/StrikeReady-Inc/research/tree/main/2024-04-16%20Unknown%20unknownsStrikeReady blog
Finding the unknown unknowns, part 1
This is the first article in a series about technical hunting wins that are attainable by all SOC teams.
CTT Report Hub
#ParsedReport #CompletenessMedium 21-04-2024 Search. Finding the unknown unknowns, part 1 https://blog.strikeready.com/blog/finding-the-unknown-unknowns-part-1 Report completeness: Medium Actors/Campaigns: Fancy_bear Threats: Atera_tool Polymorphism_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в использовании pivots для выявления целенаправленных угроз в корпоративных сетях без использования дорогостоящих технологий, подчеркивая важность программного обнаружения угроз, ежедневного анализа каждого предупреждения, содержащего защищенные паролем объекты, и ценность человеческого анализа для выявления аномалий. В нем также обсуждается использование скрытого отслеживания изображений в электронных письмах, необходимость ручной настройки и обогащения индикаторов для эффективного анализа угроз, а также поощряется сотрудничество и исследования в сообществе кибербезопасности.
-----
В тексте выделяются три основных метода, которые используются для выявления целенаправленных угроз в корпоративных сетях без использования дорогостоящих технологий. Автор подчеркивает важность возможности программного обнаружения угроз и советует предприятиям ежедневно анализировать каждое предупреждение, содержащее защищенный паролем объект. Они отмечают, что законные средства мониторинга доставки электронной почты ограничены, и предполагают, что к предупреждениям о контенте, защищенном паролем, таком как документы office или zip-файлы, следует относиться серьезно. В качестве примера приводится защищенный паролем zip-файл, адресованный Израилю, с паролем "123456", что указывает на преднамеренное использование злоумышленником. В тексте подчеркивается ценность человеческого анализа, особенно при выявлении аномалий, таких как использование ИТ-пользователем незнакомых инструментов. Также упоминается важность быстрой оценки легитимности приманок, и предлагается программно извлекать URL-адреса и выполнять поиск по соответствующим показателям.
Кроме того, в тексте обсуждается использование скрытого отслеживания изображений в электронных письмах для отслеживания взаимодействия с пользователем и упоминается случай, когда участники шпионажа использовали изображения канареек в документах Word для отслеживания. В нем подчеркивается необходимость ручной настройки и обогащения индикаторов для эффективного анализа угроз. Автор рекомендует посетить их страницу на GitHub, чтобы ознакомиться со списком показателей, и предлагает поставщикам предоставлять заявления о предполагаемой авторской принадлежности для сотрудничества и исследовательских целей.
Авторы выражают благодарность рецензентам, другим поставщикам и отдельным лицам, которые помогли связаться с заинтересованными сторонами в Израиле. Они приглашают внести исправления и направить запросы о сотрудничестве по электронной почте.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в использовании pivots для выявления целенаправленных угроз в корпоративных сетях без использования дорогостоящих технологий, подчеркивая важность программного обнаружения угроз, ежедневного анализа каждого предупреждения, содержащего защищенные паролем объекты, и ценность человеческого анализа для выявления аномалий. В нем также обсуждается использование скрытого отслеживания изображений в электронных письмах, необходимость ручной настройки и обогащения индикаторов для эффективного анализа угроз, а также поощряется сотрудничество и исследования в сообществе кибербезопасности.
-----
В тексте выделяются три основных метода, которые используются для выявления целенаправленных угроз в корпоративных сетях без использования дорогостоящих технологий. Автор подчеркивает важность возможности программного обнаружения угроз и советует предприятиям ежедневно анализировать каждое предупреждение, содержащее защищенный паролем объект. Они отмечают, что законные средства мониторинга доставки электронной почты ограничены, и предполагают, что к предупреждениям о контенте, защищенном паролем, таком как документы office или zip-файлы, следует относиться серьезно. В качестве примера приводится защищенный паролем zip-файл, адресованный Израилю, с паролем "123456", что указывает на преднамеренное использование злоумышленником. В тексте подчеркивается ценность человеческого анализа, особенно при выявлении аномалий, таких как использование ИТ-пользователем незнакомых инструментов. Также упоминается важность быстрой оценки легитимности приманок, и предлагается программно извлекать URL-адреса и выполнять поиск по соответствующим показателям.
Кроме того, в тексте обсуждается использование скрытого отслеживания изображений в электронных письмах для отслеживания взаимодействия с пользователем и упоминается случай, когда участники шпионажа использовали изображения канареек в документах Word для отслеживания. В нем подчеркивается необходимость ручной настройки и обогащения индикаторов для эффективного анализа угроз. Автор рекомендует посетить их страницу на GitHub, чтобы ознакомиться со списком показателей, и предлагает поставщикам предоставлять заявления о предполагаемой авторской принадлежности для сотрудничества и исследовательских целей.
Авторы выражают благодарность рецензентам, другим поставщикам и отдельным лицам, которые помогли связаться с заинтересованными сторонами в Израиле. Они приглашают внести исправления и направить запросы о сотрудничестве по электронной почте.
#ParsedReport #CompletenessHigh
21-04-2024
ScrubCrypt VenomRAT RemcosRAT. Too long to watch
https://mp.weixin.qq.com/s/xAwoxhgEXV_HwDztISGK0A
Report completeness: High
Actors/Campaigns:
8220_gang
Threats:
Scrubcrypt
Venomrat
Remcos_rat
Batcloak_tool
Xworm_rat
Nanocore_rat
Amsi_bypass_technique
Quasar_rat
Cloudeye
Steganography_technique
Process_hollowing_technique
Industry:
Financial
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1566.001, T1027, T1140, T1059, T1562.001, T1547.001, T1053.005, T1574.012
IOCs:
File: 10
Url: 4
Registry: 1
Domain: 1
Soft:
OneNote, Foxmail, telegram
Wallets:
exodus_wallet
Algorithms:
aes-cbc, zip, rc4, gzip, base64
Win API:
decompress, EtwEventWrite
Languages:
powershell
21-04-2024
ScrubCrypt VenomRAT RemcosRAT. Too long to watch
https://mp.weixin.qq.com/s/xAwoxhgEXV_HwDztISGK0A
Report completeness: High
Actors/Campaigns:
8220_gang
Threats:
Scrubcrypt
Venomrat
Remcos_rat
Batcloak_tool
Xworm_rat
Nanocore_rat
Amsi_bypass_technique
Quasar_rat
Cloudeye
Steganography_technique
Process_hollowing_technique
Industry:
Financial
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1566.001, T1027, T1140, T1059, T1562.001, T1547.001, T1053.005, T1574.012
IOCs:
File: 10
Url: 4
Registry: 1
Domain: 1
Soft:
OneNote, Foxmail, telegram
Wallets:
exodus_wallet
Algorithms:
aes-cbc, zip, rc4, gzip, base64
Win API:
decompress, EtwEventWrite
Languages:
powershell
Weixin Official Accounts Platform
钓鱼邮件通过ScrubCrypt分发和执行 VenomRAT 、RemcosRAT等恶意程序全家桶
CTT Report Hub
#ParsedReport #CompletenessHigh 21-04-2024 ScrubCrypt VenomRAT RemcosRAT. Too long to watch https://mp.weixin.qq.com/s/xAwoxhgEXV_HwDztISGK0A Report completeness: High Actors/Campaigns: 8220_gang Threats: Scrubcrypt Venomrat Remcos_rat Batcloak_tool Xworm_rat…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в подробном анализе сложной кибератаки, связанной с распространением и выполнением VenomRAT, троянской программы удаленного доступа, с использованием передовых методов обфускации. Цепочка атак включает фишинговые электронные письма, запутанные пакетные файлы и плагины, поставляемые через сервер управления, демонстрируя возможности, которые злоумышленники используют для компрометации систем и кражи конфиденциальных данных.
-----
Распространение атаки VenomRAT включает в себя фишинговые электронные письма с вредоносными SVG-файлами, которые приводят к загрузке зашифрованных ZIP-файлов, содержащих VenomRAT, с помощью ScrubCrypt.
VenomRAT устанавливает соединение с сервером C2, устанавливает плагины, такие как Remcos, XWorm, NanoCore и стелс-программы для крипто-кошельков, и собирает данные о жертвах различных вредоносных действий.
В ходе атаки используются запутанные скрипты, технологии PowerShell и сложные плагины для кражи данных, контроля системы и уклонения от обнаружения.
NanoCore изменяет ключи реестра и загружает закодированные данные, XWorm распространяется через съемные диски, а Remcos обеспечивает полный контроль над зараженными системами с помощью кейлоггинга и скриншотов.
Плагины с сервера VenomRAT C2 нацелены на конкретные данные, такие как крипто-кошельки, имена пользователей и данные о ПК, постоянно отправляя собранные данные в вредоносных целях.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в подробном анализе сложной кибератаки, связанной с распространением и выполнением VenomRAT, троянской программы удаленного доступа, с использованием передовых методов обфускации. Цепочка атак включает фишинговые электронные письма, запутанные пакетные файлы и плагины, поставляемые через сервер управления, демонстрируя возможности, которые злоумышленники используют для компрометации систем и кражи конфиденциальных данных.
-----
Распространение атаки VenomRAT включает в себя фишинговые электронные письма с вредоносными SVG-файлами, которые приводят к загрузке зашифрованных ZIP-файлов, содержащих VenomRAT, с помощью ScrubCrypt.
VenomRAT устанавливает соединение с сервером C2, устанавливает плагины, такие как Remcos, XWorm, NanoCore и стелс-программы для крипто-кошельков, и собирает данные о жертвах различных вредоносных действий.
В ходе атаки используются запутанные скрипты, технологии PowerShell и сложные плагины для кражи данных, контроля системы и уклонения от обнаружения.
NanoCore изменяет ключи реестра и загружает закодированные данные, XWorm распространяется через съемные диски, а Remcos обеспечивает полный контроль над зараженными системами с помощью кейлоггинга и скриншотов.
Плагины с сервера VenomRAT C2 нацелены на конкретные данные, такие как крипто-кошельки, имена пользователей и данные о ПК, постоянно отправляя собранные данные в вредоносных целях.