CTT Report Hub
#ParsedReport #CompletenessMedium 23-04-2024 Analyzing Forest Blizzard s custom post-compromise tool for exploiting CVE-2022-38028 to obtain credentials https://www.microsoft.com/en-us/security/blog/2024/04/22/analyzing-forest-blizzards-custom-post-compromise…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что Microsoft Threat Intelligence обнаружила деятельность базирующейся в России группы злоумышленников Forest Blizzard (STRONTIUM), использующей пользовательский инструмент GooseEgg для использования уязвимости диспетчера очереди печати Windows для кражи учетных данных и проведения посткоммиссионных действий против различных секторов и организаций по всему миру. Группа, связанная с Главным разведывательным управлением Генерального штаба России (ГРУ), занимается сбором разведывательных данных для поддержки внешнеполитических инициатив российского правительства. Microsoft рекомендует использовать обновления для системы безопасности, чтобы смягчить угрозу, исходящую от Forest Blizzard, и предоставляет техническую информацию и рекомендации по защите от подобных уязвимостей.
-----
Компания Microsoft Threat Intelligence раскрыла деятельность базирующегося в России Forest Blizzard (STRONTIUM) и использование им специального инструмента GooseEgg для повышения привилегий и кражи учетных данных в скомпрометированных сетях. Этот инструмент использует уязвимость CVE-2022-38028 в службе диспетчера очереди печати Windows, что позволяет Forest Blizzard после взлома запускать действия против таких целей, как государственные учреждения, образовательные учреждения и транспортные организации в Украине, Западной Европе и Северной Америке. Forest Blizzard, связанная с Главным разведывательным управлением Генерального штаба России (ГРУ), в первую очередь занимается стратегическими разведывательными целями. В отличие от других групп, связанных с ГРУ, занимающихся деструктивными атаками, целью Forest Blizzard является сбор разведывательных данных в поддержку внешнеполитических инициатив российского правительства.
Было замечено, что Forest Blizzard использует GooseEgg для получения расширенного доступа к целевым системам, что позволяет им выполнять команды с разрешениями системного уровня для таких действий, как удаленное выполнение кода, установка бэкдоров и перемещение по скомпрометированным сетям. В то время как российские злоумышленники ранее использовали уязвимости, такие как PrintNightmare, использование GooseEgg в операциях Forest Blizzard - это новое открытие, о котором ранее не сообщалось поставщиками систем безопасности. Корпорация Майкрософт рекомендует организациям установить обновление для системы безопасности CVE-2022-38028 для устранения этой угрозы и предоставляет техническую информацию о GooseEgg, а также рекомендации по защите от уязвимостей диспетчера очереди печати.
Целями Forest Blizzard являются государственные органы, энергетические компании, транспортные компании, неправительственные организации, средства массовой информации, информационные технологии, спортивные организации и образовательные учреждения по всему миру. Группа ведет активную деятельность как минимум с 2010 года, занимаясь сбором разведывательной информации в соответствии с целями внешней политики российского правительства. Компания Forest Blizzard связана с подразделением 26165 ГРУ Российской Федерации и известна под различными названиями, такими как APT28, Sednit, Sofacy и Fancy Bear, в других исследованиях в области безопасности.
Microsoft наблюдала, как Forest Blizzard внедряет GooseEgg с пакетными сценариями, такими как execute.bat и doit.bat, для повышения привилегий и обеспечения постоянства в целевых средах. Двоичный файл GooseEgg с именами файлов, подобными justice.exe и DefragmentSrv.exe, выполняет различные команды сложным образом, чтобы скрыть свою активность. Вредоносные компоненты, такие как wayzgoose.библиотеки dll размещаются в определенных установочных подкаталогах для запуска приложений с разрешениями системного уровня, что позволяет выполнять вредоносные действия, такие как установка бэкдоров и удаленное выполнение кода.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что Microsoft Threat Intelligence обнаружила деятельность базирующейся в России группы злоумышленников Forest Blizzard (STRONTIUM), использующей пользовательский инструмент GooseEgg для использования уязвимости диспетчера очереди печати Windows для кражи учетных данных и проведения посткоммиссионных действий против различных секторов и организаций по всему миру. Группа, связанная с Главным разведывательным управлением Генерального штаба России (ГРУ), занимается сбором разведывательных данных для поддержки внешнеполитических инициатив российского правительства. Microsoft рекомендует использовать обновления для системы безопасности, чтобы смягчить угрозу, исходящую от Forest Blizzard, и предоставляет техническую информацию и рекомендации по защите от подобных уязвимостей.
-----
Компания Microsoft Threat Intelligence раскрыла деятельность базирующегося в России Forest Blizzard (STRONTIUM) и использование им специального инструмента GooseEgg для повышения привилегий и кражи учетных данных в скомпрометированных сетях. Этот инструмент использует уязвимость CVE-2022-38028 в службе диспетчера очереди печати Windows, что позволяет Forest Blizzard после взлома запускать действия против таких целей, как государственные учреждения, образовательные учреждения и транспортные организации в Украине, Западной Европе и Северной Америке. Forest Blizzard, связанная с Главным разведывательным управлением Генерального штаба России (ГРУ), в первую очередь занимается стратегическими разведывательными целями. В отличие от других групп, связанных с ГРУ, занимающихся деструктивными атаками, целью Forest Blizzard является сбор разведывательных данных в поддержку внешнеполитических инициатив российского правительства.
Было замечено, что Forest Blizzard использует GooseEgg для получения расширенного доступа к целевым системам, что позволяет им выполнять команды с разрешениями системного уровня для таких действий, как удаленное выполнение кода, установка бэкдоров и перемещение по скомпрометированным сетям. В то время как российские злоумышленники ранее использовали уязвимости, такие как PrintNightmare, использование GooseEgg в операциях Forest Blizzard - это новое открытие, о котором ранее не сообщалось поставщиками систем безопасности. Корпорация Майкрософт рекомендует организациям установить обновление для системы безопасности CVE-2022-38028 для устранения этой угрозы и предоставляет техническую информацию о GooseEgg, а также рекомендации по защите от уязвимостей диспетчера очереди печати.
Целями Forest Blizzard являются государственные органы, энергетические компании, транспортные компании, неправительственные организации, средства массовой информации, информационные технологии, спортивные организации и образовательные учреждения по всему миру. Группа ведет активную деятельность как минимум с 2010 года, занимаясь сбором разведывательной информации в соответствии с целями внешней политики российского правительства. Компания Forest Blizzard связана с подразделением 26165 ГРУ Российской Федерации и известна под различными названиями, такими как APT28, Sednit, Sofacy и Fancy Bear, в других исследованиях в области безопасности.
Microsoft наблюдала, как Forest Blizzard внедряет GooseEgg с пакетными сценариями, такими как execute.bat и doit.bat, для повышения привилегий и обеспечения постоянства в целевых средах. Двоичный файл GooseEgg с именами файлов, подобными justice.exe и DefragmentSrv.exe, выполняет различные команды сложным образом, чтобы скрыть свою активность. Вредоносные компоненты, такие как wayzgoose.библиотеки dll размещаются в определенных установочных подкаталогах для запуска приложений с разрешениями системного уровня, что позволяет выполнять вредоносные действия, такие как установка бэкдоров и удаленное выполнение кода.
#ParsedReport #CompletenessMedium
23-04-2024
Cisco Talos Blog. Suspected CoralRaider continues to expand victimology using three information stealers
https://blog.talosintelligence.com/suspected-coralraider-continues-to-expand-victimology-using-three-information-stealers
Report completeness: Medium
Actors/Campaigns:
Coralraider
Threats:
Cryptbot_stealer
Lumma_stealer
Rhadamanthys
Rotbot
Uac_bypass_technique
Lolbin_technique
Vmprotect_tool
Process_injection_technique
Victims:
Computer service call center organizations in japan, Civil defense service organizations in syria
Geo:
Japan, Egypt, Syria, Germany, Pakistan, Turkey, Ecuador, Poland, Philippines, Norway, Nigeria
ChatGPT TTPs:
T1566, T1204, T1059, T1547, T1548, T1027, T1140, T1082, T1110, T1571, have more...
IOCs:
Url: 26
Registry: 5
File: 2
Domain: 9
Hash: 35
Soft:
Windows Defender, Component Object Model, Windows Shell, discord
Algorithms:
base64, aes, zip
Languages:
python, powershell, javascript
23-04-2024
Cisco Talos Blog. Suspected CoralRaider continues to expand victimology using three information stealers
https://blog.talosintelligence.com/suspected-coralraider-continues-to-expand-victimology-using-three-information-stealers
Report completeness: Medium
Actors/Campaigns:
Coralraider
Threats:
Cryptbot_stealer
Lumma_stealer
Rhadamanthys
Rotbot
Uac_bypass_technique
Lolbin_technique
Vmprotect_tool
Process_injection_technique
Victims:
Computer service call center organizations in japan, Civil defense service organizations in syria
Geo:
Japan, Egypt, Syria, Germany, Pakistan, Turkey, Ecuador, Poland, Philippines, Norway, Nigeria
ChatGPT TTPs:
do not use without manual checkT1566, T1204, T1059, T1547, T1548, T1027, T1140, T1082, T1110, T1571, have more...
IOCs:
Url: 26
Registry: 5
File: 2
Domain: 9
Hash: 35
Soft:
Windows Defender, Component Object Model, Windows Shell, discord
Algorithms:
base64, aes, zip
Languages:
python, powershell, javascript
Cisco Talos
Suspected CoralRaider continues to expand victimology using three information stealers
Talos also discovered a new PowerShell command-line argument embedded in the LNK file to bypass anti-virus products and download the final payload into the victims’ host.
CTT Report Hub
#ParsedReport #CompletenessMedium 23-04-2024 Cisco Talos Blog. Suspected CoralRaider continues to expand victimology using three information stealers https://blog.talosintelligence.com/suspected-coralraider-continues-to-expand-victimology-using-three-information…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что Cisco Talos обнаружила новую кампанию по борьбе с киберугрозами, проводимую агентом CoralRaider, которая включает в себя распространение трех вариантов вредоносного ПО infostealer и использование различных методов для уклонения от обнаружения, нацеливания на жертв по всему миру и кражи конфиденциальной информации с целью получения финансовой выгоды.
-----
Кампания по борьбе с киберугрозами, инициированная CoralRaider и обнаруженная Cisco Talos, продолжается с февраля 2024 года.
Включает в себя распространение вариантов вредоносного ПО infostealer Cryptbot, LummaC2 и Rhadamanthys.
Использует новый аргумент командной строки PowerShell в файлах LNK для обхода антивирусных продуктов при загрузке полезной нагрузки.
Campaign использует кэш-домен сети доставки контента (CDN) для размещения вредоносных файлов, что расширяет возможности уклонения.
Имеет сходство с кампанией Rotbot, включая векторы атак, инструменты и методы.
Нацелена на жертв в различных странах и организациях, представляющих различные отрасли промышленности и географические точки.
Использует кэш CDN в качестве сервера загрузки, чтобы обмануть сетевых защитников.
Доказательства того, что в кампании используется несколько доменов C2.
Цепочка заражения начинается с того, что жертвы открывают вредоносные файлы быстрого доступа в ZIP-архивах, возможно, с помощью фишинговых электронных писем.
Наблюдались варианты Cryptbot, LummaC2 и Rhadamanthys с обновленными функциями для кражи данных.
Rhadamanthys поставляется с использованием исполняемого загрузчика на Python и демонстрирует эволюционирующую тактику.
Злоумышленник использует методы обфускации, процессы дешифрования и механизмы уклонения, чтобы скомпрометировать целевые системы с целью получения финансовой выгоды.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что Cisco Talos обнаружила новую кампанию по борьбе с киберугрозами, проводимую агентом CoralRaider, которая включает в себя распространение трех вариантов вредоносного ПО infostealer и использование различных методов для уклонения от обнаружения, нацеливания на жертв по всему миру и кражи конфиденциальной информации с целью получения финансовой выгоды.
-----
Кампания по борьбе с киберугрозами, инициированная CoralRaider и обнаруженная Cisco Talos, продолжается с февраля 2024 года.
Включает в себя распространение вариантов вредоносного ПО infostealer Cryptbot, LummaC2 и Rhadamanthys.
Использует новый аргумент командной строки PowerShell в файлах LNK для обхода антивирусных продуктов при загрузке полезной нагрузки.
Campaign использует кэш-домен сети доставки контента (CDN) для размещения вредоносных файлов, что расширяет возможности уклонения.
Имеет сходство с кампанией Rotbot, включая векторы атак, инструменты и методы.
Нацелена на жертв в различных странах и организациях, представляющих различные отрасли промышленности и географические точки.
Использует кэш CDN в качестве сервера загрузки, чтобы обмануть сетевых защитников.
Доказательства того, что в кампании используется несколько доменов C2.
Цепочка заражения начинается с того, что жертвы открывают вредоносные файлы быстрого доступа в ZIP-архивах, возможно, с помощью фишинговых электронных писем.
Наблюдались варианты Cryptbot, LummaC2 и Rhadamanthys с обновленными функциями для кражи данных.
Rhadamanthys поставляется с использованием исполняемого загрузчика на Python и демонстрирует эволюционирующую тактику.
Злоумышленник использует методы обфускации, процессы дешифрования и механизмы уклонения, чтобы скомпрометировать целевые системы с целью получения финансовой выгоды.
#ParsedReport #CompletenessMedium
23-04-2024
Dissecting REMCOS RAT: An in- depth analysis of a widespread 2024 malware, Part One
https://www.elastic.co/security-labs/dissecting-remcos-rat-part-one
Report completeness: Medium
Threats:
Remcos_rat
Process_injection_technique
Uac_bypass_technique
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
T1064, T1486, T1548, T1055, T1112, T1547, T1222, T1485
IOCs:
File: 6
Registry: 5
Path: 1
Soft:
Slack, Internet Explorer, Chrome
Algorithms:
rc4
Functions:
ShellExec
Win API:
CoGetObject, ShellExecuteW, SetThreadContext, ResumeThread, ZwMapViewOfSection, CreateProcessW, GetThreadContext, ZwCreateSection, WriteProcessMemory, FindFirstFileA, have more...
Languages:
python
Platforms:
x86
Links:
23-04-2024
Dissecting REMCOS RAT: An in- depth analysis of a widespread 2024 malware, Part One
https://www.elastic.co/security-labs/dissecting-remcos-rat-part-one
Report completeness: Medium
Threats:
Remcos_rat
Process_injection_technique
Uac_bypass_technique
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1064, T1486, T1548, T1055, T1112, T1547, T1222, T1485
IOCs:
File: 6
Registry: 5
Path: 1
Soft:
Slack, Internet Explorer, Chrome
Algorithms:
rc4
Functions:
ShellExec
Win API:
CoGetObject, ShellExecuteW, SetThreadContext, ResumeThread, ZwMapViewOfSection, CreateProcessW, GetThreadContext, ZwCreateSection, WriteProcessMemory, FindFirstFileA, have more...
Languages:
python
Platforms:
x86
Links:
https://github.com/Rourke101/UACME/blob/8e527b53ffadf5e1490e59d2130e755c1d19f9c7/Source/Akagi/methods/comsup.c#L29https://github.com/Rourke101/UACME/blob/8e527b53ffadf5e1490e59d2130e755c1d19f9c7/Source/Akagi/methods/api0cradle.c#L30www.elastic.co
Dissecting REMCOS RAT: An in-depth analysis of a widespread 2024 malware, Part One — Elastic Security Labs
This malware research article describes the REMCOS implant at a high level, and provides background for future articles in this multipart series.
CTT Report Hub
#ParsedReport #CompletenessMedium 23-04-2024 Dissecting REMCOS RAT: An in- depth analysis of a widespread 2024 malware, Part One https://www.elastic.co/security-labs/dissecting-remcos-rat-part-one Report completeness: Medium Threats: Remcos_rat Proces…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В статье приводится подробный обзор вредоносной программы REMCOS, в частности, описывается процесс ее инициализации, возможности и воздействие, проливается свет на источник угрозы и конкретные функциональные возможности, которые она предлагает, такие как методы обхода, повышение привилегий, внедрение процессов и возможности записи.
-----
В статье подробно рассматриваются особенности вредоносной программы REMCOS, в частности, процедура ее инициализации. REMCOS - это серьезная угроза, разработанная компанией Breaking-Security изначально как инструмент red teaming, но позже подхваченная различными злоумышленниками, нацеленными на разные сектора. Анализируемая версия - REMCOS 4.9.3 Pro, которая была распространена на момент проведения анализа. Вредоносная программа написана на C++ и предлагает множество функций, таких как методы обхода, повышение привилегий, внедрение процессов и возможности записи.
Конфигурация REMCOS хранится в зашифрованном двоичном файле в ресурсе с именем SETTINGS. Вредоносная программа загружает эту зашифрованную конфигурацию и расшифровывает ее с помощью алгоритма RC4. В зависимости от конфигурации REMCOS может попытаться обойти контроль учетных записей, отключив контроль учетных записей в реестре, установившись на хост-компьютере, установив постоянство и внедрившись в процессы, чтобы избежать обнаружения.
Если включен обход контроля учетных записей, REMCOS использует технологию на основе COM для повышения своих привилегий. Она маскирует свой процесс, изменяя структуру PEB перед выполнением эксплойта обхода. Если контроль учетных записей отключен в конфигурации, REMCOS изменяет реестр, чтобы обеспечить отключение контроля учетных записей. Когда установка включена, REMCOS копирует себя в указанный каталог и может скрывать свои файлы, чтобы избежать обнаружения. После установки он сохраняет постоянство в реестре и перезапускается самостоятельно.
Внедрение процессов - это еще одна функция REMCOS, которая позволяет внедрять себя в определенные процессы, чтобы избежать обнаружения. Для этого используются методы ZwMapViewOfSection, SetThreadContext и ResumeThread. Вредоносная программа регистрирует различную информацию в зависимости от выбранных режимов ведения журнала в конфигурации.
Кроме того, REMCOS может очистить веб-браузеры на зараженном хостинге, удалив файлы cookie и регистрационную информацию. Эта функция направлена на повышение безопасности системы от кражи паролей. Операцию очистки можно настроить так, чтобы она выполнялась только при первом запуске REMCOS, а параметр времени ожидания определяет задержку перед выполнением задания очистки.
Статья заканчивается кратким описанием функций, описанных в первой части серии. Ожидается, что во второй части будет рассмотрен оставшийся процесс выполнения REMCOS, начиная с его сторожевого таймера и заканчивая первоначальным взаимодействием с сервером управления.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В статье приводится подробный обзор вредоносной программы REMCOS, в частности, описывается процесс ее инициализации, возможности и воздействие, проливается свет на источник угрозы и конкретные функциональные возможности, которые она предлагает, такие как методы обхода, повышение привилегий, внедрение процессов и возможности записи.
-----
В статье подробно рассматриваются особенности вредоносной программы REMCOS, в частности, процедура ее инициализации. REMCOS - это серьезная угроза, разработанная компанией Breaking-Security изначально как инструмент red teaming, но позже подхваченная различными злоумышленниками, нацеленными на разные сектора. Анализируемая версия - REMCOS 4.9.3 Pro, которая была распространена на момент проведения анализа. Вредоносная программа написана на C++ и предлагает множество функций, таких как методы обхода, повышение привилегий, внедрение процессов и возможности записи.
Конфигурация REMCOS хранится в зашифрованном двоичном файле в ресурсе с именем SETTINGS. Вредоносная программа загружает эту зашифрованную конфигурацию и расшифровывает ее с помощью алгоритма RC4. В зависимости от конфигурации REMCOS может попытаться обойти контроль учетных записей, отключив контроль учетных записей в реестре, установившись на хост-компьютере, установив постоянство и внедрившись в процессы, чтобы избежать обнаружения.
Если включен обход контроля учетных записей, REMCOS использует технологию на основе COM для повышения своих привилегий. Она маскирует свой процесс, изменяя структуру PEB перед выполнением эксплойта обхода. Если контроль учетных записей отключен в конфигурации, REMCOS изменяет реестр, чтобы обеспечить отключение контроля учетных записей. Когда установка включена, REMCOS копирует себя в указанный каталог и может скрывать свои файлы, чтобы избежать обнаружения. После установки он сохраняет постоянство в реестре и перезапускается самостоятельно.
Внедрение процессов - это еще одна функция REMCOS, которая позволяет внедрять себя в определенные процессы, чтобы избежать обнаружения. Для этого используются методы ZwMapViewOfSection, SetThreadContext и ResumeThread. Вредоносная программа регистрирует различную информацию в зависимости от выбранных режимов ведения журнала в конфигурации.
Кроме того, REMCOS может очистить веб-браузеры на зараженном хостинге, удалив файлы cookie и регистрационную информацию. Эта функция направлена на повышение безопасности системы от кражи паролей. Операцию очистки можно настроить так, чтобы она выполнялась только при первом запуске REMCOS, а параметр времени ожидания определяет задержку перед выполнением задания очистки.
Статья заканчивается кратким описанием функций, описанных в первой части серии. Ожидается, что во второй части будет рассмотрен оставшийся процесс выполнения REMCOS, начиная с его сторожевого таймера и заканчивая первоначальным взаимодействием с сервером управления.
#cyberthreattech #inseca #ctimeetup
20 апреля в Москве состоялся первый CTI meetup, который совместно организовали Инсека и Технологии киберугроз.
CTI meetup в цифрах:
-собрали 50+ специалистов ИБ из более чем 30 организаций
-с докладами выступили 7 топовых экспертов отрасли
-5 часов концентрированной пользы по теме CTI
Презентации и записи выступлений будут опубликованы позднее.
Спасибо всем, кто был с нами на митапе, обещаем повторить!🔥
Чтобы попасть на следующую встречу добавляйтесь в лист ожидания. Хотите стать спикером на мероприятии? Напишите @insecatech о вас и теме вашего выступления, мы с вами обязательно свяжемся!
20 апреля в Москве состоялся первый CTI meetup, который совместно организовали Инсека и Технологии киберугроз.
CTI meetup в цифрах:
-собрали 50+ специалистов ИБ из более чем 30 организаций
-с докладами выступили 7 топовых экспертов отрасли
-5 часов концентрированной пользы по теме CTI
Презентации и записи выступлений будут опубликованы позднее.
Спасибо всем, кто был с нами на митапе, обещаем повторить!🔥
Чтобы попасть на следующую встречу добавляйтесь в лист ожидания. Хотите стать спикером на мероприятии? Напишите @insecatech о вас и теме вашего выступления, мы с вами обязательно свяжемся!
🔥3
#cyberthreattech
Краткий срез по тому, что у нас появилось нового:
1. Для OpenCTI 6.х коннекторы в официальной репе:
Threat Feed (IoC)
Report Hub (TI-отчеты)
Noise Control (очистка любых фидов)
2. В фиде добавили еще источников с проксями (теперь 26 источника, что дает порядка 25К проксей в день)
3. Добавили пачку из 300 наиболее популярных torrent tracker-ов. Мы отслеживаем IP их доменов и поддоменов. Они доступны со score = 40 и тегом torrent.
Краткий срез по тому, что у нас появилось нового:
1. Для OpenCTI 6.х коннекторы в официальной репе:
Threat Feed (IoC)
Report Hub (TI-отчеты)
Noise Control (очистка любых фидов)
2. В фиде добавили еще источников с проксями (теперь 26 источника, что дает порядка 25К проксей в день)
3. Добавили пачку из 300 наиболее популярных torrent tracker-ов. Мы отслеживаем IP их доменов и поддоменов. Они доступны со score = 40 и тегом torrent.
GitHub
connectors/external-import/rst-threat-feed at master · OpenCTI-Platform/connectors
OpenCTI Connectors. Contribute to OpenCTI-Platform/connectors development by creating an account on GitHub.
👍2
#ParsedReport #CompletenessMedium
24-04-2024
Case of spreading malware by linking to an illegal gambling advertising site targeting domestic web servers
https://asec.ahnlab.com/ko/64558
Report completeness: Medium
Threats:
Meterpreter_tool
Procdump_tool
Htran
Mimikatz_tool
Trojan/win.generic.c5408521
Trojan/win.backdoor.c578523
Geo:
Chinese
ChatGPT TTPs:
T1190, T1106, T1547, T1003, T1021, T1193, T1133, T1562, T1071
IOCs:
IP: 2
Url: 4
File: 2
Path: 2
Hash: 2
Soft:
ASP.NET, curl, sogou, coccoc
Algorithms:
md5
Languages:
powershell
Platforms:
x64, x86
24-04-2024
Case of spreading malware by linking to an illegal gambling advertising site targeting domestic web servers
https://asec.ahnlab.com/ko/64558
Report completeness: Medium
Threats:
Meterpreter_tool
Procdump_tool
Htran
Mimikatz_tool
Trojan/win.generic.c5408521
Trojan/win.backdoor.c578523
Geo:
Chinese
ChatGPT TTPs:
do not use without manual checkT1190, T1106, T1547, T1003, T1021, T1193, T1133, T1562, T1071
IOCs:
IP: 2
Url: 4
File: 2
Path: 2
Hash: 2
Soft:
ASP.NET, curl, sogou, coccoc
Algorithms:
md5
Languages:
powershell
Platforms:
x64, x86
ASEC
국내 웹 서버 대상 불법 도박 광고 사이트 연결 악성코드 유포 사례
AhnLab SEcurity intelligence Center(ASEC)은 국내 웹 서버 대상으로 불법 도박 광고 사이트 연결을 유도하는 악성코드 유포 정황을 확인하였다. 공격자는 부적절하게 관리되고 있는 국내의 윈도우 IIS(Internet Information Services) 웹 서버 최초 침투 이후 미터프리터 백도어, 포트 포워딩 도구, II…
CTT Report Hub
#ParsedReport #CompletenessMedium 24-04-2024 Case of spreading malware by linking to an illegal gambling advertising site targeting domestic web servers https://asec.ahnlab.com/ko/64558 Report completeness: Medium Threats: Meterpreter_tool Procdump_tool…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что аналитический центр безопасности AhnLab (ASEC) выявил вредоносное ПО, распространяемое на плохо управляемых веб-серверах Windows Internet Information Services (IIS), что в конечном итоге направляет пользователей на сайты с незаконной рекламой азартных игр. Атака включает в себя множество вредоносных инструментов и тактик, включая разведку сети, бэкдоры, переадресацию портов и манипулирование информацией в заголовке HTTP для отображения незаконного контента. Это подчеркивает важность принятия надлежащих мер безопасности, постоянного мониторинга и своевременного внесения исправлений для защиты от киберугроз.
-----
Аналитический центр безопасности AhnLab (ASEC) подтвердил распространение вредоносного ПО, которое подключается к сайтам, рекламирующим незаконные азартные игры, и нацелено на внутренние веб-серверы. Атака начинается с проникновения на плохо управляемые веб-серверы Windows Internet Information Services (IIS), где злоумышленник устанавливает различные вредоносные инструменты, включая бэкдор meterpreter, утилиту переадресации портов и вредоносное ПО модуля IIS, а также крадет учетные данные сервера с помощью ProcDump.
Вредоносная программа IIS module предназначена для отслеживания строк HTTP-заголовка зараженного веб-сервера и изменения значений ответов при определенных условиях, что приводит к отображению рекламы нелегальных игорных сайтов как на отечественных, так и на китайских поисковых порталах. Заманивая пользователей кликать по этим объявлениям, вредоносная программа приводит их к подключению к нелегальным сайтам азартных игр.
Перед развертыванием вредоносного ПО IIS module злоумышленник проводит разведку сети с помощью таких утилит, как ipconfig и systeminfo, для сбора информации о целевом сервере. Бэкдор meterpreter устанавливается путем указания IP-адреса злоумышленника и номера порта, что позволяет осуществлять удаленную связь и выполнять шелл-код на скомпрометированном сервере.
После установки бэкдора meterpreter злоумышленник использует инструмент переадресации портов HTran с помощью процесса w3wp.exe. HTran обеспечивает переадресацию данных с одного порта на другой и обычно используется для удаленной связи через порт RDP. Кроме того, злоумышленник создает учетную запись бэкдора с помощью команды net, чтобы обеспечить постоянный доступ к скомпрометированной системе, позволяя удаленный доступ, даже если исходные учетные данные сервера неизвестны.
Разработка вредоносного ПО IIS module предполагает внедрение вредоносного кода в определенные обработчики на веб-сервере IIS. Манипулируя значениями ответов на основе информации заголовка HTTP, вредоносное ПО может идентифицировать запросы поисковой системы и отображать незаконный контент, связанный с азартными играми, вместо законных веб-страниц. Эта тактика расширяет охват нелегальных игорных сайтов, заставляя поисковые системы их индексировать.
Кроме того, злоумышленник использует Procdump для извлечения учетных данных, сбрасывая данные из памяти процесса lsass.exe, что потенциально облегчает перемещение на другие подключенные серверы. График атаки показывает быстрый захват веб-сервера - от первоначального доступа до обеспечения сохраняемости и выполнения вредоносных задач менее чем за два часа.
Атака подчеркивает важность надлежащих мер безопасности для веб-серверов, а также необходимость постоянного мониторинга активов, подверженных потенциальным угрозам. Злоумышленники используют плохо управляемые системы для проведения сложных атак, подчеркивая важность своевременного внесения исправлений и обнаружения вредоносных действий для защиты от киберугроз.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что аналитический центр безопасности AhnLab (ASEC) выявил вредоносное ПО, распространяемое на плохо управляемых веб-серверах Windows Internet Information Services (IIS), что в конечном итоге направляет пользователей на сайты с незаконной рекламой азартных игр. Атака включает в себя множество вредоносных инструментов и тактик, включая разведку сети, бэкдоры, переадресацию портов и манипулирование информацией в заголовке HTTP для отображения незаконного контента. Это подчеркивает важность принятия надлежащих мер безопасности, постоянного мониторинга и своевременного внесения исправлений для защиты от киберугроз.
-----
Аналитический центр безопасности AhnLab (ASEC) подтвердил распространение вредоносного ПО, которое подключается к сайтам, рекламирующим незаконные азартные игры, и нацелено на внутренние веб-серверы. Атака начинается с проникновения на плохо управляемые веб-серверы Windows Internet Information Services (IIS), где злоумышленник устанавливает различные вредоносные инструменты, включая бэкдор meterpreter, утилиту переадресации портов и вредоносное ПО модуля IIS, а также крадет учетные данные сервера с помощью ProcDump.
Вредоносная программа IIS module предназначена для отслеживания строк HTTP-заголовка зараженного веб-сервера и изменения значений ответов при определенных условиях, что приводит к отображению рекламы нелегальных игорных сайтов как на отечественных, так и на китайских поисковых порталах. Заманивая пользователей кликать по этим объявлениям, вредоносная программа приводит их к подключению к нелегальным сайтам азартных игр.
Перед развертыванием вредоносного ПО IIS module злоумышленник проводит разведку сети с помощью таких утилит, как ipconfig и systeminfo, для сбора информации о целевом сервере. Бэкдор meterpreter устанавливается путем указания IP-адреса злоумышленника и номера порта, что позволяет осуществлять удаленную связь и выполнять шелл-код на скомпрометированном сервере.
После установки бэкдора meterpreter злоумышленник использует инструмент переадресации портов HTran с помощью процесса w3wp.exe. HTran обеспечивает переадресацию данных с одного порта на другой и обычно используется для удаленной связи через порт RDP. Кроме того, злоумышленник создает учетную запись бэкдора с помощью команды net, чтобы обеспечить постоянный доступ к скомпрометированной системе, позволяя удаленный доступ, даже если исходные учетные данные сервера неизвестны.
Разработка вредоносного ПО IIS module предполагает внедрение вредоносного кода в определенные обработчики на веб-сервере IIS. Манипулируя значениями ответов на основе информации заголовка HTTP, вредоносное ПО может идентифицировать запросы поисковой системы и отображать незаконный контент, связанный с азартными играми, вместо законных веб-страниц. Эта тактика расширяет охват нелегальных игорных сайтов, заставляя поисковые системы их индексировать.
Кроме того, злоумышленник использует Procdump для извлечения учетных данных, сбрасывая данные из памяти процесса lsass.exe, что потенциально облегчает перемещение на другие подключенные серверы. График атаки показывает быстрый захват веб-сервера - от первоначального доступа до обеспечения сохраняемости и выполнения вредоносных задач менее чем за два часа.
Атака подчеркивает важность надлежащих мер безопасности для веб-серверов, а также необходимость постоянного мониторинга активов, подверженных потенциальным угрозам. Злоумышленники используют плохо управляемые системы для проведения сложных атак, подчеркивая важность своевременного внесения исправлений и обнаружения вредоносных действий для защиты от киберугроз.
#ParsedReport #CompletenessMedium
24-04-2024
Securonix Threat Research Security Advisory: Analysis of Ongoing FROZEN#SHADOW Attack Campaign Leveraging SSLoad Malware and RMM Software for Domain Takeover
https://www.securonix.com/blog/securonix-threat-research-security-advisory-frozenshadow-attack-campaign
Report completeness: Medium
Actors/Campaigns:
Frozen_shadow (motivation: information_theft)
Threats:
Ssload
Cobalt_strike
Screenconnect_tool
Sloader
Ssloader
Bazarbackdoor
Trickbot
Nltest_tool
Connectwise_rat
Powerview
Geo:
Asia, Americas
TTPs:
Tactics: 6
Technics: 18
IOCs:
Domain: 17
File: 6
Path: 3
Url: 5
Command: 2
IP: 4
Hash: 53
Soft:
slack, Windows Powershell
Win Services:
BITS
Languages:
javascript, powershell
Platforms:
intel
Links:
24-04-2024
Securonix Threat Research Security Advisory: Analysis of Ongoing FROZEN#SHADOW Attack Campaign Leveraging SSLoad Malware and RMM Software for Domain Takeover
https://www.securonix.com/blog/securonix-threat-research-security-advisory-frozenshadow-attack-campaign
Report completeness: Medium
Actors/Campaigns:
Frozen_shadow (motivation: information_theft)
Threats:
Ssload
Cobalt_strike
Screenconnect_tool
Sloader
Ssloader
Bazarbackdoor
Trickbot
Nltest_tool
Connectwise_rat
Powerview
Geo:
Asia, Americas
TTPs:
Tactics: 6
Technics: 18
IOCs:
Domain: 17
File: 6
Path: 3
Url: 5
Command: 2
IP: 4
Hash: 53
Soft:
slack, Windows Powershell
Win Services:
BITS
Languages:
javascript, powershell
Platforms:
intel
Links:
https://github.com/xx0hcd/Malleable-C2-Profiles/blob/master/template.profilehttps://github.com/executemalware/Malware-IOCs/blob/main/2024-04-17%20SSLoad%20IOCshttps://github.com/PaloAltoNetworks/Unit42-timely-threat-intel/blob/main/2024-04-15-IOC-for-Contact-Forms-campaign-SSLoad-activity.txtSecuronix
Securonix Threat Research Security Advisory: Analysis of Ongoing FROZEN#SHADOW Attack Campaign Leveraging SSLoad Malware and RMM…
The Securonix Threat Research team (STR) observed an interesting attack campaign dubbed FROZEN#SHADOW which leveraged SSLoad malware and Cobalt Strike implants resulting in the attackers being able to pivot and take over the entire network domain. Read more.
CTT Report Hub
#ParsedReport #CompletenessMedium 24-04-2024 Securonix Threat Research Security Advisory: Analysis of Ongoing FROZEN#SHADOW Attack Campaign Leveraging SSLoad Malware and RMM Software for Domain Takeover https://www.securonix.com/blog/securonix-threat-research…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что команда исследователей угроз Securonix обнаружила сложную кампанию атак под названием FROZEN#SHADOW, в ходе которой злоумышленники использовали вредоносное ПО SSLoad и импланты Cobalt Strike для проникновения в сетевые домены и контроля над ними в нескольких регионах. Злоумышленники использовали фишинговые электронные письма с вредоносными файлами JavaScript и MSI-файлами для развертывания вредоносного ПО, в конечном итоге получив доступ к критически важным серверам и поставив под угрозу кибербезопасность организации.
-----
Команда исследователей угроз Securonix обнаружила сложную кампанию атак, известную как кампания FROZEN#SHADOW, в ходе которой злоумышленники использовали вредоносное ПО SSLoad вместе с имплантатами Cobalt Strike для проникновения в целые сетевые домены и контроля над ними. SSLoad - это скрытая вредоносная программа, предназначенная для проникновения в системы, сбора конфиденциальных данных и предоставления отчетов своим операторам. В отличие от более старой версии SLoader, SSLoad - относительно новая вредоносная программа, которая обычно распространяется с помощью фишинговых кампаний по электронной почте. Жертвы этой кампании были обнаружены в Азии, Европе и Северной и Южной Америке с помощью фишинговых электронных писем, содержащих ссылку, перенаправляющую на файл JavaScript, что привело к дальнейшим стадиям заражения.
Файл JavaScript, о котором идет речь, out_czlrh.js использовал методы обфускации, чтобы избежать обнаружения антивирусом. Он содержал обширные блоки комментариев, разделяющие строки кода, что затрудняло анализ. После удаления этих комментариев размер файла значительно уменьшился, что продемонстрировало продуманную стратегию обхода. Кроме того, в кампании использовался файл MSI (slack.msi), похожий на BazarBackdoor, часто связанный с бандой TrickBot, которая печально известна тем, что внедряет программы-вымогатели и крадет данные.
После запуска вредоносная программа связывалась с определенными доменами для загрузки основной полезной нагрузки SSLoad и инициировала отправку маячков на предопределенные серверы управления (C2). Она собирала системные и пользовательские данные, выполняла системные команды и передавала их злоумышленникам. Позже были выпущены ручные команды для управления серверной средой и подготовки к дальнейшим вредоносным действиям, таким как развертывание маяка Cobalt Strike для связи C2.
Злоумышленники закрепились, разместив маяки Cobalt Strike по всей сети, используя зашифрованный трафик через порт 443. Они установили программное обеспечение ScreenConnect RMM на хостах-жертвах для поддержания контроля и выполнения команд для перечисления систем и загрузки программного обеспечения. Несмотря на законное использование, ScreenConnect может быть перепрофилирован для вредоносных действий, позволяя злоумышленникам выполнять такие задачи, как совместное использование экрана, утечка данных, боковое перемещение и развертывание дополнительных вредоносных программ.
С помощью Cobalt Strike beacon злоумышленники получили учетные данные администратора домена, предоставив им доступ к критически важным серверам, включая контроллер домена, SQL server и почтовый сервер. Используя ScreenConnect для подсчета сетевых данных и извлечения учетных данных, злоумышленники добились постоянства, полностью скомпрометировали домен и создали вредоносную учетную запись администратора домена. Такой уровень доступа позволял им перемещаться по сети и повышать свои привилегии, что создавало серьезную угрозу кибербезопасности организации.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что команда исследователей угроз Securonix обнаружила сложную кампанию атак под названием FROZEN#SHADOW, в ходе которой злоумышленники использовали вредоносное ПО SSLoad и импланты Cobalt Strike для проникновения в сетевые домены и контроля над ними в нескольких регионах. Злоумышленники использовали фишинговые электронные письма с вредоносными файлами JavaScript и MSI-файлами для развертывания вредоносного ПО, в конечном итоге получив доступ к критически важным серверам и поставив под угрозу кибербезопасность организации.
-----
Команда исследователей угроз Securonix обнаружила сложную кампанию атак, известную как кампания FROZEN#SHADOW, в ходе которой злоумышленники использовали вредоносное ПО SSLoad вместе с имплантатами Cobalt Strike для проникновения в целые сетевые домены и контроля над ними. SSLoad - это скрытая вредоносная программа, предназначенная для проникновения в системы, сбора конфиденциальных данных и предоставления отчетов своим операторам. В отличие от более старой версии SLoader, SSLoad - относительно новая вредоносная программа, которая обычно распространяется с помощью фишинговых кампаний по электронной почте. Жертвы этой кампании были обнаружены в Азии, Европе и Северной и Южной Америке с помощью фишинговых электронных писем, содержащих ссылку, перенаправляющую на файл JavaScript, что привело к дальнейшим стадиям заражения.
Файл JavaScript, о котором идет речь, out_czlrh.js использовал методы обфускации, чтобы избежать обнаружения антивирусом. Он содержал обширные блоки комментариев, разделяющие строки кода, что затрудняло анализ. После удаления этих комментариев размер файла значительно уменьшился, что продемонстрировало продуманную стратегию обхода. Кроме того, в кампании использовался файл MSI (slack.msi), похожий на BazarBackdoor, часто связанный с бандой TrickBot, которая печально известна тем, что внедряет программы-вымогатели и крадет данные.
После запуска вредоносная программа связывалась с определенными доменами для загрузки основной полезной нагрузки SSLoad и инициировала отправку маячков на предопределенные серверы управления (C2). Она собирала системные и пользовательские данные, выполняла системные команды и передавала их злоумышленникам. Позже были выпущены ручные команды для управления серверной средой и подготовки к дальнейшим вредоносным действиям, таким как развертывание маяка Cobalt Strike для связи C2.
Злоумышленники закрепились, разместив маяки Cobalt Strike по всей сети, используя зашифрованный трафик через порт 443. Они установили программное обеспечение ScreenConnect RMM на хостах-жертвах для поддержания контроля и выполнения команд для перечисления систем и загрузки программного обеспечения. Несмотря на законное использование, ScreenConnect может быть перепрофилирован для вредоносных действий, позволяя злоумышленникам выполнять такие задачи, как совместное использование экрана, утечка данных, боковое перемещение и развертывание дополнительных вредоносных программ.
С помощью Cobalt Strike beacon злоумышленники получили учетные данные администратора домена, предоставив им доступ к критически важным серверам, включая контроллер домена, SQL server и почтовый сервер. Используя ScreenConnect для подсчета сетевых данных и извлечения учетных данных, злоумышленники добились постоянства, полностью скомпрометировали домен и создали вредоносную учетную запись администратора домена. Такой уровень доступа позволял им перемещаться по сети и повышать свои привилегии, что создавало серьезную угрозу кибербезопасности организации.
👍1