CTT Report Hub
#ParsedReport #CompletenessLow 22-04-2024 Sharp-Project: New Stealer Family on the Market https://www.gdatasoftware.com/blog/2024/04/37894-sharp-info-stealer Report completeness: Low Threats: Sharp_stealer Sharpil Umbral Echelon_stealer Victims: Gamers…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что инфокрады Sharpil RAT, в частности вредоносная программа, известная как "Sharp Stealer", нацелена на геймеров с целью кражи конфиденциальной информации, действуя через Telegram-бота, несмотря на то, что она классифицируется как троян удаленного доступа. Вредоносная программа фокусируется на краже данных, а не на контроле системы, использует методы обфускации и нацелена на широкий спектр приложений, которые обычно используются игроками для получения финансовой выгоды на подпольных рынках. Однако он не приобрел значительной популярности в киберпреступном сообществе, и ему не хватает продвинутых методов уклонения, что указывает на то, что он, возможно, все еще находится на ранней стадии разработки.
-----
Инфокрады Sharpil RAT представляют собой нового игрока на рынке киберпреступлений, который нацелен на игроков с целью кражи конфиденциальной информации. Вредоносная программа, известная как "Sharp Stealer", написана на C# и работает путем установления соединения с ботом Telegram для получения команд от участников угрозы. Она может собирать системную информацию, данные браузера, геолокацию и данные пользователя с игровых серверов, таких как Vime World. Несмотря на то, что он помечен как троян для удаленного доступа, его функциональные возможности больше соответствуют функциям похитителя данных, специально разработанного для кражи данных с дистанционным управлением, а не для управления системой.
Злоумышленник, стоящий за Sharp Stealer, работает через Telegram-канал под названием "SHARP PROJECT", предлагая вредоносное ПО в аренду за 10 долларов или для постоянной покупки за 30 долларов. Вредоносное ПО отправляет украденные данные непосредственно боту Telegram, минуя хостинг. Хотя изначально были сомнения в достоверности проекта, дальнейшее расследование подтвердило, что Sharpil RAT и Sharp Stealer используют схожие стили кодирования и нацелены на схожие наборы данных, используя Telegram-бота для сбора данных.
Вредоносная программа использует различные методы обфускации, включая использование Ionic Framework, криптографические функции с помощью библиотеки BCrypt и компоненты других вредоносных программ, таких как Umbral stealer и Echelon infostealer. Несмотря на попытки обфускации, аналитикам удалось расшифровать функциональные возможности вредоносного ПО и определить конкретные данные, на которые оно нацелено, включая широкий спектр приложений, обычно используемых геймерами.
Одним из примечательных аспектов Sharp Stealer является его ориентация на игровые платформы и мессенджеры, которые являются прибыльными источниками внутриигровых предметов, платежной информации и скомпрометированных аккаунтов на подпольных рынках. Однако вредоносная программа еще не приобрела значительной популярности в киберпреступном сообществе из-за ограниченного присутствия на форумах даркнета и небольшой базы подписчиков на соответствующий Telegram-канал. Кроме того, вредоносная программа лишена функций, обычно встречающихся у известных инфокрадов, таких как методы обхода антивирусного обнаружения и обнаружения в изолированной среде, что указывает на то, что она все еще может находиться на ранних стадиях разработки.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что инфокрады Sharpil RAT, в частности вредоносная программа, известная как "Sharp Stealer", нацелена на геймеров с целью кражи конфиденциальной информации, действуя через Telegram-бота, несмотря на то, что она классифицируется как троян удаленного доступа. Вредоносная программа фокусируется на краже данных, а не на контроле системы, использует методы обфускации и нацелена на широкий спектр приложений, которые обычно используются игроками для получения финансовой выгоды на подпольных рынках. Однако он не приобрел значительной популярности в киберпреступном сообществе, и ему не хватает продвинутых методов уклонения, что указывает на то, что он, возможно, все еще находится на ранней стадии разработки.
-----
Инфокрады Sharpil RAT представляют собой нового игрока на рынке киберпреступлений, который нацелен на игроков с целью кражи конфиденциальной информации. Вредоносная программа, известная как "Sharp Stealer", написана на C# и работает путем установления соединения с ботом Telegram для получения команд от участников угрозы. Она может собирать системную информацию, данные браузера, геолокацию и данные пользователя с игровых серверов, таких как Vime World. Несмотря на то, что он помечен как троян для удаленного доступа, его функциональные возможности больше соответствуют функциям похитителя данных, специально разработанного для кражи данных с дистанционным управлением, а не для управления системой.
Злоумышленник, стоящий за Sharp Stealer, работает через Telegram-канал под названием "SHARP PROJECT", предлагая вредоносное ПО в аренду за 10 долларов или для постоянной покупки за 30 долларов. Вредоносное ПО отправляет украденные данные непосредственно боту Telegram, минуя хостинг. Хотя изначально были сомнения в достоверности проекта, дальнейшее расследование подтвердило, что Sharpil RAT и Sharp Stealer используют схожие стили кодирования и нацелены на схожие наборы данных, используя Telegram-бота для сбора данных.
Вредоносная программа использует различные методы обфускации, включая использование Ionic Framework, криптографические функции с помощью библиотеки BCrypt и компоненты других вредоносных программ, таких как Umbral stealer и Echelon infostealer. Несмотря на попытки обфускации, аналитикам удалось расшифровать функциональные возможности вредоносного ПО и определить конкретные данные, на которые оно нацелено, включая широкий спектр приложений, обычно используемых геймерами.
Одним из примечательных аспектов Sharp Stealer является его ориентация на игровые платформы и мессенджеры, которые являются прибыльными источниками внутриигровых предметов, платежной информации и скомпрометированных аккаунтов на подпольных рынках. Однако вредоносная программа еще не приобрела значительной популярности в киберпреступном сообществе из-за ограниченного присутствия на форумах даркнета и небольшой базы подписчиков на соответствующий Telegram-канал. Кроме того, вредоносная программа лишена функций, обычно встречающихся у известных инфокрадов, таких как методы обхода антивирусного обнаружения и обнаружения в изолированной среде, что указывает на то, что она все еще может находиться на ранних стадиях разработки.
#ParsedReport #CompletenessLow
23-04-2024
APT-C-28 ScarCruft LNK RokRat.
https://www.ctfiot.com/175379.html
Report completeness: Low
Actors/Campaigns:
Scarcruft
Threats:
Rokrat
Victims:
Companies in the energy sector
Industry:
Transport, Energy, Aerospace, Military, Healthcare
Geo:
Korea, Korean, Asia, Asian
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1566.001, T1204.002, T1059.001, T1027, T1055, T1105
IOCs:
File: 3
Hash: 2
Algorithms:
zip, sha1, xor, md5, sha256
Languages:
powershell
23-04-2024
APT-C-28 ScarCruft LNK RokRat.
https://www.ctfiot.com/175379.html
Report completeness: Low
Actors/Campaigns:
Scarcruft
Threats:
Rokrat
Victims:
Companies in the energy sector
Industry:
Transport, Energy, Aerospace, Military, Healthcare
Geo:
Korea, Korean, Asia, Asian
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1566.001, T1204.002, T1059.001, T1027, T1055, T1105
IOCs:
File: 3
Hash: 2
Algorithms:
zip, sha1, xor, md5, sha256
Languages:
powershell
CTF导航
APT-C-28(ScarCruft)组织利用恶意LNK文件投递RokRat攻击的活动分析 | CTF导航
APT-C-28 ScarCruftAPT-C-28(ScarCruft)组织,也被称为APT37(Reaper)和Group123,是一个源自东北亚地区的APT组织。该组织的相关攻击活动最早可追溯到2012年,并且一直保持到现在仍然十分活跃。APT-C-28...
CTT Report Hub
#ParsedReport #CompletenessLow 23-04-2024 APT-C-28 ScarCruft LNK RokRat. https://www.ctfiot.com/175379.html Report completeness: Low Actors/Campaigns: Scarcruft Threats: Rokrat Victims: Companies in the energy sector Industry: Transport, Energy, Aerospace…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в обсуждении киберугроз, связанных с организацией ScarCruft, с особым упором на распространение и функциональность вредоносного ПО RokRat. В тексте освещаются методы доставки RokRat, кампании по атакам, нацеленные на энергетическую отрасль, рекомендации по предотвращению и устранению неполадок, природа и происхождение APT-C-28 (ScarCruft), а также описание конкретной сетевой атаки, связанной с развертыванием вредоносного ПО RokRat с помощью обманчивых файлов LNK. Дальнейший анализ включает в себя подробную информацию о механизмах активации вредоносного ПО, эволюции методов атаки и стратегиях, используемых злоумышленниками.
-----
В тексте обсуждаются действия, связанные с киберугрозами, связанные с организацией ScarCruft, с особым упором на доставку и функциональность вредоносного ПО RokRat. В начале статьи упоминается о предыдущих статьях, в которых подробно описывается, как злоумышленники распространяют образцы вредоносного ПО RokRat с помощью вредоносных документов, и приводится анализ кампаний по атакам RokRat, нацеленных на энергетическую отрасль. Обсуждаются функции RokRat, подчеркивается их последовательность и принадлежность к организации ScarCruft на основе сходства в моделях атак.
Злоумышленники отправляют сжатые файлы по электронной почте, предлагая пользователям щелкнуть по вредоносным файлам LNK, чтобы опубликовать образцы RokRat. В тексте содержатся рекомендации по предотвращению и устранению неполадок, включая обучение сотрудников, ограничение выполнения файлов, использование антивирусного программного обеспечения, проведение проверок безопасности, применение исправлений безопасности и внедрение многофакторной аутентификации для усиления мер безопасности.
Организация APT-C-28 (ScarCruft), также известная как APT37 (Жнец) и Group123, идентифицируется как группа APT, происходящая из Северо-Восточной Азии. Известный своими кибератаками, направленными в первую очередь против Южной Кореи и других азиатских стран, APT-C-28 с 2012 года нацелен на такие отрасли, как химия, электроника, обрабатывающая промышленность, аэрокосмическая промышленность, автомобилестроение и здравоохранение, с целью кражи конфиденциальных данных, связанных с военными, политическими и экономическими вопросами. RokRat, облачный инструмент удаленного доступа, часто используется APT-C-28 в своей работе с 2016 года, помогая в краже разведывательных данных.
Описана конкретная сетевая атака APT-C-28, в ходе которой вредоносные файлы LNK, замаскированные под "Дебаты экспертов по правам человека в Северной Корее", использовались для доставки вредоносного ПО RokRat. В тексте объясняется процесс распространения вредоносного ПО путем оценки начальной вредоносной нагрузки, включая извлечение файла BAT и сценария PowerShell из файла LNK, загрузку зашифрованной полезной нагрузки из DropBox и расшифровку для получения вредоносного ПО RokRat. Выделяются сложные механизмы активации вредоносного ПО, демонстрирующие сложность атаки.
Злоумышленники использовали тактику приманки, маскируя содержимое файла LNK, относящееся к важной теме, чтобы обманом заставить пользователей выполнить его. Вредоносный код PowerShell, встроенный в файл LNK, скрытно выполняет различные потенциально вредоносные операции, включая изменение атрибутов защиты, расшифровку данных с помощью операции XOR, создание нового потока для выполнения и обработку исключений во время процесса.
Дальнейший анализ посвящен расшифровке PE-файла и выявлению троянца RokRat, созданного в 2023 году. В тексте это открытие сравнивается с предыдущими анализами версий RokRat, в которых основное внимание уделяется эволюции методов и стратегий атаки. Хотя в образце 2023 года сохранены основные функциональные возможности версии 2022 года, в нем представлены изменения в методах работы, такие как корректировка трассировок в реестре для повышения скрытности и эффективности при эффективном обходе мер безопасности.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в обсуждении киберугроз, связанных с организацией ScarCruft, с особым упором на распространение и функциональность вредоносного ПО RokRat. В тексте освещаются методы доставки RokRat, кампании по атакам, нацеленные на энергетическую отрасль, рекомендации по предотвращению и устранению неполадок, природа и происхождение APT-C-28 (ScarCruft), а также описание конкретной сетевой атаки, связанной с развертыванием вредоносного ПО RokRat с помощью обманчивых файлов LNK. Дальнейший анализ включает в себя подробную информацию о механизмах активации вредоносного ПО, эволюции методов атаки и стратегиях, используемых злоумышленниками.
-----
В тексте обсуждаются действия, связанные с киберугрозами, связанные с организацией ScarCruft, с особым упором на доставку и функциональность вредоносного ПО RokRat. В начале статьи упоминается о предыдущих статьях, в которых подробно описывается, как злоумышленники распространяют образцы вредоносного ПО RokRat с помощью вредоносных документов, и приводится анализ кампаний по атакам RokRat, нацеленных на энергетическую отрасль. Обсуждаются функции RokRat, подчеркивается их последовательность и принадлежность к организации ScarCruft на основе сходства в моделях атак.
Злоумышленники отправляют сжатые файлы по электронной почте, предлагая пользователям щелкнуть по вредоносным файлам LNK, чтобы опубликовать образцы RokRat. В тексте содержатся рекомендации по предотвращению и устранению неполадок, включая обучение сотрудников, ограничение выполнения файлов, использование антивирусного программного обеспечения, проведение проверок безопасности, применение исправлений безопасности и внедрение многофакторной аутентификации для усиления мер безопасности.
Организация APT-C-28 (ScarCruft), также известная как APT37 (Жнец) и Group123, идентифицируется как группа APT, происходящая из Северо-Восточной Азии. Известный своими кибератаками, направленными в первую очередь против Южной Кореи и других азиатских стран, APT-C-28 с 2012 года нацелен на такие отрасли, как химия, электроника, обрабатывающая промышленность, аэрокосмическая промышленность, автомобилестроение и здравоохранение, с целью кражи конфиденциальных данных, связанных с военными, политическими и экономическими вопросами. RokRat, облачный инструмент удаленного доступа, часто используется APT-C-28 в своей работе с 2016 года, помогая в краже разведывательных данных.
Описана конкретная сетевая атака APT-C-28, в ходе которой вредоносные файлы LNK, замаскированные под "Дебаты экспертов по правам человека в Северной Корее", использовались для доставки вредоносного ПО RokRat. В тексте объясняется процесс распространения вредоносного ПО путем оценки начальной вредоносной нагрузки, включая извлечение файла BAT и сценария PowerShell из файла LNK, загрузку зашифрованной полезной нагрузки из DropBox и расшифровку для получения вредоносного ПО RokRat. Выделяются сложные механизмы активации вредоносного ПО, демонстрирующие сложность атаки.
Злоумышленники использовали тактику приманки, маскируя содержимое файла LNK, относящееся к важной теме, чтобы обманом заставить пользователей выполнить его. Вредоносный код PowerShell, встроенный в файл LNK, скрытно выполняет различные потенциально вредоносные операции, включая изменение атрибутов защиты, расшифровку данных с помощью операции XOR, создание нового потока для выполнения и обработку исключений во время процесса.
Дальнейший анализ посвящен расшифровке PE-файла и выявлению троянца RokRat, созданного в 2023 году. В тексте это открытие сравнивается с предыдущими анализами версий RokRat, в которых основное внимание уделяется эволюции методов и стратегий атаки. Хотя в образце 2023 года сохранены основные функциональные возможности версии 2022 года, в нем представлены изменения в методах работы, такие как корректировка трассировок в реестре для повышения скрытности и эффективности при эффективном обходе мер безопасности.
#ParsedReport #CompletenessLow
23-04-2024
Cybercriminals Exploit Google Ads to Spread IP Scanner with Concealed Backdoor
https://any.run/cybersecurity-blog/attackers-exploit-google-ads
Report completeness: Low
Threats:
Madmxshell
Typosquatting_technique
Dll_sideloading_technique
Process_hollowing_technique
Dns_tunneling_technique
ChatGPT TTPs:
T1192, T1566.002, T1566.001, T1055.012, T1070.004, T1036.004, T1071.004, T1027, T1564.001
IOCs:
Domain: 1
File: 6
Algorithms:
zip
23-04-2024
Cybercriminals Exploit Google Ads to Spread IP Scanner with Concealed Backdoor
https://any.run/cybersecurity-blog/attackers-exploit-google-ads
Report completeness: Low
Threats:
Madmxshell
Typosquatting_technique
Dll_sideloading_technique
Process_hollowing_technique
Dns_tunneling_technique
ChatGPT TTPs:
do not use without manual checkT1192, T1566.002, T1566.001, T1055.012, T1070.004, T1036.004, T1071.004, T1027, T1564.001
IOCs:
Domain: 1
File: 6
Algorithms:
zip
ANY.RUN's Cybersecurity Blog
Cybercriminals Exploit Google Ads to Spread a Backdoor
A new malicious campaign on Google Ads is exploiting domains that impersonate an IP scanner to distribute a new backdoor called MadMxShell.
CTT Report Hub
#ParsedReport #CompletenessLow 23-04-2024 Cybercriminals Exploit Google Ads to Spread IP Scanner with Concealed Backdoor https://any.run/cybersecurity-blog/attackers-exploit-google-ads Report completeness: Low Threats: Madmxshell Typosquatting_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея: Была выявлена сложная вредоносная кампания с использованием Google Ads, нацеленная на пользователей с помощью поддельных инструментов сканирования IP-адресов для распространения недавно обнаруженного бэкдора Windows под названием MadMxShell. Этот бэкдор взаимодействует с сервером управления с помощью запросов DNS MX и использует продвинутую тактику обхода, чтобы избежать обнаружения.
-----
Была выявлена новая вредоносная рекламная кампания, использующая Google Ads, нацеленная на пользователей с 45 доменами, которые выдают себя за сканер IP-адресов, для распространения недавно обнаруженного бэкдора Windows под названием MadMxShell. Этот бэкдор представляет собой сложную вредоносную программу, которая взаимодействует со своим сервером управления (C2) с помощью запросов DNS Mail Exchange (MX), причем сервер C2 находится по адресу litterbolo.com. Уникальной особенностью MadMxShell является его метод кодирования данных в пакетах запросов DNS MX для получения и выполнения команд, что привело к его названию - MadMxShell.
Эта кампания стала первым случаем использования вредоносной рекламы для распространения сложного бэкдора Windows. Вредоносная реклама предполагает использование рекламы Google для продвижения вредоносных доменов, выведения их на верхние строчки результатов поиска и заманивания жертв к ним. Процесс заражения обычно начинается, когда пользователь, который ищет популярные инструменты для сканирования IP-адресов, нажимает на вредоносную рекламу Google, перенаправляя их на один из доменов, зарегистрированных злоумышленниками. При нажатии кнопки загрузки на этих поддельных сайтах загружается вредоносный ZIP-архив с именем "Advanced-ip-scanner.zip". Этот архив содержит два файла: DLL-файл с именем IVIEWERS.dll и исполняемый файл с именем Advanced-ip-scanner.exe.
Когда пользователь выполняет Advanced-ip-scanner.exe, для загрузки IVIEWERS используется технология сторонней загрузки библиотеки DLL.dll-файл запускает цепочку заражения. Библиотека DLL внедряет встроенный шелл-код в процесс Advanced-ip-scanner.exe посредством "опустошения" процесса, заменяя оперативную память процесса вредоносным кодом, чтобы скрыть его действия. Вредоносная программа использует надежный двоичный файл OneDrive.exe для дополнительной загрузки вредоносного файла Secur32.dll для сохранения и выполняет скрытый шелл-код. Этот метод позволяет вредоносному ПО маскироваться под безобидный процесс, повышая его скрытность.
MadMxShell использует различные тактики уклонения, чтобы затруднить анализ, включая туннелирование DNS для связи со своим сервером C2, многоэтапную загрузку библиотеки DLL и выполнение команды ping с помощью процесса Cmd.exe для задержки моделирования анализа. Эти маневры направлены на то, чтобы избежать обнаружения с помощью автоматизированных изолированных систем с ограниченным временем для анализа образцов, демонстрируя сложную конструкцию вредоносного ПО и намерение злоумышленников обойти меры безопасности.
Анализ образцов вредоносных программ, таких как MadMxShell, можно упростить с помощью таких инструментов, как ANY.RUN, облачной интерактивной "песочницы", которая упрощает анализ вредоносных программ для специалистов по кибербезопасности. ANY.RUN предоставляет платформу для изучения угроз, нацеленных как на системы Windows, так и на Linux, предлагая расширенные возможности для углубленного анализа. Продукты ANY.RUN threat intelligence, Lookup и Feeds, предоставляют пользователям уточненные показатели компрометации и контекстную информацию для улучшения обнаружения угроз и реагирования на инциденты.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея: Была выявлена сложная вредоносная кампания с использованием Google Ads, нацеленная на пользователей с помощью поддельных инструментов сканирования IP-адресов для распространения недавно обнаруженного бэкдора Windows под названием MadMxShell. Этот бэкдор взаимодействует с сервером управления с помощью запросов DNS MX и использует продвинутую тактику обхода, чтобы избежать обнаружения.
-----
Была выявлена новая вредоносная рекламная кампания, использующая Google Ads, нацеленная на пользователей с 45 доменами, которые выдают себя за сканер IP-адресов, для распространения недавно обнаруженного бэкдора Windows под названием MadMxShell. Этот бэкдор представляет собой сложную вредоносную программу, которая взаимодействует со своим сервером управления (C2) с помощью запросов DNS Mail Exchange (MX), причем сервер C2 находится по адресу litterbolo.com. Уникальной особенностью MadMxShell является его метод кодирования данных в пакетах запросов DNS MX для получения и выполнения команд, что привело к его названию - MadMxShell.
Эта кампания стала первым случаем использования вредоносной рекламы для распространения сложного бэкдора Windows. Вредоносная реклама предполагает использование рекламы Google для продвижения вредоносных доменов, выведения их на верхние строчки результатов поиска и заманивания жертв к ним. Процесс заражения обычно начинается, когда пользователь, который ищет популярные инструменты для сканирования IP-адресов, нажимает на вредоносную рекламу Google, перенаправляя их на один из доменов, зарегистрированных злоумышленниками. При нажатии кнопки загрузки на этих поддельных сайтах загружается вредоносный ZIP-архив с именем "Advanced-ip-scanner.zip". Этот архив содержит два файла: DLL-файл с именем IVIEWERS.dll и исполняемый файл с именем Advanced-ip-scanner.exe.
Когда пользователь выполняет Advanced-ip-scanner.exe, для загрузки IVIEWERS используется технология сторонней загрузки библиотеки DLL.dll-файл запускает цепочку заражения. Библиотека DLL внедряет встроенный шелл-код в процесс Advanced-ip-scanner.exe посредством "опустошения" процесса, заменяя оперативную память процесса вредоносным кодом, чтобы скрыть его действия. Вредоносная программа использует надежный двоичный файл OneDrive.exe для дополнительной загрузки вредоносного файла Secur32.dll для сохранения и выполняет скрытый шелл-код. Этот метод позволяет вредоносному ПО маскироваться под безобидный процесс, повышая его скрытность.
MadMxShell использует различные тактики уклонения, чтобы затруднить анализ, включая туннелирование DNS для связи со своим сервером C2, многоэтапную загрузку библиотеки DLL и выполнение команды ping с помощью процесса Cmd.exe для задержки моделирования анализа. Эти маневры направлены на то, чтобы избежать обнаружения с помощью автоматизированных изолированных систем с ограниченным временем для анализа образцов, демонстрируя сложную конструкцию вредоносного ПО и намерение злоумышленников обойти меры безопасности.
Анализ образцов вредоносных программ, таких как MadMxShell, можно упростить с помощью таких инструментов, как ANY.RUN, облачной интерактивной "песочницы", которая упрощает анализ вредоносных программ для специалистов по кибербезопасности. ANY.RUN предоставляет платформу для изучения угроз, нацеленных как на системы Windows, так и на Linux, предлагая расширенные возможности для углубленного анализа. Продукты ANY.RUN threat intelligence, Lookup и Feeds, предоставляют пользователям уточненные показатели компрометации и контекстную информацию для улучшения обнаружения угроз и реагирования на инциденты.
#ParsedReport #CompletenessHigh
23-04-2024
GuptiMiner: Hijacking Antivirus Updates for Distributing Backdoors and Casual Mining
https://decoded.avast.io/janrubin/guptiminer-hijacking-antivirus-updates-for-distributing-backdoors-and-casual-mining
Report completeness: High
Actors/Campaigns:
Kimsuky
Winnti
Threats:
Guptiminer
Gziploader
Puppeteer
Xmrig_miner
Putty_tool
Plink_tool
Mitm_technique
Heavens_gate_technique
Cylance
Windbg_tool
Ollydbg_tool
Teamviewer_tool
Victims:
Large corporate networks
Geo:
India, Germany, Korean, Indian
ChatGPT TTPs:
T1556, T1204, T1059, T1070, T1112, T1053, T1562, T1027, T1557, T1546, have more...
IOCs:
File: 33
Url: 5
Hash: 23
Path: 34
Domain: 55
Registry: 7
IP: 4
Command: 1
Soft:
Windows Defender, Task Scheduler, Windows certificate, Windows CryptoAPI, qemu, Process Explorer, Sysinternals
Algorithms:
gzip, xor, base64, rc4, 7zip, md5, sha1
Functions:
main
Win API:
CertCreateCertificateContext, CertOpenStore, CertAddCertificateContextToStore, CryptHashData, gethostbyname, WriteProcessMemory, CreateRemoteThread, SystemTimeToVariantTime
Languages:
powershell
Platforms:
x86, x64
Links:
23-04-2024
GuptiMiner: Hijacking Antivirus Updates for Distributing Backdoors and Casual Mining
https://decoded.avast.io/janrubin/guptiminer-hijacking-antivirus-updates-for-distributing-backdoors-and-casual-mining
Report completeness: High
Actors/Campaigns:
Kimsuky
Winnti
Threats:
Guptiminer
Gziploader
Puppeteer
Xmrig_miner
Putty_tool
Plink_tool
Mitm_technique
Heavens_gate_technique
Cylance
Windbg_tool
Ollydbg_tool
Teamviewer_tool
Victims:
Large corporate networks
Geo:
India, Germany, Korean, Indian
ChatGPT TTPs:
do not use without manual checkT1556, T1204, T1059, T1070, T1112, T1053, T1562, T1027, T1557, T1546, have more...
IOCs:
File: 33
Url: 5
Hash: 23
Path: 34
Domain: 55
Registry: 7
IP: 4
Command: 1
Soft:
Windows Defender, Task Scheduler, Windows certificate, Windows CryptoAPI, qemu, Process Explorer, Sysinternals
Algorithms:
gzip, xor, base64, rc4, 7zip, md5, sha1
Functions:
main
Win API:
CertCreateCertificateContext, CertOpenStore, CertAddCertificateContextToStore, CryptHashData, gethostbyname, WriteProcessMemory, CreateRemoteThread, SystemTimeToVariantTime
Languages:
powershell
Platforms:
x86, x64
Links:
https://github.com/avast/ioc/tree/master/GuptiMinerhttps://github.com/avast/ioc/blob/master/GuptiMiner/extras/PCAP/smb\_backdoor\_networking.pcapGendigital
GuptiMiner: Hijacking Antivirus Updates for Distributing Backdoors and Casual Mining
Malware Campaign Exploiting Antivirus Updates
CTT Report Hub
#ParsedReport #CompletenessHigh 23-04-2024 GuptiMiner: Hijacking Antivirus Updates for Distributing Backdoors and Casual Mining https://decoded.avast.io/janrubin/guptiminer-hijacking-antivirus-updates-for-distributing-backdoors-and-casual-mining Report…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в обнаружении и анализе сложной вредоносной кампании под названием GuptiMiner, которая использовала уязвимости в механизме обновления антивируса eScan для распространения бэкдоров и coinminers. Кампания, приписываемая злоумышленнику, потенциально связанному с Kimsuky, была направлена на проникновение в крупные корпоративные сети с целью внедрения бэкдоров. GuptiMiner демонстрировал расширенные возможности и непрерывную эволюцию с течением времени, демонстрируя разработчикам постоянное расширение своих возможностей и использование различных методов, позволяющих избежать обнаружения и поддерживать работоспособность скомпрометированных систем.
-----
В тексте рассказывается об обнаружении и анализе сложной вредоносной кампании, известной как GuptiMiner, которая использовала механизм обновления антивируса eScan для распространения бэкдоров и coinminers. Компания Avast обнаружила уязвимость и сообщила об этом, которая впоследствии была исправлена компанией eScan 31 июля 2023 года. Кампания, которую приписывают злоумышленнику, потенциально связанному с Kimsuky, была направлена на проникновение в крупные корпоративные сети с целью внедрения бэкдоров. GuptiMiner продемонстрировал расширенные возможности, включая DNS-запросы к серверам, контролируемым злоумышленниками, дополнительную загрузку, извлечение полезной нагрузки из изображений, которые выглядят безобидно, и использование пользовательских подписей доверенных центров сертификации.
Вредоносная кампания включала в себя два основных типа бэкдоров в GuptiMiner: усовершенствованный вариант PuTTY Link для сканирования SMB для перемещения по сетям в поперечном направлении и модульный бэкдор, способный выполнять команды злоумышленников, сканировать закрытые ключи и криптокошельки и распространять XMRig для майнинга криптовалюты на скомпрометированных устройствах. Используя уязвимость системы безопасности в механизме обновления eScan, злоумышленники проводили атаки типа "человек посередине" для распространения вредоносного ПО.
GuptiMiner, давняя вредоносная программа, появившаяся как минимум в 2018 году, с течением времени постоянно эволюционировала и совершенствовалась, а разработчики постоянно расширяли ее возможности. Вредоносная программа использовала несколько доменов для своих операций, в том числе для вредоносных DNS, загрузки PNG, пулов интеллектуального анализа конфигурации, модифицированных пулов интеллектуального анализа, конечных доменов C&C и многого другого. Он использовал мьютексы для правильного выполнения, периодически меняя их, и включал символы отладки в двоичные файлы для целей идентификации.
Цепочка заражения GuptiMiner включала в себя различные этапы, такие как дополнительная загрузка библиотеки DLL, внедрение шеллкода в процессы, расшифровка ответов DNS, внедрение XMRig для интеллектуального анализа данных и развертывание бэкдоров с помощью команд PowerShell. Основной компонент Puppeteer организовал операцию, внедрив механизмы сохранения, отключив такие функции безопасности, как защитник Windows, координируя деятельность по майнингу монет и развертывая бэкдоры в сетях Windows Server.
Дополнительные меры, принятые участниками угроз, включали методы защиты от виртуальных машин, уклонение от использования инструментов мониторинга и динамические конфигурации для адаптации к системным ресурсам. Вредоносное ПО шифровало и сохраняло полезную информацию в разделах реестра для сохранения, отслеживало системные процессы, внедряло XMRig для майнинга, загружало дополнительную полезную информацию для бэкдоров и со временем претерпевало различные улучшения, такие как изменения в использовании домена, стратегии взаимного обмена и обновления методов доставки полезной информации.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в обнаружении и анализе сложной вредоносной кампании под названием GuptiMiner, которая использовала уязвимости в механизме обновления антивируса eScan для распространения бэкдоров и coinminers. Кампания, приписываемая злоумышленнику, потенциально связанному с Kimsuky, была направлена на проникновение в крупные корпоративные сети с целью внедрения бэкдоров. GuptiMiner демонстрировал расширенные возможности и непрерывную эволюцию с течением времени, демонстрируя разработчикам постоянное расширение своих возможностей и использование различных методов, позволяющих избежать обнаружения и поддерживать работоспособность скомпрометированных систем.
-----
В тексте рассказывается об обнаружении и анализе сложной вредоносной кампании, известной как GuptiMiner, которая использовала механизм обновления антивируса eScan для распространения бэкдоров и coinminers. Компания Avast обнаружила уязвимость и сообщила об этом, которая впоследствии была исправлена компанией eScan 31 июля 2023 года. Кампания, которую приписывают злоумышленнику, потенциально связанному с Kimsuky, была направлена на проникновение в крупные корпоративные сети с целью внедрения бэкдоров. GuptiMiner продемонстрировал расширенные возможности, включая DNS-запросы к серверам, контролируемым злоумышленниками, дополнительную загрузку, извлечение полезной нагрузки из изображений, которые выглядят безобидно, и использование пользовательских подписей доверенных центров сертификации.
Вредоносная кампания включала в себя два основных типа бэкдоров в GuptiMiner: усовершенствованный вариант PuTTY Link для сканирования SMB для перемещения по сетям в поперечном направлении и модульный бэкдор, способный выполнять команды злоумышленников, сканировать закрытые ключи и криптокошельки и распространять XMRig для майнинга криптовалюты на скомпрометированных устройствах. Используя уязвимость системы безопасности в механизме обновления eScan, злоумышленники проводили атаки типа "человек посередине" для распространения вредоносного ПО.
GuptiMiner, давняя вредоносная программа, появившаяся как минимум в 2018 году, с течением времени постоянно эволюционировала и совершенствовалась, а разработчики постоянно расширяли ее возможности. Вредоносная программа использовала несколько доменов для своих операций, в том числе для вредоносных DNS, загрузки PNG, пулов интеллектуального анализа конфигурации, модифицированных пулов интеллектуального анализа, конечных доменов C&C и многого другого. Он использовал мьютексы для правильного выполнения, периодически меняя их, и включал символы отладки в двоичные файлы для целей идентификации.
Цепочка заражения GuptiMiner включала в себя различные этапы, такие как дополнительная загрузка библиотеки DLL, внедрение шеллкода в процессы, расшифровка ответов DNS, внедрение XMRig для интеллектуального анализа данных и развертывание бэкдоров с помощью команд PowerShell. Основной компонент Puppeteer организовал операцию, внедрив механизмы сохранения, отключив такие функции безопасности, как защитник Windows, координируя деятельность по майнингу монет и развертывая бэкдоры в сетях Windows Server.
Дополнительные меры, принятые участниками угроз, включали методы защиты от виртуальных машин, уклонение от использования инструментов мониторинга и динамические конфигурации для адаптации к системным ресурсам. Вредоносное ПО шифровало и сохраняло полезную информацию в разделах реестра для сохранения, отслеживало системные процессы, внедряло XMRig для майнинга, загружало дополнительную полезную информацию для бэкдоров и со временем претерпевало различные улучшения, такие как изменения в использовании домена, стратегии взаимного обмена и обновления методов доставки полезной информации.
#ParsedReport #CompletenessLow
23-04-2024
LNK file disseminating RokRAT malware (disguised as certificate of completion)
https://asec.ahnlab.com/ko/64423
Report completeness: Low
Actors/Campaigns:
Scarcruft
Threats:
Rokrat
Dropper/lnk.s2343
Trojan/bat.runner
Infostealer/win.agent.r579429
Industry:
Military, Education
Geo:
Korea
ChatGPT TTPs:
T1193, T1059.001, T1204.002, T1560, T1105, T1071.001
IOCs:
File: 5
Email: 4
Hash: 8
Languages:
powershell
23-04-2024
LNK file disseminating RokRAT malware (disguised as certificate of completion)
https://asec.ahnlab.com/ko/64423
Report completeness: Low
Actors/Campaigns:
Scarcruft
Threats:
Rokrat
Dropper/lnk.s2343
Trojan/bat.runner
Infostealer/win.agent.r579429
Industry:
Military, Education
Geo:
Korea
ChatGPT TTPs:
do not use without manual checkT1193, T1059.001, T1204.002, T1560, T1105, T1071.001
IOCs:
File: 5
Email: 4
Hash: 8
Languages:
powershell
ASEC BLOG
RokRAT 악성코드를 유포하는 LNK 파일 (수료증 위장) - ASEC BLOG
AhnLab SEcurity intelligence Center(ASEC)은 백도어 유형의 악성코드를 유포하는 비정상적인 크기의 링크 파일(*.LNK)이 꾸준히 유포되고 있음을 확인하였다. 최근 확인된 링크 파일(*.LNK)은 국내 사용자, 특히 대북 관련 인사를 대상으로 유포하는 것으로 확인된다. 확인된 LNK 파일명은 다음과 같다. 확인된 LNK 파일은 CMD를 통해 파워쉘을 실행하는 명령어가 삽입되어 있으며 지난해 게시한 ‘링크 파일(*.lnk)을…
CTT Report Hub
#ParsedReport #CompletenessLow 23-04-2024 LNK file disseminating RokRAT malware (disguised as certificate of completion) https://asec.ahnlab.com/ko/64423 Report completeness: Low Actors/Campaigns: Scarcruft Threats: Rokrat Dropper/lnk.s2343 Trojan/bat.runner…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея: Аналитический центр безопасности AhnLab выявил целенаправленную кампанию по распространению вредоносного ПО с помощью вредоносных файлов LNK, ориентированную на лиц, связанных с Северной Кореей. Вредоносная программа использует команды Powershell и облачные API для выполнения вредоносных действий, требуя от пользователей в уязвимых секторах проявлять осторожность и применять строгие меры кибербезопасности.
-----
Аналитический центр безопасности AhnLab (ASEC) недавно обнаружил распространение файлов ссылок ненормального размера (*.LNK), содержащих вредоносные программы типа "бэкдор". Распространение этих файлов нацелено на местных пользователей, в частности на лиц, связанных с Северной Кореей. Подтвержденный файл *.LNK содержит команду для запуска Powershell через CMD, аналогичную ранее выявленным случаям. Этот тип вредоносного ПО характеризуется тем, что в файл *.LNK встроены обычные файлы документов, код скрипта и вредоносные PE-данные.
Вредоносная программа работает следующим образом: после запуска файла LNK используется команда Powershell для создания и запуска обычного файла документа. Последние загруженные данные, viewer.dat, содержат вредоносную программу RokRAT, которая представляет собой вредоносное ПО типа "черного хода", использующее облачные API для сбора информации о пользователях и выполнения различных вредоносных действий в соответствии с инструкциями злоумышленников. Вредоносные действия, которые могут быть выполнены, включают сбор информации, сохранение ее в папке %TEMP% и загрузку на облачный сервер злоумышленника.
В процессе анализа был идентифицирован адрес электронной почты злоумышленника. ASEC постоянно обнаруживает вредоносные файлы быстрого доступа и делится информацией о них через свой блог, что свидетельствует о частом распространении таких вредоносных программ. Примечательно, что в прошлом постоянно выявлялся вредоносный код, нацеленный на отдельных лиц в таких областях, как объединение, вооруженные силы и образование, что требует высокого уровня бдительности.
Полученные данные свидетельствуют о целенаправленной и продолжающейся кампании по распространению вредоносного ПО с помощью вредоносных файлов LNK, при этом особое внимание уделяется лицам, связанным с Северной Кореей. Использование команд Powershell и включение различных типов вредоносных данных в файлы LNK демонстрируют сложный подход к заражению систем и выполнению бэкдор-операций. Использование облачных API для сбора данных и совершения вредоносных действий подчеркивает эволюцию тактики кибератакеров по сбору конфиденциальной информации и удаленному проведению вредоносных операций.
Таким образом, пользователям, особенно в таких чувствительных секторах, как объединение, вооруженные силы и образование, необходимо проявлять осторожность при обращении с файлами LNK и сохранять бдительность в отношении потенциальных угроз. Постоянный мониторинг сетевой активности, сканирование на предмет аномального поведения файлов и внедрение надежных мер кибербезопасности необходимы для снижения рисков, связанных с такими целенаправленными вредоносными кампаниями. Сотрудничество с экспертами по кибербезопасности и ресурсами анализа угроз также может повысить способность эффективно обнаруживать возникающие угрозы и реагировать на них.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея: Аналитический центр безопасности AhnLab выявил целенаправленную кампанию по распространению вредоносного ПО с помощью вредоносных файлов LNK, ориентированную на лиц, связанных с Северной Кореей. Вредоносная программа использует команды Powershell и облачные API для выполнения вредоносных действий, требуя от пользователей в уязвимых секторах проявлять осторожность и применять строгие меры кибербезопасности.
-----
Аналитический центр безопасности AhnLab (ASEC) недавно обнаружил распространение файлов ссылок ненормального размера (*.LNK), содержащих вредоносные программы типа "бэкдор". Распространение этих файлов нацелено на местных пользователей, в частности на лиц, связанных с Северной Кореей. Подтвержденный файл *.LNK содержит команду для запуска Powershell через CMD, аналогичную ранее выявленным случаям. Этот тип вредоносного ПО характеризуется тем, что в файл *.LNK встроены обычные файлы документов, код скрипта и вредоносные PE-данные.
Вредоносная программа работает следующим образом: после запуска файла LNK используется команда Powershell для создания и запуска обычного файла документа. Последние загруженные данные, viewer.dat, содержат вредоносную программу RokRAT, которая представляет собой вредоносное ПО типа "черного хода", использующее облачные API для сбора информации о пользователях и выполнения различных вредоносных действий в соответствии с инструкциями злоумышленников. Вредоносные действия, которые могут быть выполнены, включают сбор информации, сохранение ее в папке %TEMP% и загрузку на облачный сервер злоумышленника.
В процессе анализа был идентифицирован адрес электронной почты злоумышленника. ASEC постоянно обнаруживает вредоносные файлы быстрого доступа и делится информацией о них через свой блог, что свидетельствует о частом распространении таких вредоносных программ. Примечательно, что в прошлом постоянно выявлялся вредоносный код, нацеленный на отдельных лиц в таких областях, как объединение, вооруженные силы и образование, что требует высокого уровня бдительности.
Полученные данные свидетельствуют о целенаправленной и продолжающейся кампании по распространению вредоносного ПО с помощью вредоносных файлов LNK, при этом особое внимание уделяется лицам, связанным с Северной Кореей. Использование команд Powershell и включение различных типов вредоносных данных в файлы LNK демонстрируют сложный подход к заражению систем и выполнению бэкдор-операций. Использование облачных API для сбора данных и совершения вредоносных действий подчеркивает эволюцию тактики кибератакеров по сбору конфиденциальной информации и удаленному проведению вредоносных операций.
Таким образом, пользователям, особенно в таких чувствительных секторах, как объединение, вооруженные силы и образование, необходимо проявлять осторожность при обращении с файлами LNK и сохранять бдительность в отношении потенциальных угроз. Постоянный мониторинг сетевой активности, сканирование на предмет аномального поведения файлов и внедрение надежных мер кибербезопасности необходимы для снижения рисков, связанных с такими целенаправленными вредоносными кампаниями. Сотрудничество с экспертами по кибербезопасности и ресурсами анализа угроз также может повысить способность эффективно обнаруживать возникающие угрозы и реагировать на них.
#ParsedReport #CompletenessLow
22-04-2024
APT73/ERALEIG NEWS: UNVEILING NEW RANSOMWARE GROUP
https://rakeshkrish.medium.com/apt73-eraleig-news-unveiling-new-ransomware-group-55aec3e873ff
Report completeness: Low
Actors/Campaigns:
Eraleig
Scarcruft
Vice_society
Threats:
Lockbit
Babuk
Mespinoza
Meduza
Trickbot
Mirai
Geo:
Czechia, Norway, Panama, Romania, Korean, Finland
ChatGPT TTPs:
T1486, T1583.001, T1566.001, T1027, T1071.001, T1105
IOCs:
File: 1
IP: 1
Hash: 3
Soft:
Telegram, nginx, Ubuntu
Crypto:
bitcoin
Algorithms:
sha256, sha1, md5
22-04-2024
APT73/ERALEIG NEWS: UNVEILING NEW RANSOMWARE GROUP
https://rakeshkrish.medium.com/apt73-eraleig-news-unveiling-new-ransomware-group-55aec3e873ff
Report completeness: Low
Actors/Campaigns:
Eraleig
Scarcruft
Vice_society
Threats:
Lockbit
Babuk
Mespinoza
Meduza
Trickbot
Mirai
Geo:
Czechia, Norway, Panama, Romania, Korean, Finland
ChatGPT TTPs:
do not use without manual checkT1486, T1583.001, T1566.001, T1027, T1071.001, T1105
IOCs:
File: 1
IP: 1
Hash: 3
Soft:
Telegram, nginx, Ubuntu
Crypto:
bitcoin
Algorithms:
sha256, sha1, md5
Medium
APT73/ERALEIG NEWS: UNVEILING NEW RANSOMWARE GROUP
NOTE: This is a preliminary report about a new Ransomware which I had unmasked during my Cyber Investigation. There is only a single…
CTT Report Hub
#ParsedReport #CompletenessLow 22-04-2024 APT73/ERALEIG NEWS: UNVEILING NEW RANSOMWARE GROUP https://rakeshkrish.medium.com/apt73-eraleig-news-unveiling-new-ransomware-group-55aec3e873ff Report completeness: Low Actors/Campaigns: Eraleig Scarcruft Vice_society…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста - предварительный отчет о недавно обнаруженной группе программ-вымогателей под названием APT73, в котором подчеркивается их потенциальная связь или вдохновение с группой программ-вымогателей LockBit, их тактика работы, включая утечку данных с сайта и фишинг, а также попытки скрыть свою личность с помощью различных мер кибербезопасности.
-----
В тексте представлен предварительный отчет о недавно обнаруженной группе программ-вымогателей под названием APT73. Эта группа, в отличие от других, названных исследователями, отнесла себя к категории продвинутых постоянных угроз, за которыми следует ряд других. В отчете подчеркивается, что сайт утечки данных APT73 (DLS) точно отражает сайт группы программ-вымогателей LockBit, что указывает на потенциальную связь или вдохновение со стороны LockBit. Кроме того, в отчете предполагается, что APT73, скорее всего, распространяется посредством фишинга, хотя образцы вредоносного ПО недоступны для дальнейшего анализа.
Одним из ключевых замечаний является то, что DLS APT73 содержит раздел под названием "Зеркала", в котором отсутствуют активные зеркала, что выделяет его как группу любителей по сравнению с более известными участниками угроз, такими как LockBit. Группа назвала свой DLS "ERALEIGNEWS" и, как ожидается, добавит в TOR папку "Files", где информация о жертвах будет храниться в zip-файлах, следуя обычному методу работы групп вымогателей.
APT73 предпринял меры по сокрытию своей личности, в том числе зарегистрировал свой домен с защитой конфиденциальности на Namecheap и использовал реальный IP-адрес, связанный с вредоносной активностью AS9009. Этот номер AS связан с другими группами программ-вымогателей и вредоносными программами, такими как TrickBot и Meduza Stealer. Первоначально APT73 использовали DigiCert для сертификации своего веб-сайта, но недавно обновили его с помощью сертификата Google. Группа присутствует на социальных платформах, но сохраняет это в тайне и не рекламируется публично.
Дальнейшее расследование показало, что APT73 следит за проверенными профилями из Финляндии и южнокорейской музыкальной группы BTS в Twitter. Хотя некоторые аккаунты в социальных сетях, связанные с группой, имеют скандинавские и румынские черты в своих фамилиях, отмечается, что на данный момент невозможно подтвердить их окончательную связь с APT73. Было установлено, что логотип группы, изображающий голову змеи с паучьими лапами, был заимствован из Pixabay, что является обычной практикой среди новых групп вымогателей.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста - предварительный отчет о недавно обнаруженной группе программ-вымогателей под названием APT73, в котором подчеркивается их потенциальная связь или вдохновение с группой программ-вымогателей LockBit, их тактика работы, включая утечку данных с сайта и фишинг, а также попытки скрыть свою личность с помощью различных мер кибербезопасности.
-----
В тексте представлен предварительный отчет о недавно обнаруженной группе программ-вымогателей под названием APT73. Эта группа, в отличие от других, названных исследователями, отнесла себя к категории продвинутых постоянных угроз, за которыми следует ряд других. В отчете подчеркивается, что сайт утечки данных APT73 (DLS) точно отражает сайт группы программ-вымогателей LockBit, что указывает на потенциальную связь или вдохновение со стороны LockBit. Кроме того, в отчете предполагается, что APT73, скорее всего, распространяется посредством фишинга, хотя образцы вредоносного ПО недоступны для дальнейшего анализа.
Одним из ключевых замечаний является то, что DLS APT73 содержит раздел под названием "Зеркала", в котором отсутствуют активные зеркала, что выделяет его как группу любителей по сравнению с более известными участниками угроз, такими как LockBit. Группа назвала свой DLS "ERALEIGNEWS" и, как ожидается, добавит в TOR папку "Files", где информация о жертвах будет храниться в zip-файлах, следуя обычному методу работы групп вымогателей.
APT73 предпринял меры по сокрытию своей личности, в том числе зарегистрировал свой домен с защитой конфиденциальности на Namecheap и использовал реальный IP-адрес, связанный с вредоносной активностью AS9009. Этот номер AS связан с другими группами программ-вымогателей и вредоносными программами, такими как TrickBot и Meduza Stealer. Первоначально APT73 использовали DigiCert для сертификации своего веб-сайта, но недавно обновили его с помощью сертификата Google. Группа присутствует на социальных платформах, но сохраняет это в тайне и не рекламируется публично.
Дальнейшее расследование показало, что APT73 следит за проверенными профилями из Финляндии и южнокорейской музыкальной группы BTS в Twitter. Хотя некоторые аккаунты в социальных сетях, связанные с группой, имеют скандинавские и румынские черты в своих фамилиях, отмечается, что на данный момент невозможно подтвердить их окончательную связь с APT73. Было установлено, что логотип группы, изображающий голову змеи с паучьими лапами, был заимствован из Pixabay, что является обычной практикой среди новых групп вымогателей.
#ParsedReport #CompletenessMedium
23-04-2024
Analyzing Forest Blizzard s custom post-compromise tool for exploiting CVE-2022-38028 to obtain credentials
https://www.microsoft.com/en-us/security/blog/2024/04/22/analyzing-forest-blizzards-custom-post-compromise-tool-for-exploiting-cve-2022-38028-to-obtain-credentials
Report completeness: Medium
Actors/Campaigns:
Fancy_bear
Dev-0960
Cadet_blizzard
Ruinous_ursa
Threats:
Gooseegg_tool
Printnightmare_vuln
Victims:
Government organizations, Non-governmental organizations, Education sector organizations, Transportation sector organizations, Media organizations, Information technology organizations, Sports organizations, Educational institutions
Industry:
Transport, Ngo, Energy, Government, Military, Education
Geo:
American, Russian, Ukrainian
CVEs:
CVE-2022-38028 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows server 2008 (r2, -)
- microsoft windows server 2012 (r2, -)
- microsoft windows 10 (1607, -, 1809, 20h2, 21h1, 21h2)
- microsoft windows 8.1 (-)
- microsoft windows server 2016 (-)
have more...
CVE-2023-23397 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft 365 apps (-)
- microsoft office (2019, 2021)
- microsoft outlook (2013, 2016)
CVE-2021-1675 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows server 2008 (r2, -)
- microsoft windows server 2012 (r2, -)
- microsoft windows 10 (1607, -, 1809, 1909, 2004, 20h2, 21h1)
- microsoft windows 8.1 (-)
- microsoft windows server 2016 (-)
have more...
CVE-2021-34527 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows server 2008 (r2, -)
- microsoft windows server 2012 (r2, -)
- microsoft windows 8.1 (-)
- microsoft windows 7 (-)
- microsoft windows rt 8.1 (-)
have more...
ChatGPT TTPs:
T1068, T1552, T1055, T1053, T1106, T1574, T1047
IOCs:
File: 10
Path: 4
Hash: 4
Soft:
Microsoft Defender for Endpoint, Microsoft Defender, Windows Print Spooler, Windows security
Algorithms:
sha256
Win Services:
PrintSpooler
Languages:
javascript
Platforms:
intel
23-04-2024
Analyzing Forest Blizzard s custom post-compromise tool for exploiting CVE-2022-38028 to obtain credentials
https://www.microsoft.com/en-us/security/blog/2024/04/22/analyzing-forest-blizzards-custom-post-compromise-tool-for-exploiting-cve-2022-38028-to-obtain-credentials
Report completeness: Medium
Actors/Campaigns:
Fancy_bear
Dev-0960
Cadet_blizzard
Ruinous_ursa
Threats:
Gooseegg_tool
Printnightmare_vuln
Victims:
Government organizations, Non-governmental organizations, Education sector organizations, Transportation sector organizations, Media organizations, Information technology organizations, Sports organizations, Educational institutions
Industry:
Transport, Ngo, Energy, Government, Military, Education
Geo:
American, Russian, Ukrainian
CVEs:
CVE-2022-38028 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows server 2008 (r2, -)
- microsoft windows server 2012 (r2, -)
- microsoft windows 10 (1607, -, 1809, 20h2, 21h1, 21h2)
- microsoft windows 8.1 (-)
- microsoft windows server 2016 (-)
have more...
CVE-2023-23397 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft 365 apps (-)
- microsoft office (2019, 2021)
- microsoft outlook (2013, 2016)
CVE-2021-1675 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows server 2008 (r2, -)
- microsoft windows server 2012 (r2, -)
- microsoft windows 10 (1607, -, 1809, 1909, 2004, 20h2, 21h1)
- microsoft windows 8.1 (-)
- microsoft windows server 2016 (-)
have more...
CVE-2021-34527 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows server 2008 (r2, -)
- microsoft windows server 2012 (r2, -)
- microsoft windows 8.1 (-)
- microsoft windows 7 (-)
- microsoft windows rt 8.1 (-)
have more...
ChatGPT TTPs:
do not use without manual checkT1068, T1552, T1055, T1053, T1106, T1574, T1047
IOCs:
File: 10
Path: 4
Hash: 4
Soft:
Microsoft Defender for Endpoint, Microsoft Defender, Windows Print Spooler, Windows security
Algorithms:
sha256
Win Services:
PrintSpooler
Languages:
javascript
Platforms:
intel
Microsoft News
Analyzing Forest Blizzard’s custom post-compromise tool for exploiting CVE-2022-38028 to obtain credentials
Analysis of Forrest Blizzard's exploitation of the CVE-2022-38028 vulnerability in Windows Print Spooler that allows elevated permissions.
CTT Report Hub
#ParsedReport #CompletenessMedium 23-04-2024 Analyzing Forest Blizzard s custom post-compromise tool for exploiting CVE-2022-38028 to obtain credentials https://www.microsoft.com/en-us/security/blog/2024/04/22/analyzing-forest-blizzards-custom-post-compromise…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что Microsoft Threat Intelligence обнаружила деятельность базирующейся в России группы злоумышленников Forest Blizzard (STRONTIUM), использующей пользовательский инструмент GooseEgg для использования уязвимости диспетчера очереди печати Windows для кражи учетных данных и проведения посткоммиссионных действий против различных секторов и организаций по всему миру. Группа, связанная с Главным разведывательным управлением Генерального штаба России (ГРУ), занимается сбором разведывательных данных для поддержки внешнеполитических инициатив российского правительства. Microsoft рекомендует использовать обновления для системы безопасности, чтобы смягчить угрозу, исходящую от Forest Blizzard, и предоставляет техническую информацию и рекомендации по защите от подобных уязвимостей.
-----
Компания Microsoft Threat Intelligence раскрыла деятельность базирующегося в России Forest Blizzard (STRONTIUM) и использование им специального инструмента GooseEgg для повышения привилегий и кражи учетных данных в скомпрометированных сетях. Этот инструмент использует уязвимость CVE-2022-38028 в службе диспетчера очереди печати Windows, что позволяет Forest Blizzard после взлома запускать действия против таких целей, как государственные учреждения, образовательные учреждения и транспортные организации в Украине, Западной Европе и Северной Америке. Forest Blizzard, связанная с Главным разведывательным управлением Генерального штаба России (ГРУ), в первую очередь занимается стратегическими разведывательными целями. В отличие от других групп, связанных с ГРУ, занимающихся деструктивными атаками, целью Forest Blizzard является сбор разведывательных данных в поддержку внешнеполитических инициатив российского правительства.
Было замечено, что Forest Blizzard использует GooseEgg для получения расширенного доступа к целевым системам, что позволяет им выполнять команды с разрешениями системного уровня для таких действий, как удаленное выполнение кода, установка бэкдоров и перемещение по скомпрометированным сетям. В то время как российские злоумышленники ранее использовали уязвимости, такие как PrintNightmare, использование GooseEgg в операциях Forest Blizzard - это новое открытие, о котором ранее не сообщалось поставщиками систем безопасности. Корпорация Майкрософт рекомендует организациям установить обновление для системы безопасности CVE-2022-38028 для устранения этой угрозы и предоставляет техническую информацию о GooseEgg, а также рекомендации по защите от уязвимостей диспетчера очереди печати.
Целями Forest Blizzard являются государственные органы, энергетические компании, транспортные компании, неправительственные организации, средства массовой информации, информационные технологии, спортивные организации и образовательные учреждения по всему миру. Группа ведет активную деятельность как минимум с 2010 года, занимаясь сбором разведывательной информации в соответствии с целями внешней политики российского правительства. Компания Forest Blizzard связана с подразделением 26165 ГРУ Российской Федерации и известна под различными названиями, такими как APT28, Sednit, Sofacy и Fancy Bear, в других исследованиях в области безопасности.
Microsoft наблюдала, как Forest Blizzard внедряет GooseEgg с пакетными сценариями, такими как execute.bat и doit.bat, для повышения привилегий и обеспечения постоянства в целевых средах. Двоичный файл GooseEgg с именами файлов, подобными justice.exe и DefragmentSrv.exe, выполняет различные команды сложным образом, чтобы скрыть свою активность. Вредоносные компоненты, такие как wayzgoose.библиотеки dll размещаются в определенных установочных подкаталогах для запуска приложений с разрешениями системного уровня, что позволяет выполнять вредоносные действия, такие как установка бэкдоров и удаленное выполнение кода.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что Microsoft Threat Intelligence обнаружила деятельность базирующейся в России группы злоумышленников Forest Blizzard (STRONTIUM), использующей пользовательский инструмент GooseEgg для использования уязвимости диспетчера очереди печати Windows для кражи учетных данных и проведения посткоммиссионных действий против различных секторов и организаций по всему миру. Группа, связанная с Главным разведывательным управлением Генерального штаба России (ГРУ), занимается сбором разведывательных данных для поддержки внешнеполитических инициатив российского правительства. Microsoft рекомендует использовать обновления для системы безопасности, чтобы смягчить угрозу, исходящую от Forest Blizzard, и предоставляет техническую информацию и рекомендации по защите от подобных уязвимостей.
-----
Компания Microsoft Threat Intelligence раскрыла деятельность базирующегося в России Forest Blizzard (STRONTIUM) и использование им специального инструмента GooseEgg для повышения привилегий и кражи учетных данных в скомпрометированных сетях. Этот инструмент использует уязвимость CVE-2022-38028 в службе диспетчера очереди печати Windows, что позволяет Forest Blizzard после взлома запускать действия против таких целей, как государственные учреждения, образовательные учреждения и транспортные организации в Украине, Западной Европе и Северной Америке. Forest Blizzard, связанная с Главным разведывательным управлением Генерального штаба России (ГРУ), в первую очередь занимается стратегическими разведывательными целями. В отличие от других групп, связанных с ГРУ, занимающихся деструктивными атаками, целью Forest Blizzard является сбор разведывательных данных в поддержку внешнеполитических инициатив российского правительства.
Было замечено, что Forest Blizzard использует GooseEgg для получения расширенного доступа к целевым системам, что позволяет им выполнять команды с разрешениями системного уровня для таких действий, как удаленное выполнение кода, установка бэкдоров и перемещение по скомпрометированным сетям. В то время как российские злоумышленники ранее использовали уязвимости, такие как PrintNightmare, использование GooseEgg в операциях Forest Blizzard - это новое открытие, о котором ранее не сообщалось поставщиками систем безопасности. Корпорация Майкрософт рекомендует организациям установить обновление для системы безопасности CVE-2022-38028 для устранения этой угрозы и предоставляет техническую информацию о GooseEgg, а также рекомендации по защите от уязвимостей диспетчера очереди печати.
Целями Forest Blizzard являются государственные органы, энергетические компании, транспортные компании, неправительственные организации, средства массовой информации, информационные технологии, спортивные организации и образовательные учреждения по всему миру. Группа ведет активную деятельность как минимум с 2010 года, занимаясь сбором разведывательной информации в соответствии с целями внешней политики российского правительства. Компания Forest Blizzard связана с подразделением 26165 ГРУ Российской Федерации и известна под различными названиями, такими как APT28, Sednit, Sofacy и Fancy Bear, в других исследованиях в области безопасности.
Microsoft наблюдала, как Forest Blizzard внедряет GooseEgg с пакетными сценариями, такими как execute.bat и doit.bat, для повышения привилегий и обеспечения постоянства в целевых средах. Двоичный файл GooseEgg с именами файлов, подобными justice.exe и DefragmentSrv.exe, выполняет различные команды сложным образом, чтобы скрыть свою активность. Вредоносные компоненты, такие как wayzgoose.библиотеки dll размещаются в определенных установочных подкаталогах для запуска приложений с разрешениями системного уровня, что позволяет выполнять вредоносные действия, такие как установка бэкдоров и удаленное выполнение кода.
#ParsedReport #CompletenessMedium
23-04-2024
Cisco Talos Blog. Suspected CoralRaider continues to expand victimology using three information stealers
https://blog.talosintelligence.com/suspected-coralraider-continues-to-expand-victimology-using-three-information-stealers
Report completeness: Medium
Actors/Campaigns:
Coralraider
Threats:
Cryptbot_stealer
Lumma_stealer
Rhadamanthys
Rotbot
Uac_bypass_technique
Lolbin_technique
Vmprotect_tool
Process_injection_technique
Victims:
Computer service call center organizations in japan, Civil defense service organizations in syria
Geo:
Japan, Egypt, Syria, Germany, Pakistan, Turkey, Ecuador, Poland, Philippines, Norway, Nigeria
ChatGPT TTPs:
T1566, T1204, T1059, T1547, T1548, T1027, T1140, T1082, T1110, T1571, have more...
IOCs:
Url: 26
Registry: 5
File: 2
Domain: 9
Hash: 35
Soft:
Windows Defender, Component Object Model, Windows Shell, discord
Algorithms:
base64, aes, zip
Languages:
python, powershell, javascript
23-04-2024
Cisco Talos Blog. Suspected CoralRaider continues to expand victimology using three information stealers
https://blog.talosintelligence.com/suspected-coralraider-continues-to-expand-victimology-using-three-information-stealers
Report completeness: Medium
Actors/Campaigns:
Coralraider
Threats:
Cryptbot_stealer
Lumma_stealer
Rhadamanthys
Rotbot
Uac_bypass_technique
Lolbin_technique
Vmprotect_tool
Process_injection_technique
Victims:
Computer service call center organizations in japan, Civil defense service organizations in syria
Geo:
Japan, Egypt, Syria, Germany, Pakistan, Turkey, Ecuador, Poland, Philippines, Norway, Nigeria
ChatGPT TTPs:
do not use without manual checkT1566, T1204, T1059, T1547, T1548, T1027, T1140, T1082, T1110, T1571, have more...
IOCs:
Url: 26
Registry: 5
File: 2
Domain: 9
Hash: 35
Soft:
Windows Defender, Component Object Model, Windows Shell, discord
Algorithms:
base64, aes, zip
Languages:
python, powershell, javascript
Cisco Talos
Suspected CoralRaider continues to expand victimology using three information stealers
Talos also discovered a new PowerShell command-line argument embedded in the LNK file to bypass anti-virus products and download the final payload into the victims’ host.