CTT Report Hub
#ParsedReport #CompletenessLow 23-04-2024 APT-C-28 ScarCruft LNK RokRat. https://www.ctfiot.com/175379.html Report completeness: Low Actors/Campaigns: Scarcruft Threats: Rokrat Victims: Companies in the energy sector Industry: Transport, Energy, Aerospace…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в обсуждении киберугроз, связанных с организацией ScarCruft, с особым упором на распространение и функциональность вредоносного ПО RokRat. В тексте освещаются методы доставки RokRat, кампании по атакам, нацеленные на энергетическую отрасль, рекомендации по предотвращению и устранению неполадок, природа и происхождение APT-C-28 (ScarCruft), а также описание конкретной сетевой атаки, связанной с развертыванием вредоносного ПО RokRat с помощью обманчивых файлов LNK. Дальнейший анализ включает в себя подробную информацию о механизмах активации вредоносного ПО, эволюции методов атаки и стратегиях, используемых злоумышленниками.
-----
В тексте обсуждаются действия, связанные с киберугрозами, связанные с организацией ScarCruft, с особым упором на доставку и функциональность вредоносного ПО RokRat. В начале статьи упоминается о предыдущих статьях, в которых подробно описывается, как злоумышленники распространяют образцы вредоносного ПО RokRat с помощью вредоносных документов, и приводится анализ кампаний по атакам RokRat, нацеленных на энергетическую отрасль. Обсуждаются функции RokRat, подчеркивается их последовательность и принадлежность к организации ScarCruft на основе сходства в моделях атак.
Злоумышленники отправляют сжатые файлы по электронной почте, предлагая пользователям щелкнуть по вредоносным файлам LNK, чтобы опубликовать образцы RokRat. В тексте содержатся рекомендации по предотвращению и устранению неполадок, включая обучение сотрудников, ограничение выполнения файлов, использование антивирусного программного обеспечения, проведение проверок безопасности, применение исправлений безопасности и внедрение многофакторной аутентификации для усиления мер безопасности.
Организация APT-C-28 (ScarCruft), также известная как APT37 (Жнец) и Group123, идентифицируется как группа APT, происходящая из Северо-Восточной Азии. Известный своими кибератаками, направленными в первую очередь против Южной Кореи и других азиатских стран, APT-C-28 с 2012 года нацелен на такие отрасли, как химия, электроника, обрабатывающая промышленность, аэрокосмическая промышленность, автомобилестроение и здравоохранение, с целью кражи конфиденциальных данных, связанных с военными, политическими и экономическими вопросами. RokRat, облачный инструмент удаленного доступа, часто используется APT-C-28 в своей работе с 2016 года, помогая в краже разведывательных данных.
Описана конкретная сетевая атака APT-C-28, в ходе которой вредоносные файлы LNK, замаскированные под "Дебаты экспертов по правам человека в Северной Корее", использовались для доставки вредоносного ПО RokRat. В тексте объясняется процесс распространения вредоносного ПО путем оценки начальной вредоносной нагрузки, включая извлечение файла BAT и сценария PowerShell из файла LNK, загрузку зашифрованной полезной нагрузки из DropBox и расшифровку для получения вредоносного ПО RokRat. Выделяются сложные механизмы активации вредоносного ПО, демонстрирующие сложность атаки.
Злоумышленники использовали тактику приманки, маскируя содержимое файла LNK, относящееся к важной теме, чтобы обманом заставить пользователей выполнить его. Вредоносный код PowerShell, встроенный в файл LNK, скрытно выполняет различные потенциально вредоносные операции, включая изменение атрибутов защиты, расшифровку данных с помощью операции XOR, создание нового потока для выполнения и обработку исключений во время процесса.
Дальнейший анализ посвящен расшифровке PE-файла и выявлению троянца RokRat, созданного в 2023 году. В тексте это открытие сравнивается с предыдущими анализами версий RokRat, в которых основное внимание уделяется эволюции методов и стратегий атаки. Хотя в образце 2023 года сохранены основные функциональные возможности версии 2022 года, в нем представлены изменения в методах работы, такие как корректировка трассировок в реестре для повышения скрытности и эффективности при эффективном обходе мер безопасности.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в обсуждении киберугроз, связанных с организацией ScarCruft, с особым упором на распространение и функциональность вредоносного ПО RokRat. В тексте освещаются методы доставки RokRat, кампании по атакам, нацеленные на энергетическую отрасль, рекомендации по предотвращению и устранению неполадок, природа и происхождение APT-C-28 (ScarCruft), а также описание конкретной сетевой атаки, связанной с развертыванием вредоносного ПО RokRat с помощью обманчивых файлов LNK. Дальнейший анализ включает в себя подробную информацию о механизмах активации вредоносного ПО, эволюции методов атаки и стратегиях, используемых злоумышленниками.
-----
В тексте обсуждаются действия, связанные с киберугрозами, связанные с организацией ScarCruft, с особым упором на доставку и функциональность вредоносного ПО RokRat. В начале статьи упоминается о предыдущих статьях, в которых подробно описывается, как злоумышленники распространяют образцы вредоносного ПО RokRat с помощью вредоносных документов, и приводится анализ кампаний по атакам RokRat, нацеленных на энергетическую отрасль. Обсуждаются функции RokRat, подчеркивается их последовательность и принадлежность к организации ScarCruft на основе сходства в моделях атак.
Злоумышленники отправляют сжатые файлы по электронной почте, предлагая пользователям щелкнуть по вредоносным файлам LNK, чтобы опубликовать образцы RokRat. В тексте содержатся рекомендации по предотвращению и устранению неполадок, включая обучение сотрудников, ограничение выполнения файлов, использование антивирусного программного обеспечения, проведение проверок безопасности, применение исправлений безопасности и внедрение многофакторной аутентификации для усиления мер безопасности.
Организация APT-C-28 (ScarCruft), также известная как APT37 (Жнец) и Group123, идентифицируется как группа APT, происходящая из Северо-Восточной Азии. Известный своими кибератаками, направленными в первую очередь против Южной Кореи и других азиатских стран, APT-C-28 с 2012 года нацелен на такие отрасли, как химия, электроника, обрабатывающая промышленность, аэрокосмическая промышленность, автомобилестроение и здравоохранение, с целью кражи конфиденциальных данных, связанных с военными, политическими и экономическими вопросами. RokRat, облачный инструмент удаленного доступа, часто используется APT-C-28 в своей работе с 2016 года, помогая в краже разведывательных данных.
Описана конкретная сетевая атака APT-C-28, в ходе которой вредоносные файлы LNK, замаскированные под "Дебаты экспертов по правам человека в Северной Корее", использовались для доставки вредоносного ПО RokRat. В тексте объясняется процесс распространения вредоносного ПО путем оценки начальной вредоносной нагрузки, включая извлечение файла BAT и сценария PowerShell из файла LNK, загрузку зашифрованной полезной нагрузки из DropBox и расшифровку для получения вредоносного ПО RokRat. Выделяются сложные механизмы активации вредоносного ПО, демонстрирующие сложность атаки.
Злоумышленники использовали тактику приманки, маскируя содержимое файла LNK, относящееся к важной теме, чтобы обманом заставить пользователей выполнить его. Вредоносный код PowerShell, встроенный в файл LNK, скрытно выполняет различные потенциально вредоносные операции, включая изменение атрибутов защиты, расшифровку данных с помощью операции XOR, создание нового потока для выполнения и обработку исключений во время процесса.
Дальнейший анализ посвящен расшифровке PE-файла и выявлению троянца RokRat, созданного в 2023 году. В тексте это открытие сравнивается с предыдущими анализами версий RokRat, в которых основное внимание уделяется эволюции методов и стратегий атаки. Хотя в образце 2023 года сохранены основные функциональные возможности версии 2022 года, в нем представлены изменения в методах работы, такие как корректировка трассировок в реестре для повышения скрытности и эффективности при эффективном обходе мер безопасности.
#ParsedReport #CompletenessLow
23-04-2024
Cybercriminals Exploit Google Ads to Spread IP Scanner with Concealed Backdoor
https://any.run/cybersecurity-blog/attackers-exploit-google-ads
Report completeness: Low
Threats:
Madmxshell
Typosquatting_technique
Dll_sideloading_technique
Process_hollowing_technique
Dns_tunneling_technique
ChatGPT TTPs:
T1192, T1566.002, T1566.001, T1055.012, T1070.004, T1036.004, T1071.004, T1027, T1564.001
IOCs:
Domain: 1
File: 6
Algorithms:
zip
23-04-2024
Cybercriminals Exploit Google Ads to Spread IP Scanner with Concealed Backdoor
https://any.run/cybersecurity-blog/attackers-exploit-google-ads
Report completeness: Low
Threats:
Madmxshell
Typosquatting_technique
Dll_sideloading_technique
Process_hollowing_technique
Dns_tunneling_technique
ChatGPT TTPs:
do not use without manual checkT1192, T1566.002, T1566.001, T1055.012, T1070.004, T1036.004, T1071.004, T1027, T1564.001
IOCs:
Domain: 1
File: 6
Algorithms:
zip
ANY.RUN's Cybersecurity Blog
Cybercriminals Exploit Google Ads to Spread a Backdoor
A new malicious campaign on Google Ads is exploiting domains that impersonate an IP scanner to distribute a new backdoor called MadMxShell.
CTT Report Hub
#ParsedReport #CompletenessLow 23-04-2024 Cybercriminals Exploit Google Ads to Spread IP Scanner with Concealed Backdoor https://any.run/cybersecurity-blog/attackers-exploit-google-ads Report completeness: Low Threats: Madmxshell Typosquatting_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея: Была выявлена сложная вредоносная кампания с использованием Google Ads, нацеленная на пользователей с помощью поддельных инструментов сканирования IP-адресов для распространения недавно обнаруженного бэкдора Windows под названием MadMxShell. Этот бэкдор взаимодействует с сервером управления с помощью запросов DNS MX и использует продвинутую тактику обхода, чтобы избежать обнаружения.
-----
Была выявлена новая вредоносная рекламная кампания, использующая Google Ads, нацеленная на пользователей с 45 доменами, которые выдают себя за сканер IP-адресов, для распространения недавно обнаруженного бэкдора Windows под названием MadMxShell. Этот бэкдор представляет собой сложную вредоносную программу, которая взаимодействует со своим сервером управления (C2) с помощью запросов DNS Mail Exchange (MX), причем сервер C2 находится по адресу litterbolo.com. Уникальной особенностью MadMxShell является его метод кодирования данных в пакетах запросов DNS MX для получения и выполнения команд, что привело к его названию - MadMxShell.
Эта кампания стала первым случаем использования вредоносной рекламы для распространения сложного бэкдора Windows. Вредоносная реклама предполагает использование рекламы Google для продвижения вредоносных доменов, выведения их на верхние строчки результатов поиска и заманивания жертв к ним. Процесс заражения обычно начинается, когда пользователь, который ищет популярные инструменты для сканирования IP-адресов, нажимает на вредоносную рекламу Google, перенаправляя их на один из доменов, зарегистрированных злоумышленниками. При нажатии кнопки загрузки на этих поддельных сайтах загружается вредоносный ZIP-архив с именем "Advanced-ip-scanner.zip". Этот архив содержит два файла: DLL-файл с именем IVIEWERS.dll и исполняемый файл с именем Advanced-ip-scanner.exe.
Когда пользователь выполняет Advanced-ip-scanner.exe, для загрузки IVIEWERS используется технология сторонней загрузки библиотеки DLL.dll-файл запускает цепочку заражения. Библиотека DLL внедряет встроенный шелл-код в процесс Advanced-ip-scanner.exe посредством "опустошения" процесса, заменяя оперативную память процесса вредоносным кодом, чтобы скрыть его действия. Вредоносная программа использует надежный двоичный файл OneDrive.exe для дополнительной загрузки вредоносного файла Secur32.dll для сохранения и выполняет скрытый шелл-код. Этот метод позволяет вредоносному ПО маскироваться под безобидный процесс, повышая его скрытность.
MadMxShell использует различные тактики уклонения, чтобы затруднить анализ, включая туннелирование DNS для связи со своим сервером C2, многоэтапную загрузку библиотеки DLL и выполнение команды ping с помощью процесса Cmd.exe для задержки моделирования анализа. Эти маневры направлены на то, чтобы избежать обнаружения с помощью автоматизированных изолированных систем с ограниченным временем для анализа образцов, демонстрируя сложную конструкцию вредоносного ПО и намерение злоумышленников обойти меры безопасности.
Анализ образцов вредоносных программ, таких как MadMxShell, можно упростить с помощью таких инструментов, как ANY.RUN, облачной интерактивной "песочницы", которая упрощает анализ вредоносных программ для специалистов по кибербезопасности. ANY.RUN предоставляет платформу для изучения угроз, нацеленных как на системы Windows, так и на Linux, предлагая расширенные возможности для углубленного анализа. Продукты ANY.RUN threat intelligence, Lookup и Feeds, предоставляют пользователям уточненные показатели компрометации и контекстную информацию для улучшения обнаружения угроз и реагирования на инциденты.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея: Была выявлена сложная вредоносная кампания с использованием Google Ads, нацеленная на пользователей с помощью поддельных инструментов сканирования IP-адресов для распространения недавно обнаруженного бэкдора Windows под названием MadMxShell. Этот бэкдор взаимодействует с сервером управления с помощью запросов DNS MX и использует продвинутую тактику обхода, чтобы избежать обнаружения.
-----
Была выявлена новая вредоносная рекламная кампания, использующая Google Ads, нацеленная на пользователей с 45 доменами, которые выдают себя за сканер IP-адресов, для распространения недавно обнаруженного бэкдора Windows под названием MadMxShell. Этот бэкдор представляет собой сложную вредоносную программу, которая взаимодействует со своим сервером управления (C2) с помощью запросов DNS Mail Exchange (MX), причем сервер C2 находится по адресу litterbolo.com. Уникальной особенностью MadMxShell является его метод кодирования данных в пакетах запросов DNS MX для получения и выполнения команд, что привело к его названию - MadMxShell.
Эта кампания стала первым случаем использования вредоносной рекламы для распространения сложного бэкдора Windows. Вредоносная реклама предполагает использование рекламы Google для продвижения вредоносных доменов, выведения их на верхние строчки результатов поиска и заманивания жертв к ним. Процесс заражения обычно начинается, когда пользователь, который ищет популярные инструменты для сканирования IP-адресов, нажимает на вредоносную рекламу Google, перенаправляя их на один из доменов, зарегистрированных злоумышленниками. При нажатии кнопки загрузки на этих поддельных сайтах загружается вредоносный ZIP-архив с именем "Advanced-ip-scanner.zip". Этот архив содержит два файла: DLL-файл с именем IVIEWERS.dll и исполняемый файл с именем Advanced-ip-scanner.exe.
Когда пользователь выполняет Advanced-ip-scanner.exe, для загрузки IVIEWERS используется технология сторонней загрузки библиотеки DLL.dll-файл запускает цепочку заражения. Библиотека DLL внедряет встроенный шелл-код в процесс Advanced-ip-scanner.exe посредством "опустошения" процесса, заменяя оперативную память процесса вредоносным кодом, чтобы скрыть его действия. Вредоносная программа использует надежный двоичный файл OneDrive.exe для дополнительной загрузки вредоносного файла Secur32.dll для сохранения и выполняет скрытый шелл-код. Этот метод позволяет вредоносному ПО маскироваться под безобидный процесс, повышая его скрытность.
MadMxShell использует различные тактики уклонения, чтобы затруднить анализ, включая туннелирование DNS для связи со своим сервером C2, многоэтапную загрузку библиотеки DLL и выполнение команды ping с помощью процесса Cmd.exe для задержки моделирования анализа. Эти маневры направлены на то, чтобы избежать обнаружения с помощью автоматизированных изолированных систем с ограниченным временем для анализа образцов, демонстрируя сложную конструкцию вредоносного ПО и намерение злоумышленников обойти меры безопасности.
Анализ образцов вредоносных программ, таких как MadMxShell, можно упростить с помощью таких инструментов, как ANY.RUN, облачной интерактивной "песочницы", которая упрощает анализ вредоносных программ для специалистов по кибербезопасности. ANY.RUN предоставляет платформу для изучения угроз, нацеленных как на системы Windows, так и на Linux, предлагая расширенные возможности для углубленного анализа. Продукты ANY.RUN threat intelligence, Lookup и Feeds, предоставляют пользователям уточненные показатели компрометации и контекстную информацию для улучшения обнаружения угроз и реагирования на инциденты.
#ParsedReport #CompletenessHigh
23-04-2024
GuptiMiner: Hijacking Antivirus Updates for Distributing Backdoors and Casual Mining
https://decoded.avast.io/janrubin/guptiminer-hijacking-antivirus-updates-for-distributing-backdoors-and-casual-mining
Report completeness: High
Actors/Campaigns:
Kimsuky
Winnti
Threats:
Guptiminer
Gziploader
Puppeteer
Xmrig_miner
Putty_tool
Plink_tool
Mitm_technique
Heavens_gate_technique
Cylance
Windbg_tool
Ollydbg_tool
Teamviewer_tool
Victims:
Large corporate networks
Geo:
India, Germany, Korean, Indian
ChatGPT TTPs:
T1556, T1204, T1059, T1070, T1112, T1053, T1562, T1027, T1557, T1546, have more...
IOCs:
File: 33
Url: 5
Hash: 23
Path: 34
Domain: 55
Registry: 7
IP: 4
Command: 1
Soft:
Windows Defender, Task Scheduler, Windows certificate, Windows CryptoAPI, qemu, Process Explorer, Sysinternals
Algorithms:
gzip, xor, base64, rc4, 7zip, md5, sha1
Functions:
main
Win API:
CertCreateCertificateContext, CertOpenStore, CertAddCertificateContextToStore, CryptHashData, gethostbyname, WriteProcessMemory, CreateRemoteThread, SystemTimeToVariantTime
Languages:
powershell
Platforms:
x86, x64
Links:
23-04-2024
GuptiMiner: Hijacking Antivirus Updates for Distributing Backdoors and Casual Mining
https://decoded.avast.io/janrubin/guptiminer-hijacking-antivirus-updates-for-distributing-backdoors-and-casual-mining
Report completeness: High
Actors/Campaigns:
Kimsuky
Winnti
Threats:
Guptiminer
Gziploader
Puppeteer
Xmrig_miner
Putty_tool
Plink_tool
Mitm_technique
Heavens_gate_technique
Cylance
Windbg_tool
Ollydbg_tool
Teamviewer_tool
Victims:
Large corporate networks
Geo:
India, Germany, Korean, Indian
ChatGPT TTPs:
do not use without manual checkT1556, T1204, T1059, T1070, T1112, T1053, T1562, T1027, T1557, T1546, have more...
IOCs:
File: 33
Url: 5
Hash: 23
Path: 34
Domain: 55
Registry: 7
IP: 4
Command: 1
Soft:
Windows Defender, Task Scheduler, Windows certificate, Windows CryptoAPI, qemu, Process Explorer, Sysinternals
Algorithms:
gzip, xor, base64, rc4, 7zip, md5, sha1
Functions:
main
Win API:
CertCreateCertificateContext, CertOpenStore, CertAddCertificateContextToStore, CryptHashData, gethostbyname, WriteProcessMemory, CreateRemoteThread, SystemTimeToVariantTime
Languages:
powershell
Platforms:
x86, x64
Links:
https://github.com/avast/ioc/tree/master/GuptiMinerhttps://github.com/avast/ioc/blob/master/GuptiMiner/extras/PCAP/smb\_backdoor\_networking.pcapGendigital
GuptiMiner: Hijacking Antivirus Updates for Distributing Backdoors and Casual Mining
Malware Campaign Exploiting Antivirus Updates
CTT Report Hub
#ParsedReport #CompletenessHigh 23-04-2024 GuptiMiner: Hijacking Antivirus Updates for Distributing Backdoors and Casual Mining https://decoded.avast.io/janrubin/guptiminer-hijacking-antivirus-updates-for-distributing-backdoors-and-casual-mining Report…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в обнаружении и анализе сложной вредоносной кампании под названием GuptiMiner, которая использовала уязвимости в механизме обновления антивируса eScan для распространения бэкдоров и coinminers. Кампания, приписываемая злоумышленнику, потенциально связанному с Kimsuky, была направлена на проникновение в крупные корпоративные сети с целью внедрения бэкдоров. GuptiMiner демонстрировал расширенные возможности и непрерывную эволюцию с течением времени, демонстрируя разработчикам постоянное расширение своих возможностей и использование различных методов, позволяющих избежать обнаружения и поддерживать работоспособность скомпрометированных систем.
-----
В тексте рассказывается об обнаружении и анализе сложной вредоносной кампании, известной как GuptiMiner, которая использовала механизм обновления антивируса eScan для распространения бэкдоров и coinminers. Компания Avast обнаружила уязвимость и сообщила об этом, которая впоследствии была исправлена компанией eScan 31 июля 2023 года. Кампания, которую приписывают злоумышленнику, потенциально связанному с Kimsuky, была направлена на проникновение в крупные корпоративные сети с целью внедрения бэкдоров. GuptiMiner продемонстрировал расширенные возможности, включая DNS-запросы к серверам, контролируемым злоумышленниками, дополнительную загрузку, извлечение полезной нагрузки из изображений, которые выглядят безобидно, и использование пользовательских подписей доверенных центров сертификации.
Вредоносная кампания включала в себя два основных типа бэкдоров в GuptiMiner: усовершенствованный вариант PuTTY Link для сканирования SMB для перемещения по сетям в поперечном направлении и модульный бэкдор, способный выполнять команды злоумышленников, сканировать закрытые ключи и криптокошельки и распространять XMRig для майнинга криптовалюты на скомпрометированных устройствах. Используя уязвимость системы безопасности в механизме обновления eScan, злоумышленники проводили атаки типа "человек посередине" для распространения вредоносного ПО.
GuptiMiner, давняя вредоносная программа, появившаяся как минимум в 2018 году, с течением времени постоянно эволюционировала и совершенствовалась, а разработчики постоянно расширяли ее возможности. Вредоносная программа использовала несколько доменов для своих операций, в том числе для вредоносных DNS, загрузки PNG, пулов интеллектуального анализа конфигурации, модифицированных пулов интеллектуального анализа, конечных доменов C&C и многого другого. Он использовал мьютексы для правильного выполнения, периодически меняя их, и включал символы отладки в двоичные файлы для целей идентификации.
Цепочка заражения GuptiMiner включала в себя различные этапы, такие как дополнительная загрузка библиотеки DLL, внедрение шеллкода в процессы, расшифровка ответов DNS, внедрение XMRig для интеллектуального анализа данных и развертывание бэкдоров с помощью команд PowerShell. Основной компонент Puppeteer организовал операцию, внедрив механизмы сохранения, отключив такие функции безопасности, как защитник Windows, координируя деятельность по майнингу монет и развертывая бэкдоры в сетях Windows Server.
Дополнительные меры, принятые участниками угроз, включали методы защиты от виртуальных машин, уклонение от использования инструментов мониторинга и динамические конфигурации для адаптации к системным ресурсам. Вредоносное ПО шифровало и сохраняло полезную информацию в разделах реестра для сохранения, отслеживало системные процессы, внедряло XMRig для майнинга, загружало дополнительную полезную информацию для бэкдоров и со временем претерпевало различные улучшения, такие как изменения в использовании домена, стратегии взаимного обмена и обновления методов доставки полезной информации.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в обнаружении и анализе сложной вредоносной кампании под названием GuptiMiner, которая использовала уязвимости в механизме обновления антивируса eScan для распространения бэкдоров и coinminers. Кампания, приписываемая злоумышленнику, потенциально связанному с Kimsuky, была направлена на проникновение в крупные корпоративные сети с целью внедрения бэкдоров. GuptiMiner демонстрировал расширенные возможности и непрерывную эволюцию с течением времени, демонстрируя разработчикам постоянное расширение своих возможностей и использование различных методов, позволяющих избежать обнаружения и поддерживать работоспособность скомпрометированных систем.
-----
В тексте рассказывается об обнаружении и анализе сложной вредоносной кампании, известной как GuptiMiner, которая использовала механизм обновления антивируса eScan для распространения бэкдоров и coinminers. Компания Avast обнаружила уязвимость и сообщила об этом, которая впоследствии была исправлена компанией eScan 31 июля 2023 года. Кампания, которую приписывают злоумышленнику, потенциально связанному с Kimsuky, была направлена на проникновение в крупные корпоративные сети с целью внедрения бэкдоров. GuptiMiner продемонстрировал расширенные возможности, включая DNS-запросы к серверам, контролируемым злоумышленниками, дополнительную загрузку, извлечение полезной нагрузки из изображений, которые выглядят безобидно, и использование пользовательских подписей доверенных центров сертификации.
Вредоносная кампания включала в себя два основных типа бэкдоров в GuptiMiner: усовершенствованный вариант PuTTY Link для сканирования SMB для перемещения по сетям в поперечном направлении и модульный бэкдор, способный выполнять команды злоумышленников, сканировать закрытые ключи и криптокошельки и распространять XMRig для майнинга криптовалюты на скомпрометированных устройствах. Используя уязвимость системы безопасности в механизме обновления eScan, злоумышленники проводили атаки типа "человек посередине" для распространения вредоносного ПО.
GuptiMiner, давняя вредоносная программа, появившаяся как минимум в 2018 году, с течением времени постоянно эволюционировала и совершенствовалась, а разработчики постоянно расширяли ее возможности. Вредоносная программа использовала несколько доменов для своих операций, в том числе для вредоносных DNS, загрузки PNG, пулов интеллектуального анализа конфигурации, модифицированных пулов интеллектуального анализа, конечных доменов C&C и многого другого. Он использовал мьютексы для правильного выполнения, периодически меняя их, и включал символы отладки в двоичные файлы для целей идентификации.
Цепочка заражения GuptiMiner включала в себя различные этапы, такие как дополнительная загрузка библиотеки DLL, внедрение шеллкода в процессы, расшифровка ответов DNS, внедрение XMRig для интеллектуального анализа данных и развертывание бэкдоров с помощью команд PowerShell. Основной компонент Puppeteer организовал операцию, внедрив механизмы сохранения, отключив такие функции безопасности, как защитник Windows, координируя деятельность по майнингу монет и развертывая бэкдоры в сетях Windows Server.
Дополнительные меры, принятые участниками угроз, включали методы защиты от виртуальных машин, уклонение от использования инструментов мониторинга и динамические конфигурации для адаптации к системным ресурсам. Вредоносное ПО шифровало и сохраняло полезную информацию в разделах реестра для сохранения, отслеживало системные процессы, внедряло XMRig для майнинга, загружало дополнительную полезную информацию для бэкдоров и со временем претерпевало различные улучшения, такие как изменения в использовании домена, стратегии взаимного обмена и обновления методов доставки полезной информации.
#ParsedReport #CompletenessLow
23-04-2024
LNK file disseminating RokRAT malware (disguised as certificate of completion)
https://asec.ahnlab.com/ko/64423
Report completeness: Low
Actors/Campaigns:
Scarcruft
Threats:
Rokrat
Dropper/lnk.s2343
Trojan/bat.runner
Infostealer/win.agent.r579429
Industry:
Military, Education
Geo:
Korea
ChatGPT TTPs:
T1193, T1059.001, T1204.002, T1560, T1105, T1071.001
IOCs:
File: 5
Email: 4
Hash: 8
Languages:
powershell
23-04-2024
LNK file disseminating RokRAT malware (disguised as certificate of completion)
https://asec.ahnlab.com/ko/64423
Report completeness: Low
Actors/Campaigns:
Scarcruft
Threats:
Rokrat
Dropper/lnk.s2343
Trojan/bat.runner
Infostealer/win.agent.r579429
Industry:
Military, Education
Geo:
Korea
ChatGPT TTPs:
do not use without manual checkT1193, T1059.001, T1204.002, T1560, T1105, T1071.001
IOCs:
File: 5
Email: 4
Hash: 8
Languages:
powershell
ASEC BLOG
RokRAT 악성코드를 유포하는 LNK 파일 (수료증 위장) - ASEC BLOG
AhnLab SEcurity intelligence Center(ASEC)은 백도어 유형의 악성코드를 유포하는 비정상적인 크기의 링크 파일(*.LNK)이 꾸준히 유포되고 있음을 확인하였다. 최근 확인된 링크 파일(*.LNK)은 국내 사용자, 특히 대북 관련 인사를 대상으로 유포하는 것으로 확인된다. 확인된 LNK 파일명은 다음과 같다. 확인된 LNK 파일은 CMD를 통해 파워쉘을 실행하는 명령어가 삽입되어 있으며 지난해 게시한 ‘링크 파일(*.lnk)을…
CTT Report Hub
#ParsedReport #CompletenessLow 23-04-2024 LNK file disseminating RokRAT malware (disguised as certificate of completion) https://asec.ahnlab.com/ko/64423 Report completeness: Low Actors/Campaigns: Scarcruft Threats: Rokrat Dropper/lnk.s2343 Trojan/bat.runner…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея: Аналитический центр безопасности AhnLab выявил целенаправленную кампанию по распространению вредоносного ПО с помощью вредоносных файлов LNK, ориентированную на лиц, связанных с Северной Кореей. Вредоносная программа использует команды Powershell и облачные API для выполнения вредоносных действий, требуя от пользователей в уязвимых секторах проявлять осторожность и применять строгие меры кибербезопасности.
-----
Аналитический центр безопасности AhnLab (ASEC) недавно обнаружил распространение файлов ссылок ненормального размера (*.LNK), содержащих вредоносные программы типа "бэкдор". Распространение этих файлов нацелено на местных пользователей, в частности на лиц, связанных с Северной Кореей. Подтвержденный файл *.LNK содержит команду для запуска Powershell через CMD, аналогичную ранее выявленным случаям. Этот тип вредоносного ПО характеризуется тем, что в файл *.LNK встроены обычные файлы документов, код скрипта и вредоносные PE-данные.
Вредоносная программа работает следующим образом: после запуска файла LNK используется команда Powershell для создания и запуска обычного файла документа. Последние загруженные данные, viewer.dat, содержат вредоносную программу RokRAT, которая представляет собой вредоносное ПО типа "черного хода", использующее облачные API для сбора информации о пользователях и выполнения различных вредоносных действий в соответствии с инструкциями злоумышленников. Вредоносные действия, которые могут быть выполнены, включают сбор информации, сохранение ее в папке %TEMP% и загрузку на облачный сервер злоумышленника.
В процессе анализа был идентифицирован адрес электронной почты злоумышленника. ASEC постоянно обнаруживает вредоносные файлы быстрого доступа и делится информацией о них через свой блог, что свидетельствует о частом распространении таких вредоносных программ. Примечательно, что в прошлом постоянно выявлялся вредоносный код, нацеленный на отдельных лиц в таких областях, как объединение, вооруженные силы и образование, что требует высокого уровня бдительности.
Полученные данные свидетельствуют о целенаправленной и продолжающейся кампании по распространению вредоносного ПО с помощью вредоносных файлов LNK, при этом особое внимание уделяется лицам, связанным с Северной Кореей. Использование команд Powershell и включение различных типов вредоносных данных в файлы LNK демонстрируют сложный подход к заражению систем и выполнению бэкдор-операций. Использование облачных API для сбора данных и совершения вредоносных действий подчеркивает эволюцию тактики кибератакеров по сбору конфиденциальной информации и удаленному проведению вредоносных операций.
Таким образом, пользователям, особенно в таких чувствительных секторах, как объединение, вооруженные силы и образование, необходимо проявлять осторожность при обращении с файлами LNK и сохранять бдительность в отношении потенциальных угроз. Постоянный мониторинг сетевой активности, сканирование на предмет аномального поведения файлов и внедрение надежных мер кибербезопасности необходимы для снижения рисков, связанных с такими целенаправленными вредоносными кампаниями. Сотрудничество с экспертами по кибербезопасности и ресурсами анализа угроз также может повысить способность эффективно обнаруживать возникающие угрозы и реагировать на них.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея: Аналитический центр безопасности AhnLab выявил целенаправленную кампанию по распространению вредоносного ПО с помощью вредоносных файлов LNK, ориентированную на лиц, связанных с Северной Кореей. Вредоносная программа использует команды Powershell и облачные API для выполнения вредоносных действий, требуя от пользователей в уязвимых секторах проявлять осторожность и применять строгие меры кибербезопасности.
-----
Аналитический центр безопасности AhnLab (ASEC) недавно обнаружил распространение файлов ссылок ненормального размера (*.LNK), содержащих вредоносные программы типа "бэкдор". Распространение этих файлов нацелено на местных пользователей, в частности на лиц, связанных с Северной Кореей. Подтвержденный файл *.LNK содержит команду для запуска Powershell через CMD, аналогичную ранее выявленным случаям. Этот тип вредоносного ПО характеризуется тем, что в файл *.LNK встроены обычные файлы документов, код скрипта и вредоносные PE-данные.
Вредоносная программа работает следующим образом: после запуска файла LNK используется команда Powershell для создания и запуска обычного файла документа. Последние загруженные данные, viewer.dat, содержат вредоносную программу RokRAT, которая представляет собой вредоносное ПО типа "черного хода", использующее облачные API для сбора информации о пользователях и выполнения различных вредоносных действий в соответствии с инструкциями злоумышленников. Вредоносные действия, которые могут быть выполнены, включают сбор информации, сохранение ее в папке %TEMP% и загрузку на облачный сервер злоумышленника.
В процессе анализа был идентифицирован адрес электронной почты злоумышленника. ASEC постоянно обнаруживает вредоносные файлы быстрого доступа и делится информацией о них через свой блог, что свидетельствует о частом распространении таких вредоносных программ. Примечательно, что в прошлом постоянно выявлялся вредоносный код, нацеленный на отдельных лиц в таких областях, как объединение, вооруженные силы и образование, что требует высокого уровня бдительности.
Полученные данные свидетельствуют о целенаправленной и продолжающейся кампании по распространению вредоносного ПО с помощью вредоносных файлов LNK, при этом особое внимание уделяется лицам, связанным с Северной Кореей. Использование команд Powershell и включение различных типов вредоносных данных в файлы LNK демонстрируют сложный подход к заражению систем и выполнению бэкдор-операций. Использование облачных API для сбора данных и совершения вредоносных действий подчеркивает эволюцию тактики кибератакеров по сбору конфиденциальной информации и удаленному проведению вредоносных операций.
Таким образом, пользователям, особенно в таких чувствительных секторах, как объединение, вооруженные силы и образование, необходимо проявлять осторожность при обращении с файлами LNK и сохранять бдительность в отношении потенциальных угроз. Постоянный мониторинг сетевой активности, сканирование на предмет аномального поведения файлов и внедрение надежных мер кибербезопасности необходимы для снижения рисков, связанных с такими целенаправленными вредоносными кампаниями. Сотрудничество с экспертами по кибербезопасности и ресурсами анализа угроз также может повысить способность эффективно обнаруживать возникающие угрозы и реагировать на них.
#ParsedReport #CompletenessLow
22-04-2024
APT73/ERALEIG NEWS: UNVEILING NEW RANSOMWARE GROUP
https://rakeshkrish.medium.com/apt73-eraleig-news-unveiling-new-ransomware-group-55aec3e873ff
Report completeness: Low
Actors/Campaigns:
Eraleig
Scarcruft
Vice_society
Threats:
Lockbit
Babuk
Mespinoza
Meduza
Trickbot
Mirai
Geo:
Czechia, Norway, Panama, Romania, Korean, Finland
ChatGPT TTPs:
T1486, T1583.001, T1566.001, T1027, T1071.001, T1105
IOCs:
File: 1
IP: 1
Hash: 3
Soft:
Telegram, nginx, Ubuntu
Crypto:
bitcoin
Algorithms:
sha256, sha1, md5
22-04-2024
APT73/ERALEIG NEWS: UNVEILING NEW RANSOMWARE GROUP
https://rakeshkrish.medium.com/apt73-eraleig-news-unveiling-new-ransomware-group-55aec3e873ff
Report completeness: Low
Actors/Campaigns:
Eraleig
Scarcruft
Vice_society
Threats:
Lockbit
Babuk
Mespinoza
Meduza
Trickbot
Mirai
Geo:
Czechia, Norway, Panama, Romania, Korean, Finland
ChatGPT TTPs:
do not use without manual checkT1486, T1583.001, T1566.001, T1027, T1071.001, T1105
IOCs:
File: 1
IP: 1
Hash: 3
Soft:
Telegram, nginx, Ubuntu
Crypto:
bitcoin
Algorithms:
sha256, sha1, md5
Medium
APT73/ERALEIG NEWS: UNVEILING NEW RANSOMWARE GROUP
NOTE: This is a preliminary report about a new Ransomware which I had unmasked during my Cyber Investigation. There is only a single…
CTT Report Hub
#ParsedReport #CompletenessLow 22-04-2024 APT73/ERALEIG NEWS: UNVEILING NEW RANSOMWARE GROUP https://rakeshkrish.medium.com/apt73-eraleig-news-unveiling-new-ransomware-group-55aec3e873ff Report completeness: Low Actors/Campaigns: Eraleig Scarcruft Vice_society…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста - предварительный отчет о недавно обнаруженной группе программ-вымогателей под названием APT73, в котором подчеркивается их потенциальная связь или вдохновение с группой программ-вымогателей LockBit, их тактика работы, включая утечку данных с сайта и фишинг, а также попытки скрыть свою личность с помощью различных мер кибербезопасности.
-----
В тексте представлен предварительный отчет о недавно обнаруженной группе программ-вымогателей под названием APT73. Эта группа, в отличие от других, названных исследователями, отнесла себя к категории продвинутых постоянных угроз, за которыми следует ряд других. В отчете подчеркивается, что сайт утечки данных APT73 (DLS) точно отражает сайт группы программ-вымогателей LockBit, что указывает на потенциальную связь или вдохновение со стороны LockBit. Кроме того, в отчете предполагается, что APT73, скорее всего, распространяется посредством фишинга, хотя образцы вредоносного ПО недоступны для дальнейшего анализа.
Одним из ключевых замечаний является то, что DLS APT73 содержит раздел под названием "Зеркала", в котором отсутствуют активные зеркала, что выделяет его как группу любителей по сравнению с более известными участниками угроз, такими как LockBit. Группа назвала свой DLS "ERALEIGNEWS" и, как ожидается, добавит в TOR папку "Files", где информация о жертвах будет храниться в zip-файлах, следуя обычному методу работы групп вымогателей.
APT73 предпринял меры по сокрытию своей личности, в том числе зарегистрировал свой домен с защитой конфиденциальности на Namecheap и использовал реальный IP-адрес, связанный с вредоносной активностью AS9009. Этот номер AS связан с другими группами программ-вымогателей и вредоносными программами, такими как TrickBot и Meduza Stealer. Первоначально APT73 использовали DigiCert для сертификации своего веб-сайта, но недавно обновили его с помощью сертификата Google. Группа присутствует на социальных платформах, но сохраняет это в тайне и не рекламируется публично.
Дальнейшее расследование показало, что APT73 следит за проверенными профилями из Финляндии и южнокорейской музыкальной группы BTS в Twitter. Хотя некоторые аккаунты в социальных сетях, связанные с группой, имеют скандинавские и румынские черты в своих фамилиях, отмечается, что на данный момент невозможно подтвердить их окончательную связь с APT73. Было установлено, что логотип группы, изображающий голову змеи с паучьими лапами, был заимствован из Pixabay, что является обычной практикой среди новых групп вымогателей.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста - предварительный отчет о недавно обнаруженной группе программ-вымогателей под названием APT73, в котором подчеркивается их потенциальная связь или вдохновение с группой программ-вымогателей LockBit, их тактика работы, включая утечку данных с сайта и фишинг, а также попытки скрыть свою личность с помощью различных мер кибербезопасности.
-----
В тексте представлен предварительный отчет о недавно обнаруженной группе программ-вымогателей под названием APT73. Эта группа, в отличие от других, названных исследователями, отнесла себя к категории продвинутых постоянных угроз, за которыми следует ряд других. В отчете подчеркивается, что сайт утечки данных APT73 (DLS) точно отражает сайт группы программ-вымогателей LockBit, что указывает на потенциальную связь или вдохновение со стороны LockBit. Кроме того, в отчете предполагается, что APT73, скорее всего, распространяется посредством фишинга, хотя образцы вредоносного ПО недоступны для дальнейшего анализа.
Одним из ключевых замечаний является то, что DLS APT73 содержит раздел под названием "Зеркала", в котором отсутствуют активные зеркала, что выделяет его как группу любителей по сравнению с более известными участниками угроз, такими как LockBit. Группа назвала свой DLS "ERALEIGNEWS" и, как ожидается, добавит в TOR папку "Files", где информация о жертвах будет храниться в zip-файлах, следуя обычному методу работы групп вымогателей.
APT73 предпринял меры по сокрытию своей личности, в том числе зарегистрировал свой домен с защитой конфиденциальности на Namecheap и использовал реальный IP-адрес, связанный с вредоносной активностью AS9009. Этот номер AS связан с другими группами программ-вымогателей и вредоносными программами, такими как TrickBot и Meduza Stealer. Первоначально APT73 использовали DigiCert для сертификации своего веб-сайта, но недавно обновили его с помощью сертификата Google. Группа присутствует на социальных платформах, но сохраняет это в тайне и не рекламируется публично.
Дальнейшее расследование показало, что APT73 следит за проверенными профилями из Финляндии и южнокорейской музыкальной группы BTS в Twitter. Хотя некоторые аккаунты в социальных сетях, связанные с группой, имеют скандинавские и румынские черты в своих фамилиях, отмечается, что на данный момент невозможно подтвердить их окончательную связь с APT73. Было установлено, что логотип группы, изображающий голову змеи с паучьими лапами, был заимствован из Pixabay, что является обычной практикой среди новых групп вымогателей.
#ParsedReport #CompletenessMedium
23-04-2024
Analyzing Forest Blizzard s custom post-compromise tool for exploiting CVE-2022-38028 to obtain credentials
https://www.microsoft.com/en-us/security/blog/2024/04/22/analyzing-forest-blizzards-custom-post-compromise-tool-for-exploiting-cve-2022-38028-to-obtain-credentials
Report completeness: Medium
Actors/Campaigns:
Fancy_bear
Dev-0960
Cadet_blizzard
Ruinous_ursa
Threats:
Gooseegg_tool
Printnightmare_vuln
Victims:
Government organizations, Non-governmental organizations, Education sector organizations, Transportation sector organizations, Media organizations, Information technology organizations, Sports organizations, Educational institutions
Industry:
Transport, Ngo, Energy, Government, Military, Education
Geo:
American, Russian, Ukrainian
CVEs:
CVE-2022-38028 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows server 2008 (r2, -)
- microsoft windows server 2012 (r2, -)
- microsoft windows 10 (1607, -, 1809, 20h2, 21h1, 21h2)
- microsoft windows 8.1 (-)
- microsoft windows server 2016 (-)
have more...
CVE-2023-23397 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft 365 apps (-)
- microsoft office (2019, 2021)
- microsoft outlook (2013, 2016)
CVE-2021-1675 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows server 2008 (r2, -)
- microsoft windows server 2012 (r2, -)
- microsoft windows 10 (1607, -, 1809, 1909, 2004, 20h2, 21h1)
- microsoft windows 8.1 (-)
- microsoft windows server 2016 (-)
have more...
CVE-2021-34527 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows server 2008 (r2, -)
- microsoft windows server 2012 (r2, -)
- microsoft windows 8.1 (-)
- microsoft windows 7 (-)
- microsoft windows rt 8.1 (-)
have more...
ChatGPT TTPs:
T1068, T1552, T1055, T1053, T1106, T1574, T1047
IOCs:
File: 10
Path: 4
Hash: 4
Soft:
Microsoft Defender for Endpoint, Microsoft Defender, Windows Print Spooler, Windows security
Algorithms:
sha256
Win Services:
PrintSpooler
Languages:
javascript
Platforms:
intel
23-04-2024
Analyzing Forest Blizzard s custom post-compromise tool for exploiting CVE-2022-38028 to obtain credentials
https://www.microsoft.com/en-us/security/blog/2024/04/22/analyzing-forest-blizzards-custom-post-compromise-tool-for-exploiting-cve-2022-38028-to-obtain-credentials
Report completeness: Medium
Actors/Campaigns:
Fancy_bear
Dev-0960
Cadet_blizzard
Ruinous_ursa
Threats:
Gooseegg_tool
Printnightmare_vuln
Victims:
Government organizations, Non-governmental organizations, Education sector organizations, Transportation sector organizations, Media organizations, Information technology organizations, Sports organizations, Educational institutions
Industry:
Transport, Ngo, Energy, Government, Military, Education
Geo:
American, Russian, Ukrainian
CVEs:
CVE-2022-38028 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows server 2008 (r2, -)
- microsoft windows server 2012 (r2, -)
- microsoft windows 10 (1607, -, 1809, 20h2, 21h1, 21h2)
- microsoft windows 8.1 (-)
- microsoft windows server 2016 (-)
have more...
CVE-2023-23397 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft 365 apps (-)
- microsoft office (2019, 2021)
- microsoft outlook (2013, 2016)
CVE-2021-1675 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows server 2008 (r2, -)
- microsoft windows server 2012 (r2, -)
- microsoft windows 10 (1607, -, 1809, 1909, 2004, 20h2, 21h1)
- microsoft windows 8.1 (-)
- microsoft windows server 2016 (-)
have more...
CVE-2021-34527 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows server 2008 (r2, -)
- microsoft windows server 2012 (r2, -)
- microsoft windows 8.1 (-)
- microsoft windows 7 (-)
- microsoft windows rt 8.1 (-)
have more...
ChatGPT TTPs:
do not use without manual checkT1068, T1552, T1055, T1053, T1106, T1574, T1047
IOCs:
File: 10
Path: 4
Hash: 4
Soft:
Microsoft Defender for Endpoint, Microsoft Defender, Windows Print Spooler, Windows security
Algorithms:
sha256
Win Services:
PrintSpooler
Languages:
javascript
Platforms:
intel
Microsoft News
Analyzing Forest Blizzard’s custom post-compromise tool for exploiting CVE-2022-38028 to obtain credentials
Analysis of Forrest Blizzard's exploitation of the CVE-2022-38028 vulnerability in Windows Print Spooler that allows elevated permissions.
CTT Report Hub
#ParsedReport #CompletenessMedium 23-04-2024 Analyzing Forest Blizzard s custom post-compromise tool for exploiting CVE-2022-38028 to obtain credentials https://www.microsoft.com/en-us/security/blog/2024/04/22/analyzing-forest-blizzards-custom-post-compromise…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что Microsoft Threat Intelligence обнаружила деятельность базирующейся в России группы злоумышленников Forest Blizzard (STRONTIUM), использующей пользовательский инструмент GooseEgg для использования уязвимости диспетчера очереди печати Windows для кражи учетных данных и проведения посткоммиссионных действий против различных секторов и организаций по всему миру. Группа, связанная с Главным разведывательным управлением Генерального штаба России (ГРУ), занимается сбором разведывательных данных для поддержки внешнеполитических инициатив российского правительства. Microsoft рекомендует использовать обновления для системы безопасности, чтобы смягчить угрозу, исходящую от Forest Blizzard, и предоставляет техническую информацию и рекомендации по защите от подобных уязвимостей.
-----
Компания Microsoft Threat Intelligence раскрыла деятельность базирующегося в России Forest Blizzard (STRONTIUM) и использование им специального инструмента GooseEgg для повышения привилегий и кражи учетных данных в скомпрометированных сетях. Этот инструмент использует уязвимость CVE-2022-38028 в службе диспетчера очереди печати Windows, что позволяет Forest Blizzard после взлома запускать действия против таких целей, как государственные учреждения, образовательные учреждения и транспортные организации в Украине, Западной Европе и Северной Америке. Forest Blizzard, связанная с Главным разведывательным управлением Генерального штаба России (ГРУ), в первую очередь занимается стратегическими разведывательными целями. В отличие от других групп, связанных с ГРУ, занимающихся деструктивными атаками, целью Forest Blizzard является сбор разведывательных данных в поддержку внешнеполитических инициатив российского правительства.
Было замечено, что Forest Blizzard использует GooseEgg для получения расширенного доступа к целевым системам, что позволяет им выполнять команды с разрешениями системного уровня для таких действий, как удаленное выполнение кода, установка бэкдоров и перемещение по скомпрометированным сетям. В то время как российские злоумышленники ранее использовали уязвимости, такие как PrintNightmare, использование GooseEgg в операциях Forest Blizzard - это новое открытие, о котором ранее не сообщалось поставщиками систем безопасности. Корпорация Майкрософт рекомендует организациям установить обновление для системы безопасности CVE-2022-38028 для устранения этой угрозы и предоставляет техническую информацию о GooseEgg, а также рекомендации по защите от уязвимостей диспетчера очереди печати.
Целями Forest Blizzard являются государственные органы, энергетические компании, транспортные компании, неправительственные организации, средства массовой информации, информационные технологии, спортивные организации и образовательные учреждения по всему миру. Группа ведет активную деятельность как минимум с 2010 года, занимаясь сбором разведывательной информации в соответствии с целями внешней политики российского правительства. Компания Forest Blizzard связана с подразделением 26165 ГРУ Российской Федерации и известна под различными названиями, такими как APT28, Sednit, Sofacy и Fancy Bear, в других исследованиях в области безопасности.
Microsoft наблюдала, как Forest Blizzard внедряет GooseEgg с пакетными сценариями, такими как execute.bat и doit.bat, для повышения привилегий и обеспечения постоянства в целевых средах. Двоичный файл GooseEgg с именами файлов, подобными justice.exe и DefragmentSrv.exe, выполняет различные команды сложным образом, чтобы скрыть свою активность. Вредоносные компоненты, такие как wayzgoose.библиотеки dll размещаются в определенных установочных подкаталогах для запуска приложений с разрешениями системного уровня, что позволяет выполнять вредоносные действия, такие как установка бэкдоров и удаленное выполнение кода.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что Microsoft Threat Intelligence обнаружила деятельность базирующейся в России группы злоумышленников Forest Blizzard (STRONTIUM), использующей пользовательский инструмент GooseEgg для использования уязвимости диспетчера очереди печати Windows для кражи учетных данных и проведения посткоммиссионных действий против различных секторов и организаций по всему миру. Группа, связанная с Главным разведывательным управлением Генерального штаба России (ГРУ), занимается сбором разведывательных данных для поддержки внешнеполитических инициатив российского правительства. Microsoft рекомендует использовать обновления для системы безопасности, чтобы смягчить угрозу, исходящую от Forest Blizzard, и предоставляет техническую информацию и рекомендации по защите от подобных уязвимостей.
-----
Компания Microsoft Threat Intelligence раскрыла деятельность базирующегося в России Forest Blizzard (STRONTIUM) и использование им специального инструмента GooseEgg для повышения привилегий и кражи учетных данных в скомпрометированных сетях. Этот инструмент использует уязвимость CVE-2022-38028 в службе диспетчера очереди печати Windows, что позволяет Forest Blizzard после взлома запускать действия против таких целей, как государственные учреждения, образовательные учреждения и транспортные организации в Украине, Западной Европе и Северной Америке. Forest Blizzard, связанная с Главным разведывательным управлением Генерального штаба России (ГРУ), в первую очередь занимается стратегическими разведывательными целями. В отличие от других групп, связанных с ГРУ, занимающихся деструктивными атаками, целью Forest Blizzard является сбор разведывательных данных в поддержку внешнеполитических инициатив российского правительства.
Было замечено, что Forest Blizzard использует GooseEgg для получения расширенного доступа к целевым системам, что позволяет им выполнять команды с разрешениями системного уровня для таких действий, как удаленное выполнение кода, установка бэкдоров и перемещение по скомпрометированным сетям. В то время как российские злоумышленники ранее использовали уязвимости, такие как PrintNightmare, использование GooseEgg в операциях Forest Blizzard - это новое открытие, о котором ранее не сообщалось поставщиками систем безопасности. Корпорация Майкрософт рекомендует организациям установить обновление для системы безопасности CVE-2022-38028 для устранения этой угрозы и предоставляет техническую информацию о GooseEgg, а также рекомендации по защите от уязвимостей диспетчера очереди печати.
Целями Forest Blizzard являются государственные органы, энергетические компании, транспортные компании, неправительственные организации, средства массовой информации, информационные технологии, спортивные организации и образовательные учреждения по всему миру. Группа ведет активную деятельность как минимум с 2010 года, занимаясь сбором разведывательной информации в соответствии с целями внешней политики российского правительства. Компания Forest Blizzard связана с подразделением 26165 ГРУ Российской Федерации и известна под различными названиями, такими как APT28, Sednit, Sofacy и Fancy Bear, в других исследованиях в области безопасности.
Microsoft наблюдала, как Forest Blizzard внедряет GooseEgg с пакетными сценариями, такими как execute.bat и doit.bat, для повышения привилегий и обеспечения постоянства в целевых средах. Двоичный файл GooseEgg с именами файлов, подобными justice.exe и DefragmentSrv.exe, выполняет различные команды сложным образом, чтобы скрыть свою активность. Вредоносные компоненты, такие как wayzgoose.библиотеки dll размещаются в определенных установочных подкаталогах для запуска приложений с разрешениями системного уровня, что позволяет выполнять вредоносные действия, такие как установка бэкдоров и удаленное выполнение кода.
#ParsedReport #CompletenessMedium
23-04-2024
Cisco Talos Blog. Suspected CoralRaider continues to expand victimology using three information stealers
https://blog.talosintelligence.com/suspected-coralraider-continues-to-expand-victimology-using-three-information-stealers
Report completeness: Medium
Actors/Campaigns:
Coralraider
Threats:
Cryptbot_stealer
Lumma_stealer
Rhadamanthys
Rotbot
Uac_bypass_technique
Lolbin_technique
Vmprotect_tool
Process_injection_technique
Victims:
Computer service call center organizations in japan, Civil defense service organizations in syria
Geo:
Japan, Egypt, Syria, Germany, Pakistan, Turkey, Ecuador, Poland, Philippines, Norway, Nigeria
ChatGPT TTPs:
T1566, T1204, T1059, T1547, T1548, T1027, T1140, T1082, T1110, T1571, have more...
IOCs:
Url: 26
Registry: 5
File: 2
Domain: 9
Hash: 35
Soft:
Windows Defender, Component Object Model, Windows Shell, discord
Algorithms:
base64, aes, zip
Languages:
python, powershell, javascript
23-04-2024
Cisco Talos Blog. Suspected CoralRaider continues to expand victimology using three information stealers
https://blog.talosintelligence.com/suspected-coralraider-continues-to-expand-victimology-using-three-information-stealers
Report completeness: Medium
Actors/Campaigns:
Coralraider
Threats:
Cryptbot_stealer
Lumma_stealer
Rhadamanthys
Rotbot
Uac_bypass_technique
Lolbin_technique
Vmprotect_tool
Process_injection_technique
Victims:
Computer service call center organizations in japan, Civil defense service organizations in syria
Geo:
Japan, Egypt, Syria, Germany, Pakistan, Turkey, Ecuador, Poland, Philippines, Norway, Nigeria
ChatGPT TTPs:
do not use without manual checkT1566, T1204, T1059, T1547, T1548, T1027, T1140, T1082, T1110, T1571, have more...
IOCs:
Url: 26
Registry: 5
File: 2
Domain: 9
Hash: 35
Soft:
Windows Defender, Component Object Model, Windows Shell, discord
Algorithms:
base64, aes, zip
Languages:
python, powershell, javascript
Cisco Talos
Suspected CoralRaider continues to expand victimology using three information stealers
Talos also discovered a new PowerShell command-line argument embedded in the LNK file to bypass anti-virus products and download the final payload into the victims’ host.
CTT Report Hub
#ParsedReport #CompletenessMedium 23-04-2024 Cisco Talos Blog. Suspected CoralRaider continues to expand victimology using three information stealers https://blog.talosintelligence.com/suspected-coralraider-continues-to-expand-victimology-using-three-information…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что Cisco Talos обнаружила новую кампанию по борьбе с киберугрозами, проводимую агентом CoralRaider, которая включает в себя распространение трех вариантов вредоносного ПО infostealer и использование различных методов для уклонения от обнаружения, нацеливания на жертв по всему миру и кражи конфиденциальной информации с целью получения финансовой выгоды.
-----
Кампания по борьбе с киберугрозами, инициированная CoralRaider и обнаруженная Cisco Talos, продолжается с февраля 2024 года.
Включает в себя распространение вариантов вредоносного ПО infostealer Cryptbot, LummaC2 и Rhadamanthys.
Использует новый аргумент командной строки PowerShell в файлах LNK для обхода антивирусных продуктов при загрузке полезной нагрузки.
Campaign использует кэш-домен сети доставки контента (CDN) для размещения вредоносных файлов, что расширяет возможности уклонения.
Имеет сходство с кампанией Rotbot, включая векторы атак, инструменты и методы.
Нацелена на жертв в различных странах и организациях, представляющих различные отрасли промышленности и географические точки.
Использует кэш CDN в качестве сервера загрузки, чтобы обмануть сетевых защитников.
Доказательства того, что в кампании используется несколько доменов C2.
Цепочка заражения начинается с того, что жертвы открывают вредоносные файлы быстрого доступа в ZIP-архивах, возможно, с помощью фишинговых электронных писем.
Наблюдались варианты Cryptbot, LummaC2 и Rhadamanthys с обновленными функциями для кражи данных.
Rhadamanthys поставляется с использованием исполняемого загрузчика на Python и демонстрирует эволюционирующую тактику.
Злоумышленник использует методы обфускации, процессы дешифрования и механизмы уклонения, чтобы скомпрометировать целевые системы с целью получения финансовой выгоды.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что Cisco Talos обнаружила новую кампанию по борьбе с киберугрозами, проводимую агентом CoralRaider, которая включает в себя распространение трех вариантов вредоносного ПО infostealer и использование различных методов для уклонения от обнаружения, нацеливания на жертв по всему миру и кражи конфиденциальной информации с целью получения финансовой выгоды.
-----
Кампания по борьбе с киберугрозами, инициированная CoralRaider и обнаруженная Cisco Talos, продолжается с февраля 2024 года.
Включает в себя распространение вариантов вредоносного ПО infostealer Cryptbot, LummaC2 и Rhadamanthys.
Использует новый аргумент командной строки PowerShell в файлах LNK для обхода антивирусных продуктов при загрузке полезной нагрузки.
Campaign использует кэш-домен сети доставки контента (CDN) для размещения вредоносных файлов, что расширяет возможности уклонения.
Имеет сходство с кампанией Rotbot, включая векторы атак, инструменты и методы.
Нацелена на жертв в различных странах и организациях, представляющих различные отрасли промышленности и географические точки.
Использует кэш CDN в качестве сервера загрузки, чтобы обмануть сетевых защитников.
Доказательства того, что в кампании используется несколько доменов C2.
Цепочка заражения начинается с того, что жертвы открывают вредоносные файлы быстрого доступа в ZIP-архивах, возможно, с помощью фишинговых электронных писем.
Наблюдались варианты Cryptbot, LummaC2 и Rhadamanthys с обновленными функциями для кражи данных.
Rhadamanthys поставляется с использованием исполняемого загрузчика на Python и демонстрирует эволюционирующую тактику.
Злоумышленник использует методы обфускации, процессы дешифрования и механизмы уклонения, чтобы скомпрометировать целевые системы с целью получения финансовой выгоды.
#ParsedReport #CompletenessMedium
23-04-2024
Dissecting REMCOS RAT: An in- depth analysis of a widespread 2024 malware, Part One
https://www.elastic.co/security-labs/dissecting-remcos-rat-part-one
Report completeness: Medium
Threats:
Remcos_rat
Process_injection_technique
Uac_bypass_technique
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
T1064, T1486, T1548, T1055, T1112, T1547, T1222, T1485
IOCs:
File: 6
Registry: 5
Path: 1
Soft:
Slack, Internet Explorer, Chrome
Algorithms:
rc4
Functions:
ShellExec
Win API:
CoGetObject, ShellExecuteW, SetThreadContext, ResumeThread, ZwMapViewOfSection, CreateProcessW, GetThreadContext, ZwCreateSection, WriteProcessMemory, FindFirstFileA, have more...
Languages:
python
Platforms:
x86
Links:
23-04-2024
Dissecting REMCOS RAT: An in- depth analysis of a widespread 2024 malware, Part One
https://www.elastic.co/security-labs/dissecting-remcos-rat-part-one
Report completeness: Medium
Threats:
Remcos_rat
Process_injection_technique
Uac_bypass_technique
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1064, T1486, T1548, T1055, T1112, T1547, T1222, T1485
IOCs:
File: 6
Registry: 5
Path: 1
Soft:
Slack, Internet Explorer, Chrome
Algorithms:
rc4
Functions:
ShellExec
Win API:
CoGetObject, ShellExecuteW, SetThreadContext, ResumeThread, ZwMapViewOfSection, CreateProcessW, GetThreadContext, ZwCreateSection, WriteProcessMemory, FindFirstFileA, have more...
Languages:
python
Platforms:
x86
Links:
https://github.com/Rourke101/UACME/blob/8e527b53ffadf5e1490e59d2130e755c1d19f9c7/Source/Akagi/methods/comsup.c#L29https://github.com/Rourke101/UACME/blob/8e527b53ffadf5e1490e59d2130e755c1d19f9c7/Source/Akagi/methods/api0cradle.c#L30www.elastic.co
Dissecting REMCOS RAT: An in-depth analysis of a widespread 2024 malware, Part One — Elastic Security Labs
This malware research article describes the REMCOS implant at a high level, and provides background for future articles in this multipart series.