CTT Report Hub
3.39K subscribers
9.57K photos
6 videos
67 files
13.2K links
Threat Intelligence Report Hub
Download Telegram
#ParsedReport #CompletenessLow
22-04-2024

APT73/ERALEIG NEWS: UNVEILING NEW RANSOMWARE GROUP

https://rakeshkrish.medium.com/apt73-eraleig-news-unveiling-new-ransomware-group-55aec3e873ff

Report completeness: Low

Actors/Campaigns:
Eraleig
Scarcruft
Vice_society

Threats:
Lockbit
Babuk
Mespinoza
Meduza
Trickbot
Mirai

Geo:
Czechia, Norway, Panama, Romania, Korean, Finland

ChatGPT TTPs:
do not use without manual check
T1486, T1583.001, T1566.001, T1027, T1071.001, T1105

IOCs:
File: 1
IP: 1
Hash: 3

Soft:
Telegram, nginx, Ubuntu

Crypto:
bitcoin

Algorithms:
sha256, sha1, md5
CTT Report Hub
#ParsedReport #CompletenessLow 22-04-2024 APT73/ERALEIG NEWS: UNVEILING NEW RANSOMWARE GROUP https://rakeshkrish.medium.com/apt73-eraleig-news-unveiling-new-ransomware-group-55aec3e873ff Report completeness: Low Actors/Campaigns: Eraleig Scarcruft Vice_society…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - предварительный отчет о недавно обнаруженной группе программ-вымогателей под названием APT73, в котором подчеркивается их потенциальная связь или вдохновение с группой программ-вымогателей LockBit, их тактика работы, включая утечку данных с сайта и фишинг, а также попытки скрыть свою личность с помощью различных мер кибербезопасности.
-----

В тексте представлен предварительный отчет о недавно обнаруженной группе программ-вымогателей под названием APT73. Эта группа, в отличие от других, названных исследователями, отнесла себя к категории продвинутых постоянных угроз, за которыми следует ряд других. В отчете подчеркивается, что сайт утечки данных APT73 (DLS) точно отражает сайт группы программ-вымогателей LockBit, что указывает на потенциальную связь или вдохновение со стороны LockBit. Кроме того, в отчете предполагается, что APT73, скорее всего, распространяется посредством фишинга, хотя образцы вредоносного ПО недоступны для дальнейшего анализа.

Одним из ключевых замечаний является то, что DLS APT73 содержит раздел под названием "Зеркала", в котором отсутствуют активные зеркала, что выделяет его как группу любителей по сравнению с более известными участниками угроз, такими как LockBit. Группа назвала свой DLS "ERALEIGNEWS" и, как ожидается, добавит в TOR папку "Files", где информация о жертвах будет храниться в zip-файлах, следуя обычному методу работы групп вымогателей.

APT73 предпринял меры по сокрытию своей личности, в том числе зарегистрировал свой домен с защитой конфиденциальности на Namecheap и использовал реальный IP-адрес, связанный с вредоносной активностью AS9009. Этот номер AS связан с другими группами программ-вымогателей и вредоносными программами, такими как TrickBot и Meduza Stealer. Первоначально APT73 использовали DigiCert для сертификации своего веб-сайта, но недавно обновили его с помощью сертификата Google. Группа присутствует на социальных платформах, но сохраняет это в тайне и не рекламируется публично.

Дальнейшее расследование показало, что APT73 следит за проверенными профилями из Финляндии и южнокорейской музыкальной группы BTS в Twitter. Хотя некоторые аккаунты в социальных сетях, связанные с группой, имеют скандинавские и румынские черты в своих фамилиях, отмечается, что на данный момент невозможно подтвердить их окончательную связь с APT73. Было установлено, что логотип группы, изображающий голову змеи с паучьими лапами, был заимствован из Pixabay, что является обычной практикой среди новых групп вымогателей.
#ParsedReport #CompletenessMedium
23-04-2024

Analyzing Forest Blizzard s custom post-compromise tool for exploiting CVE-2022-38028 to obtain credentials

https://www.microsoft.com/en-us/security/blog/2024/04/22/analyzing-forest-blizzards-custom-post-compromise-tool-for-exploiting-cve-2022-38028-to-obtain-credentials

Report completeness: Medium

Actors/Campaigns:
Fancy_bear
Dev-0960
Cadet_blizzard
Ruinous_ursa

Threats:
Gooseegg_tool
Printnightmare_vuln

Victims:
Government organizations, Non-governmental organizations, Education sector organizations, Transportation sector organizations, Media organizations, Information technology organizations, Sports organizations, Educational institutions

Industry:
Transport, Ngo, Energy, Government, Military, Education

Geo:
American, Russian, Ukrainian

CVEs:
CVE-2022-38028 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows server 2008 (r2, -)
- microsoft windows server 2012 (r2, -)
- microsoft windows 10 (1607, -, 1809, 20h2, 21h1, 21h2)
- microsoft windows 8.1 (-)
- microsoft windows server 2016 (-)
have more...
CVE-2023-23397 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft 365 apps (-)
- microsoft office (2019, 2021)
- microsoft outlook (2013, 2016)

CVE-2021-1675 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows server 2008 (r2, -)
- microsoft windows server 2012 (r2, -)
- microsoft windows 10 (1607, -, 1809, 1909, 2004, 20h2, 21h1)
- microsoft windows 8.1 (-)
- microsoft windows server 2016 (-)
have more...
CVE-2021-34527 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows server 2008 (r2, -)
- microsoft windows server 2012 (r2, -)
- microsoft windows 8.1 (-)
- microsoft windows 7 (-)
- microsoft windows rt 8.1 (-)
have more...

ChatGPT TTPs:
do not use without manual check
T1068, T1552, T1055, T1053, T1106, T1574, T1047

IOCs:
File: 10
Path: 4
Hash: 4

Soft:
Microsoft Defender for Endpoint, Microsoft Defender, Windows Print Spooler, Windows security

Algorithms:
sha256

Win Services:
PrintSpooler

Languages:
javascript

Platforms:
intel
CTT Report Hub
#ParsedReport #CompletenessMedium 23-04-2024 Analyzing Forest Blizzard s custom post-compromise tool for exploiting CVE-2022-38028 to obtain credentials https://www.microsoft.com/en-us/security/blog/2024/04/22/analyzing-forest-blizzards-custom-post-compromise…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Microsoft Threat Intelligence обнаружила деятельность базирующейся в России группы злоумышленников Forest Blizzard (STRONTIUM), использующей пользовательский инструмент GooseEgg для использования уязвимости диспетчера очереди печати Windows для кражи учетных данных и проведения посткоммиссионных действий против различных секторов и организаций по всему миру. Группа, связанная с Главным разведывательным управлением Генерального штаба России (ГРУ), занимается сбором разведывательных данных для поддержки внешнеполитических инициатив российского правительства. Microsoft рекомендует использовать обновления для системы безопасности, чтобы смягчить угрозу, исходящую от Forest Blizzard, и предоставляет техническую информацию и рекомендации по защите от подобных уязвимостей.
-----

Компания Microsoft Threat Intelligence раскрыла деятельность базирующегося в России Forest Blizzard (STRONTIUM) и использование им специального инструмента GooseEgg для повышения привилегий и кражи учетных данных в скомпрометированных сетях. Этот инструмент использует уязвимость CVE-2022-38028 в службе диспетчера очереди печати Windows, что позволяет Forest Blizzard после взлома запускать действия против таких целей, как государственные учреждения, образовательные учреждения и транспортные организации в Украине, Западной Европе и Северной Америке. Forest Blizzard, связанная с Главным разведывательным управлением Генерального штаба России (ГРУ), в первую очередь занимается стратегическими разведывательными целями. В отличие от других групп, связанных с ГРУ, занимающихся деструктивными атаками, целью Forest Blizzard является сбор разведывательных данных в поддержку внешнеполитических инициатив российского правительства.

Было замечено, что Forest Blizzard использует GooseEgg для получения расширенного доступа к целевым системам, что позволяет им выполнять команды с разрешениями системного уровня для таких действий, как удаленное выполнение кода, установка бэкдоров и перемещение по скомпрометированным сетям. В то время как российские злоумышленники ранее использовали уязвимости, такие как PrintNightmare, использование GooseEgg в операциях Forest Blizzard - это новое открытие, о котором ранее не сообщалось поставщиками систем безопасности. Корпорация Майкрософт рекомендует организациям установить обновление для системы безопасности CVE-2022-38028 для устранения этой угрозы и предоставляет техническую информацию о GooseEgg, а также рекомендации по защите от уязвимостей диспетчера очереди печати.

Целями Forest Blizzard являются государственные органы, энергетические компании, транспортные компании, неправительственные организации, средства массовой информации, информационные технологии, спортивные организации и образовательные учреждения по всему миру. Группа ведет активную деятельность как минимум с 2010 года, занимаясь сбором разведывательной информации в соответствии с целями внешней политики российского правительства. Компания Forest Blizzard связана с подразделением 26165 ГРУ Российской Федерации и известна под различными названиями, такими как APT28, Sednit, Sofacy и Fancy Bear, в других исследованиях в области безопасности.

Microsoft наблюдала, как Forest Blizzard внедряет GooseEgg с пакетными сценариями, такими как execute.bat и doit.bat, для повышения привилегий и обеспечения постоянства в целевых средах. Двоичный файл GooseEgg с именами файлов, подобными justice.exe и DefragmentSrv.exe, выполняет различные команды сложным образом, чтобы скрыть свою активность. Вредоносные компоненты, такие как wayzgoose.библиотеки dll размещаются в определенных установочных подкаталогах для запуска приложений с разрешениями системного уровня, что позволяет выполнять вредоносные действия, такие как установка бэкдоров и удаленное выполнение кода.
#ParsedReport #CompletenessMedium
23-04-2024

Cisco Talos Blog. Suspected CoralRaider continues to expand victimology using three information stealers

https://blog.talosintelligence.com/suspected-coralraider-continues-to-expand-victimology-using-three-information-stealers

Report completeness: Medium

Actors/Campaigns:
Coralraider

Threats:
Cryptbot_stealer
Lumma_stealer
Rhadamanthys
Rotbot
Uac_bypass_technique
Lolbin_technique
Vmprotect_tool
Process_injection_technique

Victims:
Computer service call center organizations in japan, Civil defense service organizations in syria

Geo:
Japan, Egypt, Syria, Germany, Pakistan, Turkey, Ecuador, Poland, Philippines, Norway, Nigeria

ChatGPT TTPs:
do not use without manual check
T1566, T1204, T1059, T1547, T1548, T1027, T1140, T1082, T1110, T1571, have more...

IOCs:
Url: 26
Registry: 5
File: 2
Domain: 9
Hash: 35

Soft:
Windows Defender, Component Object Model, Windows Shell, discord

Algorithms:
base64, aes, zip

Languages:
python, powershell, javascript
CTT Report Hub
#ParsedReport #CompletenessMedium 23-04-2024 Cisco Talos Blog. Suspected CoralRaider continues to expand victimology using three information stealers https://blog.talosintelligence.com/suspected-coralraider-continues-to-expand-victimology-using-three-information…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Cisco Talos обнаружила новую кампанию по борьбе с киберугрозами, проводимую агентом CoralRaider, которая включает в себя распространение трех вариантов вредоносного ПО infostealer и использование различных методов для уклонения от обнаружения, нацеливания на жертв по всему миру и кражи конфиденциальной информации с целью получения финансовой выгоды.
-----

Кампания по борьбе с киберугрозами, инициированная CoralRaider и обнаруженная Cisco Talos, продолжается с февраля 2024 года.

Включает в себя распространение вариантов вредоносного ПО infostealer Cryptbot, LummaC2 и Rhadamanthys.

Использует новый аргумент командной строки PowerShell в файлах LNK для обхода антивирусных продуктов при загрузке полезной нагрузки.

Campaign использует кэш-домен сети доставки контента (CDN) для размещения вредоносных файлов, что расширяет возможности уклонения.

Имеет сходство с кампанией Rotbot, включая векторы атак, инструменты и методы.

Нацелена на жертв в различных странах и организациях, представляющих различные отрасли промышленности и географические точки.

Использует кэш CDN в качестве сервера загрузки, чтобы обмануть сетевых защитников.

Доказательства того, что в кампании используется несколько доменов C2.

Цепочка заражения начинается с того, что жертвы открывают вредоносные файлы быстрого доступа в ZIP-архивах, возможно, с помощью фишинговых электронных писем.

Наблюдались варианты Cryptbot, LummaC2 и Rhadamanthys с обновленными функциями для кражи данных.

Rhadamanthys поставляется с использованием исполняемого загрузчика на Python и демонстрирует эволюционирующую тактику.

Злоумышленник использует методы обфускации, процессы дешифрования и механизмы уклонения, чтобы скомпрометировать целевые системы с целью получения финансовой выгоды.
#ParsedReport #CompletenessMedium
23-04-2024

Dissecting REMCOS RAT: An in- depth analysis of a widespread 2024 malware, Part One

https://www.elastic.co/security-labs/dissecting-remcos-rat-part-one

Report completeness: Medium

Threats:
Remcos_rat
Process_injection_technique
Uac_bypass_technique

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1064, T1486, T1548, T1055, T1112, T1547, T1222, T1485

IOCs:
File: 6
Registry: 5
Path: 1

Soft:
Slack, Internet Explorer, Chrome

Algorithms:
rc4

Functions:
ShellExec

Win API:
CoGetObject, ShellExecuteW, SetThreadContext, ResumeThread, ZwMapViewOfSection, CreateProcessW, GetThreadContext, ZwCreateSection, WriteProcessMemory, FindFirstFileA, have more...

Languages:
python

Platforms:
x86

Links:
https://github.com/Rourke101/UACME/blob/8e527b53ffadf5e1490e59d2130e755c1d19f9c7/Source/Akagi/methods/comsup.c#L29
https://github.com/Rourke101/UACME/blob/8e527b53ffadf5e1490e59d2130e755c1d19f9c7/Source/Akagi/methods/api0cradle.c#L30
CTT Report Hub
#ParsedReport #CompletenessMedium 23-04-2024 Dissecting REMCOS RAT: An in- depth analysis of a widespread 2024 malware, Part One https://www.elastic.co/security-labs/dissecting-remcos-rat-part-one Report completeness: Medium Threats: Remcos_rat Proces…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В статье приводится подробный обзор вредоносной программы REMCOS, в частности, описывается процесс ее инициализации, возможности и воздействие, проливается свет на источник угрозы и конкретные функциональные возможности, которые она предлагает, такие как методы обхода, повышение привилегий, внедрение процессов и возможности записи.
-----

В статье подробно рассматриваются особенности вредоносной программы REMCOS, в частности, процедура ее инициализации. REMCOS - это серьезная угроза, разработанная компанией Breaking-Security изначально как инструмент red teaming, но позже подхваченная различными злоумышленниками, нацеленными на разные сектора. Анализируемая версия - REMCOS 4.9.3 Pro, которая была распространена на момент проведения анализа. Вредоносная программа написана на C++ и предлагает множество функций, таких как методы обхода, повышение привилегий, внедрение процессов и возможности записи.

Конфигурация REMCOS хранится в зашифрованном двоичном файле в ресурсе с именем SETTINGS. Вредоносная программа загружает эту зашифрованную конфигурацию и расшифровывает ее с помощью алгоритма RC4. В зависимости от конфигурации REMCOS может попытаться обойти контроль учетных записей, отключив контроль учетных записей в реестре, установившись на хост-компьютере, установив постоянство и внедрившись в процессы, чтобы избежать обнаружения.

Если включен обход контроля учетных записей, REMCOS использует технологию на основе COM для повышения своих привилегий. Она маскирует свой процесс, изменяя структуру PEB перед выполнением эксплойта обхода. Если контроль учетных записей отключен в конфигурации, REMCOS изменяет реестр, чтобы обеспечить отключение контроля учетных записей. Когда установка включена, REMCOS копирует себя в указанный каталог и может скрывать свои файлы, чтобы избежать обнаружения. После установки он сохраняет постоянство в реестре и перезапускается самостоятельно.

Внедрение процессов - это еще одна функция REMCOS, которая позволяет внедрять себя в определенные процессы, чтобы избежать обнаружения. Для этого используются методы ZwMapViewOfSection, SetThreadContext и ResumeThread. Вредоносная программа регистрирует различную информацию в зависимости от выбранных режимов ведения журнала в конфигурации.

Кроме того, REMCOS может очистить веб-браузеры на зараженном хостинге, удалив файлы cookie и регистрационную информацию. Эта функция направлена на повышение безопасности системы от кражи паролей. Операцию очистки можно настроить так, чтобы она выполнялась только при первом запуске REMCOS, а параметр времени ожидания определяет задержку перед выполнением задания очистки.

Статья заканчивается кратким описанием функций, описанных в первой части серии. Ожидается, что во второй части будет рассмотрен оставшийся процесс выполнения REMCOS, начиная с его сторожевого таймера и заканчивая первоначальным взаимодействием с сервером управления.
#cyberthreattech #inseca #ctimeetup

20 апреля в Москве состоялся первый CTI meetup, который совместно организовали Инсека и Технологии киберугроз.

CTI meetup в цифрах:
-собрали 50+ специалистов ИБ из более чем 30 организаций
-с докладами выступили 7 топовых экспертов отрасли
-5 часов концентрированной пользы по теме CTI

Презентации и записи выступлений будут опубликованы позднее.

Спасибо всем, кто был с нами на митапе, обещаем повторить!🔥

Чтобы попасть на следующую встречу добавляйтесь в лист ожидания. Хотите стать спикером на мероприятии? Напишите @insecatech о вас и теме вашего выступления, мы с вами обязательно свяжемся!
🔥3
#cyberthreattech
Краткий срез по тому, что у нас появилось нового:

1. Для OpenCTI 6.х коннекторы в официальной репе:
Threat Feed (IoC)
Report Hub (TI-отчеты)
Noise Control (очистка любых фидов)

2. В фиде добавили еще источников с проксями (теперь 26 источника, что дает порядка 25К проксей в день)

3. Добавили пачку из 300 наиболее популярных torrent tracker-ов. Мы отслеживаем IP их доменов и поддоменов. Они доступны со score = 40 и тегом torrent.
👍2
#ParsedReport #CompletenessMedium
24-04-2024

Case of spreading malware by linking to an illegal gambling advertising site targeting domestic web servers

https://asec.ahnlab.com/ko/64558

Report completeness: Medium

Threats:
Meterpreter_tool
Procdump_tool
Htran
Mimikatz_tool
Trojan/win.generic.c5408521
Trojan/win.backdoor.c578523

Geo:
Chinese

ChatGPT TTPs:
do not use without manual check
T1190, T1106, T1547, T1003, T1021, T1193, T1133, T1562, T1071

IOCs:
IP: 2
Url: 4
File: 2
Path: 2
Hash: 2

Soft:
ASP.NET, curl, sogou, coccoc

Algorithms:
md5

Languages:
powershell

Platforms:
x64, x86