CTT Report Hub
3.39K subscribers
9.57K photos
6 videos
67 files
13.2K links
Threat Intelligence Report Hub
Download Telegram
CTT Report Hub
#ParsedReport #CompletenessLow 23-04-2024 APT-C-28 ScarCruft LNK RokRat. https://www.ctfiot.com/175379.html Report completeness: Low Actors/Campaigns: Scarcruft Threats: Rokrat Victims: Companies in the energy sector Industry: Transport, Energy, Aerospace…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обсуждении киберугроз, связанных с организацией ScarCruft, с особым упором на распространение и функциональность вредоносного ПО RokRat. В тексте освещаются методы доставки RokRat, кампании по атакам, нацеленные на энергетическую отрасль, рекомендации по предотвращению и устранению неполадок, природа и происхождение APT-C-28 (ScarCruft), а также описание конкретной сетевой атаки, связанной с развертыванием вредоносного ПО RokRat с помощью обманчивых файлов LNK. Дальнейший анализ включает в себя подробную информацию о механизмах активации вредоносного ПО, эволюции методов атаки и стратегиях, используемых злоумышленниками.
-----

В тексте обсуждаются действия, связанные с киберугрозами, связанные с организацией ScarCruft, с особым упором на доставку и функциональность вредоносного ПО RokRat. В начале статьи упоминается о предыдущих статьях, в которых подробно описывается, как злоумышленники распространяют образцы вредоносного ПО RokRat с помощью вредоносных документов, и приводится анализ кампаний по атакам RokRat, нацеленных на энергетическую отрасль. Обсуждаются функции RokRat, подчеркивается их последовательность и принадлежность к организации ScarCruft на основе сходства в моделях атак.

Злоумышленники отправляют сжатые файлы по электронной почте, предлагая пользователям щелкнуть по вредоносным файлам LNK, чтобы опубликовать образцы RokRat. В тексте содержатся рекомендации по предотвращению и устранению неполадок, включая обучение сотрудников, ограничение выполнения файлов, использование антивирусного программного обеспечения, проведение проверок безопасности, применение исправлений безопасности и внедрение многофакторной аутентификации для усиления мер безопасности.

Организация APT-C-28 (ScarCruft), также известная как APT37 (Жнец) и Group123, идентифицируется как группа APT, происходящая из Северо-Восточной Азии. Известный своими кибератаками, направленными в первую очередь против Южной Кореи и других азиатских стран, APT-C-28 с 2012 года нацелен на такие отрасли, как химия, электроника, обрабатывающая промышленность, аэрокосмическая промышленность, автомобилестроение и здравоохранение, с целью кражи конфиденциальных данных, связанных с военными, политическими и экономическими вопросами. RokRat, облачный инструмент удаленного доступа, часто используется APT-C-28 в своей работе с 2016 года, помогая в краже разведывательных данных.

Описана конкретная сетевая атака APT-C-28, в ходе которой вредоносные файлы LNK, замаскированные под "Дебаты экспертов по правам человека в Северной Корее", использовались для доставки вредоносного ПО RokRat. В тексте объясняется процесс распространения вредоносного ПО путем оценки начальной вредоносной нагрузки, включая извлечение файла BAT и сценария PowerShell из файла LNK, загрузку зашифрованной полезной нагрузки из DropBox и расшифровку для получения вредоносного ПО RokRat. Выделяются сложные механизмы активации вредоносного ПО, демонстрирующие сложность атаки.

Злоумышленники использовали тактику приманки, маскируя содержимое файла LNK, относящееся к важной теме, чтобы обманом заставить пользователей выполнить его. Вредоносный код PowerShell, встроенный в файл LNK, скрытно выполняет различные потенциально вредоносные операции, включая изменение атрибутов защиты, расшифровку данных с помощью операции XOR, создание нового потока для выполнения и обработку исключений во время процесса.

Дальнейший анализ посвящен расшифровке PE-файла и выявлению троянца RokRat, созданного в 2023 году. В тексте это открытие сравнивается с предыдущими анализами версий RokRat, в которых основное внимание уделяется эволюции методов и стратегий атаки. Хотя в образце 2023 года сохранены основные функциональные возможности версии 2022 года, в нем представлены изменения в методах работы, такие как корректировка трассировок в реестре для повышения скрытности и эффективности при эффективном обходе мер безопасности.
#ParsedReport #CompletenessLow
23-04-2024

Cybercriminals Exploit Google Ads to Spread IP Scanner with Concealed Backdoor

https://any.run/cybersecurity-blog/attackers-exploit-google-ads

Report completeness: Low

Threats:
Madmxshell
Typosquatting_technique
Dll_sideloading_technique
Process_hollowing_technique
Dns_tunneling_technique

ChatGPT TTPs:
do not use without manual check
T1192, T1566.002, T1566.001, T1055.012, T1070.004, T1036.004, T1071.004, T1027, T1564.001

IOCs:
Domain: 1
File: 6

Algorithms:
zip
CTT Report Hub
#ParsedReport #CompletenessLow 23-04-2024 Cybercriminals Exploit Google Ads to Spread IP Scanner with Concealed Backdoor https://any.run/cybersecurity-blog/attackers-exploit-google-ads Report completeness: Low Threats: Madmxshell Typosquatting_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: Была выявлена сложная вредоносная кампания с использованием Google Ads, нацеленная на пользователей с помощью поддельных инструментов сканирования IP-адресов для распространения недавно обнаруженного бэкдора Windows под названием MadMxShell. Этот бэкдор взаимодействует с сервером управления с помощью запросов DNS MX и использует продвинутую тактику обхода, чтобы избежать обнаружения.
-----

Была выявлена новая вредоносная рекламная кампания, использующая Google Ads, нацеленная на пользователей с 45 доменами, которые выдают себя за сканер IP-адресов, для распространения недавно обнаруженного бэкдора Windows под названием MadMxShell. Этот бэкдор представляет собой сложную вредоносную программу, которая взаимодействует со своим сервером управления (C2) с помощью запросов DNS Mail Exchange (MX), причем сервер C2 находится по адресу litterbolo.com. Уникальной особенностью MadMxShell является его метод кодирования данных в пакетах запросов DNS MX для получения и выполнения команд, что привело к его названию - MadMxShell.

Эта кампания стала первым случаем использования вредоносной рекламы для распространения сложного бэкдора Windows. Вредоносная реклама предполагает использование рекламы Google для продвижения вредоносных доменов, выведения их на верхние строчки результатов поиска и заманивания жертв к ним. Процесс заражения обычно начинается, когда пользователь, который ищет популярные инструменты для сканирования IP-адресов, нажимает на вредоносную рекламу Google, перенаправляя их на один из доменов, зарегистрированных злоумышленниками. При нажатии кнопки загрузки на этих поддельных сайтах загружается вредоносный ZIP-архив с именем "Advanced-ip-scanner.zip". Этот архив содержит два файла: DLL-файл с именем IVIEWERS.dll и исполняемый файл с именем Advanced-ip-scanner.exe.

Когда пользователь выполняет Advanced-ip-scanner.exe, для загрузки IVIEWERS используется технология сторонней загрузки библиотеки DLL.dll-файл запускает цепочку заражения. Библиотека DLL внедряет встроенный шелл-код в процесс Advanced-ip-scanner.exe посредством "опустошения" процесса, заменяя оперативную память процесса вредоносным кодом, чтобы скрыть его действия. Вредоносная программа использует надежный двоичный файл OneDrive.exe для дополнительной загрузки вредоносного файла Secur32.dll для сохранения и выполняет скрытый шелл-код. Этот метод позволяет вредоносному ПО маскироваться под безобидный процесс, повышая его скрытность.

MadMxShell использует различные тактики уклонения, чтобы затруднить анализ, включая туннелирование DNS для связи со своим сервером C2, многоэтапную загрузку библиотеки DLL и выполнение команды ping с помощью процесса Cmd.exe для задержки моделирования анализа. Эти маневры направлены на то, чтобы избежать обнаружения с помощью автоматизированных изолированных систем с ограниченным временем для анализа образцов, демонстрируя сложную конструкцию вредоносного ПО и намерение злоумышленников обойти меры безопасности.

Анализ образцов вредоносных программ, таких как MadMxShell, можно упростить с помощью таких инструментов, как ANY.RUN, облачной интерактивной "песочницы", которая упрощает анализ вредоносных программ для специалистов по кибербезопасности. ANY.RUN предоставляет платформу для изучения угроз, нацеленных как на системы Windows, так и на Linux, предлагая расширенные возможности для углубленного анализа. Продукты ANY.RUN threat intelligence, Lookup и Feeds, предоставляют пользователям уточненные показатели компрометации и контекстную информацию для улучшения обнаружения угроз и реагирования на инциденты.
#ParsedReport #CompletenessHigh
23-04-2024

GuptiMiner: Hijacking Antivirus Updates for Distributing Backdoors and Casual Mining

https://decoded.avast.io/janrubin/guptiminer-hijacking-antivirus-updates-for-distributing-backdoors-and-casual-mining

Report completeness: High

Actors/Campaigns:
Kimsuky
Winnti

Threats:
Guptiminer
Gziploader
Puppeteer
Xmrig_miner
Putty_tool
Plink_tool
Mitm_technique
Heavens_gate_technique
Cylance
Windbg_tool
Ollydbg_tool
Teamviewer_tool

Victims:
Large corporate networks

Geo:
India, Germany, Korean, Indian

ChatGPT TTPs:
do not use without manual check
T1556, T1204, T1059, T1070, T1112, T1053, T1562, T1027, T1557, T1546, have more...

IOCs:
File: 33
Url: 5
Hash: 23
Path: 34
Domain: 55
Registry: 7
IP: 4
Command: 1

Soft:
Windows Defender, Task Scheduler, Windows certificate, Windows CryptoAPI, qemu, Process Explorer, Sysinternals

Algorithms:
gzip, xor, base64, rc4, 7zip, md5, sha1

Functions:
main

Win API:
CertCreateCertificateContext, CertOpenStore, CertAddCertificateContextToStore, CryptHashData, gethostbyname, WriteProcessMemory, CreateRemoteThread, SystemTimeToVariantTime

Languages:
powershell

Platforms:
x86, x64

Links:
https://github.com/avast/ioc/tree/master/GuptiMiner
https://github.com/avast/ioc/blob/master/GuptiMiner/extras/PCAP/smb\_backdoor\_networking.pcap
CTT Report Hub
#ParsedReport #CompletenessHigh 23-04-2024 GuptiMiner: Hijacking Antivirus Updates for Distributing Backdoors and Casual Mining https://decoded.avast.io/janrubin/guptiminer-hijacking-antivirus-updates-for-distributing-backdoors-and-casual-mining Report…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении и анализе сложной вредоносной кампании под названием GuptiMiner, которая использовала уязвимости в механизме обновления антивируса eScan для распространения бэкдоров и coinminers. Кампания, приписываемая злоумышленнику, потенциально связанному с Kimsuky, была направлена на проникновение в крупные корпоративные сети с целью внедрения бэкдоров. GuptiMiner демонстрировал расширенные возможности и непрерывную эволюцию с течением времени, демонстрируя разработчикам постоянное расширение своих возможностей и использование различных методов, позволяющих избежать обнаружения и поддерживать работоспособность скомпрометированных систем.
-----

В тексте рассказывается об обнаружении и анализе сложной вредоносной кампании, известной как GuptiMiner, которая использовала механизм обновления антивируса eScan для распространения бэкдоров и coinminers. Компания Avast обнаружила уязвимость и сообщила об этом, которая впоследствии была исправлена компанией eScan 31 июля 2023 года. Кампания, которую приписывают злоумышленнику, потенциально связанному с Kimsuky, была направлена на проникновение в крупные корпоративные сети с целью внедрения бэкдоров. GuptiMiner продемонстрировал расширенные возможности, включая DNS-запросы к серверам, контролируемым злоумышленниками, дополнительную загрузку, извлечение полезной нагрузки из изображений, которые выглядят безобидно, и использование пользовательских подписей доверенных центров сертификации.

Вредоносная кампания включала в себя два основных типа бэкдоров в GuptiMiner: усовершенствованный вариант PuTTY Link для сканирования SMB для перемещения по сетям в поперечном направлении и модульный бэкдор, способный выполнять команды злоумышленников, сканировать закрытые ключи и криптокошельки и распространять XMRig для майнинга криптовалюты на скомпрометированных устройствах. Используя уязвимость системы безопасности в механизме обновления eScan, злоумышленники проводили атаки типа "человек посередине" для распространения вредоносного ПО.

GuptiMiner, давняя вредоносная программа, появившаяся как минимум в 2018 году, с течением времени постоянно эволюционировала и совершенствовалась, а разработчики постоянно расширяли ее возможности. Вредоносная программа использовала несколько доменов для своих операций, в том числе для вредоносных DNS, загрузки PNG, пулов интеллектуального анализа конфигурации, модифицированных пулов интеллектуального анализа, конечных доменов C&C и многого другого. Он использовал мьютексы для правильного выполнения, периодически меняя их, и включал символы отладки в двоичные файлы для целей идентификации.

Цепочка заражения GuptiMiner включала в себя различные этапы, такие как дополнительная загрузка библиотеки DLL, внедрение шеллкода в процессы, расшифровка ответов DNS, внедрение XMRig для интеллектуального анализа данных и развертывание бэкдоров с помощью команд PowerShell. Основной компонент Puppeteer организовал операцию, внедрив механизмы сохранения, отключив такие функции безопасности, как защитник Windows, координируя деятельность по майнингу монет и развертывая бэкдоры в сетях Windows Server.

Дополнительные меры, принятые участниками угроз, включали методы защиты от виртуальных машин, уклонение от использования инструментов мониторинга и динамические конфигурации для адаптации к системным ресурсам. Вредоносное ПО шифровало и сохраняло полезную информацию в разделах реестра для сохранения, отслеживало системные процессы, внедряло XMRig для майнинга, загружало дополнительную полезную информацию для бэкдоров и со временем претерпевало различные улучшения, такие как изменения в использовании домена, стратегии взаимного обмена и обновления методов доставки полезной информации.
CTT Report Hub
#ParsedReport #CompletenessLow 23-04-2024 LNK file disseminating RokRAT malware (disguised as certificate of completion) https://asec.ahnlab.com/ko/64423 Report completeness: Low Actors/Campaigns: Scarcruft Threats: Rokrat Dropper/lnk.s2343 Trojan/bat.runner…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: Аналитический центр безопасности AhnLab выявил целенаправленную кампанию по распространению вредоносного ПО с помощью вредоносных файлов LNK, ориентированную на лиц, связанных с Северной Кореей. Вредоносная программа использует команды Powershell и облачные API для выполнения вредоносных действий, требуя от пользователей в уязвимых секторах проявлять осторожность и применять строгие меры кибербезопасности.
-----

Аналитический центр безопасности AhnLab (ASEC) недавно обнаружил распространение файлов ссылок ненормального размера (*.LNK), содержащих вредоносные программы типа "бэкдор". Распространение этих файлов нацелено на местных пользователей, в частности на лиц, связанных с Северной Кореей. Подтвержденный файл *.LNK содержит команду для запуска Powershell через CMD, аналогичную ранее выявленным случаям. Этот тип вредоносного ПО характеризуется тем, что в файл *.LNK встроены обычные файлы документов, код скрипта и вредоносные PE-данные.

Вредоносная программа работает следующим образом: после запуска файла LNK используется команда Powershell для создания и запуска обычного файла документа. Последние загруженные данные, viewer.dat, содержат вредоносную программу RokRAT, которая представляет собой вредоносное ПО типа "черного хода", использующее облачные API для сбора информации о пользователях и выполнения различных вредоносных действий в соответствии с инструкциями злоумышленников. Вредоносные действия, которые могут быть выполнены, включают сбор информации, сохранение ее в папке %TEMP% и загрузку на облачный сервер злоумышленника.

В процессе анализа был идентифицирован адрес электронной почты злоумышленника. ASEC постоянно обнаруживает вредоносные файлы быстрого доступа и делится информацией о них через свой блог, что свидетельствует о частом распространении таких вредоносных программ. Примечательно, что в прошлом постоянно выявлялся вредоносный код, нацеленный на отдельных лиц в таких областях, как объединение, вооруженные силы и образование, что требует высокого уровня бдительности.

Полученные данные свидетельствуют о целенаправленной и продолжающейся кампании по распространению вредоносного ПО с помощью вредоносных файлов LNK, при этом особое внимание уделяется лицам, связанным с Северной Кореей. Использование команд Powershell и включение различных типов вредоносных данных в файлы LNK демонстрируют сложный подход к заражению систем и выполнению бэкдор-операций. Использование облачных API для сбора данных и совершения вредоносных действий подчеркивает эволюцию тактики кибератакеров по сбору конфиденциальной информации и удаленному проведению вредоносных операций.

Таким образом, пользователям, особенно в таких чувствительных секторах, как объединение, вооруженные силы и образование, необходимо проявлять осторожность при обращении с файлами LNK и сохранять бдительность в отношении потенциальных угроз. Постоянный мониторинг сетевой активности, сканирование на предмет аномального поведения файлов и внедрение надежных мер кибербезопасности необходимы для снижения рисков, связанных с такими целенаправленными вредоносными кампаниями. Сотрудничество с экспертами по кибербезопасности и ресурсами анализа угроз также может повысить способность эффективно обнаруживать возникающие угрозы и реагировать на них.
#ParsedReport #CompletenessLow
22-04-2024

APT73/ERALEIG NEWS: UNVEILING NEW RANSOMWARE GROUP

https://rakeshkrish.medium.com/apt73-eraleig-news-unveiling-new-ransomware-group-55aec3e873ff

Report completeness: Low

Actors/Campaigns:
Eraleig
Scarcruft
Vice_society

Threats:
Lockbit
Babuk
Mespinoza
Meduza
Trickbot
Mirai

Geo:
Czechia, Norway, Panama, Romania, Korean, Finland

ChatGPT TTPs:
do not use without manual check
T1486, T1583.001, T1566.001, T1027, T1071.001, T1105

IOCs:
File: 1
IP: 1
Hash: 3

Soft:
Telegram, nginx, Ubuntu

Crypto:
bitcoin

Algorithms:
sha256, sha1, md5
CTT Report Hub
#ParsedReport #CompletenessLow 22-04-2024 APT73/ERALEIG NEWS: UNVEILING NEW RANSOMWARE GROUP https://rakeshkrish.medium.com/apt73-eraleig-news-unveiling-new-ransomware-group-55aec3e873ff Report completeness: Low Actors/Campaigns: Eraleig Scarcruft Vice_society…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - предварительный отчет о недавно обнаруженной группе программ-вымогателей под названием APT73, в котором подчеркивается их потенциальная связь или вдохновение с группой программ-вымогателей LockBit, их тактика работы, включая утечку данных с сайта и фишинг, а также попытки скрыть свою личность с помощью различных мер кибербезопасности.
-----

В тексте представлен предварительный отчет о недавно обнаруженной группе программ-вымогателей под названием APT73. Эта группа, в отличие от других, названных исследователями, отнесла себя к категории продвинутых постоянных угроз, за которыми следует ряд других. В отчете подчеркивается, что сайт утечки данных APT73 (DLS) точно отражает сайт группы программ-вымогателей LockBit, что указывает на потенциальную связь или вдохновение со стороны LockBit. Кроме того, в отчете предполагается, что APT73, скорее всего, распространяется посредством фишинга, хотя образцы вредоносного ПО недоступны для дальнейшего анализа.

Одним из ключевых замечаний является то, что DLS APT73 содержит раздел под названием "Зеркала", в котором отсутствуют активные зеркала, что выделяет его как группу любителей по сравнению с более известными участниками угроз, такими как LockBit. Группа назвала свой DLS "ERALEIGNEWS" и, как ожидается, добавит в TOR папку "Files", где информация о жертвах будет храниться в zip-файлах, следуя обычному методу работы групп вымогателей.

APT73 предпринял меры по сокрытию своей личности, в том числе зарегистрировал свой домен с защитой конфиденциальности на Namecheap и использовал реальный IP-адрес, связанный с вредоносной активностью AS9009. Этот номер AS связан с другими группами программ-вымогателей и вредоносными программами, такими как TrickBot и Meduza Stealer. Первоначально APT73 использовали DigiCert для сертификации своего веб-сайта, но недавно обновили его с помощью сертификата Google. Группа присутствует на социальных платформах, но сохраняет это в тайне и не рекламируется публично.

Дальнейшее расследование показало, что APT73 следит за проверенными профилями из Финляндии и южнокорейской музыкальной группы BTS в Twitter. Хотя некоторые аккаунты в социальных сетях, связанные с группой, имеют скандинавские и румынские черты в своих фамилиях, отмечается, что на данный момент невозможно подтвердить их окончательную связь с APT73. Было установлено, что логотип группы, изображающий голову змеи с паучьими лапами, был заимствован из Pixabay, что является обычной практикой среди новых групп вымогателей.
#ParsedReport #CompletenessMedium
23-04-2024

Analyzing Forest Blizzard s custom post-compromise tool for exploiting CVE-2022-38028 to obtain credentials

https://www.microsoft.com/en-us/security/blog/2024/04/22/analyzing-forest-blizzards-custom-post-compromise-tool-for-exploiting-cve-2022-38028-to-obtain-credentials

Report completeness: Medium

Actors/Campaigns:
Fancy_bear
Dev-0960
Cadet_blizzard
Ruinous_ursa

Threats:
Gooseegg_tool
Printnightmare_vuln

Victims:
Government organizations, Non-governmental organizations, Education sector organizations, Transportation sector organizations, Media organizations, Information technology organizations, Sports organizations, Educational institutions

Industry:
Transport, Ngo, Energy, Government, Military, Education

Geo:
American, Russian, Ukrainian

CVEs:
CVE-2022-38028 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows server 2008 (r2, -)
- microsoft windows server 2012 (r2, -)
- microsoft windows 10 (1607, -, 1809, 20h2, 21h1, 21h2)
- microsoft windows 8.1 (-)
- microsoft windows server 2016 (-)
have more...
CVE-2023-23397 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft 365 apps (-)
- microsoft office (2019, 2021)
- microsoft outlook (2013, 2016)

CVE-2021-1675 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows server 2008 (r2, -)
- microsoft windows server 2012 (r2, -)
- microsoft windows 10 (1607, -, 1809, 1909, 2004, 20h2, 21h1)
- microsoft windows 8.1 (-)
- microsoft windows server 2016 (-)
have more...
CVE-2021-34527 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows server 2008 (r2, -)
- microsoft windows server 2012 (r2, -)
- microsoft windows 8.1 (-)
- microsoft windows 7 (-)
- microsoft windows rt 8.1 (-)
have more...

ChatGPT TTPs:
do not use without manual check
T1068, T1552, T1055, T1053, T1106, T1574, T1047

IOCs:
File: 10
Path: 4
Hash: 4

Soft:
Microsoft Defender for Endpoint, Microsoft Defender, Windows Print Spooler, Windows security

Algorithms:
sha256

Win Services:
PrintSpooler

Languages:
javascript

Platforms:
intel
CTT Report Hub
#ParsedReport #CompletenessMedium 23-04-2024 Analyzing Forest Blizzard s custom post-compromise tool for exploiting CVE-2022-38028 to obtain credentials https://www.microsoft.com/en-us/security/blog/2024/04/22/analyzing-forest-blizzards-custom-post-compromise…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Microsoft Threat Intelligence обнаружила деятельность базирующейся в России группы злоумышленников Forest Blizzard (STRONTIUM), использующей пользовательский инструмент GooseEgg для использования уязвимости диспетчера очереди печати Windows для кражи учетных данных и проведения посткоммиссионных действий против различных секторов и организаций по всему миру. Группа, связанная с Главным разведывательным управлением Генерального штаба России (ГРУ), занимается сбором разведывательных данных для поддержки внешнеполитических инициатив российского правительства. Microsoft рекомендует использовать обновления для системы безопасности, чтобы смягчить угрозу, исходящую от Forest Blizzard, и предоставляет техническую информацию и рекомендации по защите от подобных уязвимостей.
-----

Компания Microsoft Threat Intelligence раскрыла деятельность базирующегося в России Forest Blizzard (STRONTIUM) и использование им специального инструмента GooseEgg для повышения привилегий и кражи учетных данных в скомпрометированных сетях. Этот инструмент использует уязвимость CVE-2022-38028 в службе диспетчера очереди печати Windows, что позволяет Forest Blizzard после взлома запускать действия против таких целей, как государственные учреждения, образовательные учреждения и транспортные организации в Украине, Западной Европе и Северной Америке. Forest Blizzard, связанная с Главным разведывательным управлением Генерального штаба России (ГРУ), в первую очередь занимается стратегическими разведывательными целями. В отличие от других групп, связанных с ГРУ, занимающихся деструктивными атаками, целью Forest Blizzard является сбор разведывательных данных в поддержку внешнеполитических инициатив российского правительства.

Было замечено, что Forest Blizzard использует GooseEgg для получения расширенного доступа к целевым системам, что позволяет им выполнять команды с разрешениями системного уровня для таких действий, как удаленное выполнение кода, установка бэкдоров и перемещение по скомпрометированным сетям. В то время как российские злоумышленники ранее использовали уязвимости, такие как PrintNightmare, использование GooseEgg в операциях Forest Blizzard - это новое открытие, о котором ранее не сообщалось поставщиками систем безопасности. Корпорация Майкрософт рекомендует организациям установить обновление для системы безопасности CVE-2022-38028 для устранения этой угрозы и предоставляет техническую информацию о GooseEgg, а также рекомендации по защите от уязвимостей диспетчера очереди печати.

Целями Forest Blizzard являются государственные органы, энергетические компании, транспортные компании, неправительственные организации, средства массовой информации, информационные технологии, спортивные организации и образовательные учреждения по всему миру. Группа ведет активную деятельность как минимум с 2010 года, занимаясь сбором разведывательной информации в соответствии с целями внешней политики российского правительства. Компания Forest Blizzard связана с подразделением 26165 ГРУ Российской Федерации и известна под различными названиями, такими как APT28, Sednit, Sofacy и Fancy Bear, в других исследованиях в области безопасности.

Microsoft наблюдала, как Forest Blizzard внедряет GooseEgg с пакетными сценариями, такими как execute.bat и doit.bat, для повышения привилегий и обеспечения постоянства в целевых средах. Двоичный файл GooseEgg с именами файлов, подобными justice.exe и DefragmentSrv.exe, выполняет различные команды сложным образом, чтобы скрыть свою активность. Вредоносные компоненты, такие как wayzgoose.библиотеки dll размещаются в определенных установочных подкаталогах для запуска приложений с разрешениями системного уровня, что позволяет выполнять вредоносные действия, такие как установка бэкдоров и удаленное выполнение кода.
#ParsedReport #CompletenessMedium
23-04-2024

Cisco Talos Blog. Suspected CoralRaider continues to expand victimology using three information stealers

https://blog.talosintelligence.com/suspected-coralraider-continues-to-expand-victimology-using-three-information-stealers

Report completeness: Medium

Actors/Campaigns:
Coralraider

Threats:
Cryptbot_stealer
Lumma_stealer
Rhadamanthys
Rotbot
Uac_bypass_technique
Lolbin_technique
Vmprotect_tool
Process_injection_technique

Victims:
Computer service call center organizations in japan, Civil defense service organizations in syria

Geo:
Japan, Egypt, Syria, Germany, Pakistan, Turkey, Ecuador, Poland, Philippines, Norway, Nigeria

ChatGPT TTPs:
do not use without manual check
T1566, T1204, T1059, T1547, T1548, T1027, T1140, T1082, T1110, T1571, have more...

IOCs:
Url: 26
Registry: 5
File: 2
Domain: 9
Hash: 35

Soft:
Windows Defender, Component Object Model, Windows Shell, discord

Algorithms:
base64, aes, zip

Languages:
python, powershell, javascript
CTT Report Hub
#ParsedReport #CompletenessMedium 23-04-2024 Cisco Talos Blog. Suspected CoralRaider continues to expand victimology using three information stealers https://blog.talosintelligence.com/suspected-coralraider-continues-to-expand-victimology-using-three-information…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Cisco Talos обнаружила новую кампанию по борьбе с киберугрозами, проводимую агентом CoralRaider, которая включает в себя распространение трех вариантов вредоносного ПО infostealer и использование различных методов для уклонения от обнаружения, нацеливания на жертв по всему миру и кражи конфиденциальной информации с целью получения финансовой выгоды.
-----

Кампания по борьбе с киберугрозами, инициированная CoralRaider и обнаруженная Cisco Talos, продолжается с февраля 2024 года.

Включает в себя распространение вариантов вредоносного ПО infostealer Cryptbot, LummaC2 и Rhadamanthys.

Использует новый аргумент командной строки PowerShell в файлах LNK для обхода антивирусных продуктов при загрузке полезной нагрузки.

Campaign использует кэш-домен сети доставки контента (CDN) для размещения вредоносных файлов, что расширяет возможности уклонения.

Имеет сходство с кампанией Rotbot, включая векторы атак, инструменты и методы.

Нацелена на жертв в различных странах и организациях, представляющих различные отрасли промышленности и географические точки.

Использует кэш CDN в качестве сервера загрузки, чтобы обмануть сетевых защитников.

Доказательства того, что в кампании используется несколько доменов C2.

Цепочка заражения начинается с того, что жертвы открывают вредоносные файлы быстрого доступа в ZIP-архивах, возможно, с помощью фишинговых электронных писем.

Наблюдались варианты Cryptbot, LummaC2 и Rhadamanthys с обновленными функциями для кражи данных.

Rhadamanthys поставляется с использованием исполняемого загрузчика на Python и демонстрирует эволюционирующую тактику.

Злоумышленник использует методы обфускации, процессы дешифрования и механизмы уклонения, чтобы скомпрометировать целевые системы с целью получения финансовой выгоды.
#ParsedReport #CompletenessMedium
23-04-2024

Dissecting REMCOS RAT: An in- depth analysis of a widespread 2024 malware, Part One

https://www.elastic.co/security-labs/dissecting-remcos-rat-part-one

Report completeness: Medium

Threats:
Remcos_rat
Process_injection_technique
Uac_bypass_technique

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1064, T1486, T1548, T1055, T1112, T1547, T1222, T1485

IOCs:
File: 6
Registry: 5
Path: 1

Soft:
Slack, Internet Explorer, Chrome

Algorithms:
rc4

Functions:
ShellExec

Win API:
CoGetObject, ShellExecuteW, SetThreadContext, ResumeThread, ZwMapViewOfSection, CreateProcessW, GetThreadContext, ZwCreateSection, WriteProcessMemory, FindFirstFileA, have more...

Languages:
python

Platforms:
x86

Links:
https://github.com/Rourke101/UACME/blob/8e527b53ffadf5e1490e59d2130e755c1d19f9c7/Source/Akagi/methods/comsup.c#L29
https://github.com/Rourke101/UACME/blob/8e527b53ffadf5e1490e59d2130e755c1d19f9c7/Source/Akagi/methods/api0cradle.c#L30