CTT Report Hub
3.39K subscribers
9.57K photos
6 videos
67 files
13.2K links
Threat Intelligence Report Hub
Download Telegram
#ParsedReport #CompletenessMedium
23-04-2024

Dissecting REMCOS RAT: An in- depth analysis of a widespread 2024 malware, Part One

https://www.elastic.co/security-labs/dissecting-remcos-rat-part-one

Report completeness: Medium

Threats:
Remcos_rat
Process_injection_technique
Uac_bypass_technique

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1064, T1486, T1548, T1055, T1112, T1547, T1222, T1485

IOCs:
File: 6
Registry: 5
Path: 1

Soft:
Slack, Internet Explorer, Chrome

Algorithms:
rc4

Functions:
ShellExec

Win API:
CoGetObject, ShellExecuteW, SetThreadContext, ResumeThread, ZwMapViewOfSection, CreateProcessW, GetThreadContext, ZwCreateSection, WriteProcessMemory, FindFirstFileA, have more...

Languages:
python

Platforms:
x86

Links:
https://github.com/Rourke101/UACME/blob/8e527b53ffadf5e1490e59d2130e755c1d19f9c7/Source/Akagi/methods/comsup.c#L29
https://github.com/Rourke101/UACME/blob/8e527b53ffadf5e1490e59d2130e755c1d19f9c7/Source/Akagi/methods/api0cradle.c#L30
CTT Report Hub
#ParsedReport #CompletenessMedium 23-04-2024 Dissecting REMCOS RAT: An in- depth analysis of a widespread 2024 malware, Part One https://www.elastic.co/security-labs/dissecting-remcos-rat-part-one Report completeness: Medium Threats: Remcos_rat Proces…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В статье приводится подробный обзор вредоносной программы REMCOS, в частности, описывается процесс ее инициализации, возможности и воздействие, проливается свет на источник угрозы и конкретные функциональные возможности, которые она предлагает, такие как методы обхода, повышение привилегий, внедрение процессов и возможности записи.
-----

В статье подробно рассматриваются особенности вредоносной программы REMCOS, в частности, процедура ее инициализации. REMCOS - это серьезная угроза, разработанная компанией Breaking-Security изначально как инструмент red teaming, но позже подхваченная различными злоумышленниками, нацеленными на разные сектора. Анализируемая версия - REMCOS 4.9.3 Pro, которая была распространена на момент проведения анализа. Вредоносная программа написана на C++ и предлагает множество функций, таких как методы обхода, повышение привилегий, внедрение процессов и возможности записи.

Конфигурация REMCOS хранится в зашифрованном двоичном файле в ресурсе с именем SETTINGS. Вредоносная программа загружает эту зашифрованную конфигурацию и расшифровывает ее с помощью алгоритма RC4. В зависимости от конфигурации REMCOS может попытаться обойти контроль учетных записей, отключив контроль учетных записей в реестре, установившись на хост-компьютере, установив постоянство и внедрившись в процессы, чтобы избежать обнаружения.

Если включен обход контроля учетных записей, REMCOS использует технологию на основе COM для повышения своих привилегий. Она маскирует свой процесс, изменяя структуру PEB перед выполнением эксплойта обхода. Если контроль учетных записей отключен в конфигурации, REMCOS изменяет реестр, чтобы обеспечить отключение контроля учетных записей. Когда установка включена, REMCOS копирует себя в указанный каталог и может скрывать свои файлы, чтобы избежать обнаружения. После установки он сохраняет постоянство в реестре и перезапускается самостоятельно.

Внедрение процессов - это еще одна функция REMCOS, которая позволяет внедрять себя в определенные процессы, чтобы избежать обнаружения. Для этого используются методы ZwMapViewOfSection, SetThreadContext и ResumeThread. Вредоносная программа регистрирует различную информацию в зависимости от выбранных режимов ведения журнала в конфигурации.

Кроме того, REMCOS может очистить веб-браузеры на зараженном хостинге, удалив файлы cookie и регистрационную информацию. Эта функция направлена на повышение безопасности системы от кражи паролей. Операцию очистки можно настроить так, чтобы она выполнялась только при первом запуске REMCOS, а параметр времени ожидания определяет задержку перед выполнением задания очистки.

Статья заканчивается кратким описанием функций, описанных в первой части серии. Ожидается, что во второй части будет рассмотрен оставшийся процесс выполнения REMCOS, начиная с его сторожевого таймера и заканчивая первоначальным взаимодействием с сервером управления.
#cyberthreattech #inseca #ctimeetup

20 апреля в Москве состоялся первый CTI meetup, который совместно организовали Инсека и Технологии киберугроз.

CTI meetup в цифрах:
-собрали 50+ специалистов ИБ из более чем 30 организаций
-с докладами выступили 7 топовых экспертов отрасли
-5 часов концентрированной пользы по теме CTI

Презентации и записи выступлений будут опубликованы позднее.

Спасибо всем, кто был с нами на митапе, обещаем повторить!🔥

Чтобы попасть на следующую встречу добавляйтесь в лист ожидания. Хотите стать спикером на мероприятии? Напишите @insecatech о вас и теме вашего выступления, мы с вами обязательно свяжемся!
🔥3
#cyberthreattech
Краткий срез по тому, что у нас появилось нового:

1. Для OpenCTI 6.х коннекторы в официальной репе:
Threat Feed (IoC)
Report Hub (TI-отчеты)
Noise Control (очистка любых фидов)

2. В фиде добавили еще источников с проксями (теперь 26 источника, что дает порядка 25К проксей в день)

3. Добавили пачку из 300 наиболее популярных torrent tracker-ов. Мы отслеживаем IP их доменов и поддоменов. Они доступны со score = 40 и тегом torrent.
👍2
#ParsedReport #CompletenessMedium
24-04-2024

Case of spreading malware by linking to an illegal gambling advertising site targeting domestic web servers

https://asec.ahnlab.com/ko/64558

Report completeness: Medium

Threats:
Meterpreter_tool
Procdump_tool
Htran
Mimikatz_tool
Trojan/win.generic.c5408521
Trojan/win.backdoor.c578523

Geo:
Chinese

ChatGPT TTPs:
do not use without manual check
T1190, T1106, T1547, T1003, T1021, T1193, T1133, T1562, T1071

IOCs:
IP: 2
Url: 4
File: 2
Path: 2
Hash: 2

Soft:
ASP.NET, curl, sogou, coccoc

Algorithms:
md5

Languages:
powershell

Platforms:
x64, x86
CTT Report Hub
#ParsedReport #CompletenessMedium 24-04-2024 Case of spreading malware by linking to an illegal gambling advertising site targeting domestic web servers https://asec.ahnlab.com/ko/64558 Report completeness: Medium Threats: Meterpreter_tool Procdump_tool…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что аналитический центр безопасности AhnLab (ASEC) выявил вредоносное ПО, распространяемое на плохо управляемых веб-серверах Windows Internet Information Services (IIS), что в конечном итоге направляет пользователей на сайты с незаконной рекламой азартных игр. Атака включает в себя множество вредоносных инструментов и тактик, включая разведку сети, бэкдоры, переадресацию портов и манипулирование информацией в заголовке HTTP для отображения незаконного контента. Это подчеркивает важность принятия надлежащих мер безопасности, постоянного мониторинга и своевременного внесения исправлений для защиты от киберугроз.
-----

Аналитический центр безопасности AhnLab (ASEC) подтвердил распространение вредоносного ПО, которое подключается к сайтам, рекламирующим незаконные азартные игры, и нацелено на внутренние веб-серверы. Атака начинается с проникновения на плохо управляемые веб-серверы Windows Internet Information Services (IIS), где злоумышленник устанавливает различные вредоносные инструменты, включая бэкдор meterpreter, утилиту переадресации портов и вредоносное ПО модуля IIS, а также крадет учетные данные сервера с помощью ProcDump.

Вредоносная программа IIS module предназначена для отслеживания строк HTTP-заголовка зараженного веб-сервера и изменения значений ответов при определенных условиях, что приводит к отображению рекламы нелегальных игорных сайтов как на отечественных, так и на китайских поисковых порталах. Заманивая пользователей кликать по этим объявлениям, вредоносная программа приводит их к подключению к нелегальным сайтам азартных игр.

Перед развертыванием вредоносного ПО IIS module злоумышленник проводит разведку сети с помощью таких утилит, как ipconfig и systeminfo, для сбора информации о целевом сервере. Бэкдор meterpreter устанавливается путем указания IP-адреса злоумышленника и номера порта, что позволяет осуществлять удаленную связь и выполнять шелл-код на скомпрометированном сервере.

После установки бэкдора meterpreter злоумышленник использует инструмент переадресации портов HTran с помощью процесса w3wp.exe. HTran обеспечивает переадресацию данных с одного порта на другой и обычно используется для удаленной связи через порт RDP. Кроме того, злоумышленник создает учетную запись бэкдора с помощью команды net, чтобы обеспечить постоянный доступ к скомпрометированной системе, позволяя удаленный доступ, даже если исходные учетные данные сервера неизвестны.

Разработка вредоносного ПО IIS module предполагает внедрение вредоносного кода в определенные обработчики на веб-сервере IIS. Манипулируя значениями ответов на основе информации заголовка HTTP, вредоносное ПО может идентифицировать запросы поисковой системы и отображать незаконный контент, связанный с азартными играми, вместо законных веб-страниц. Эта тактика расширяет охват нелегальных игорных сайтов, заставляя поисковые системы их индексировать.

Кроме того, злоумышленник использует Procdump для извлечения учетных данных, сбрасывая данные из памяти процесса lsass.exe, что потенциально облегчает перемещение на другие подключенные серверы. График атаки показывает быстрый захват веб-сервера - от первоначального доступа до обеспечения сохраняемости и выполнения вредоносных задач менее чем за два часа.

Атака подчеркивает важность надлежащих мер безопасности для веб-серверов, а также необходимость постоянного мониторинга активов, подверженных потенциальным угрозам. Злоумышленники используют плохо управляемые системы для проведения сложных атак, подчеркивая важность своевременного внесения исправлений и обнаружения вредоносных действий для защиты от киберугроз.
#ParsedReport #CompletenessMedium
24-04-2024

Securonix Threat Research Security Advisory: Analysis of Ongoing FROZEN#SHADOW Attack Campaign Leveraging SSLoad Malware and RMM Software for Domain Takeover

https://www.securonix.com/blog/securonix-threat-research-security-advisory-frozenshadow-attack-campaign

Report completeness: Medium

Actors/Campaigns:
Frozen_shadow (motivation: information_theft)

Threats:
Ssload
Cobalt_strike
Screenconnect_tool
Sloader
Ssloader
Bazarbackdoor
Trickbot
Nltest_tool
Connectwise_rat
Powerview

Geo:
Asia, Americas

TTPs:
Tactics: 6
Technics: 18

IOCs:
Domain: 17
File: 6
Path: 3
Url: 5
Command: 2
IP: 4
Hash: 53

Soft:
slack, Windows Powershell

Win Services:
BITS

Languages:
javascript, powershell

Platforms:
intel

Links:
https://github.com/xx0hcd/Malleable-C2-Profiles/blob/master/template.profile
https://github.com/executemalware/Malware-IOCs/blob/main/2024-04-17%20SSLoad%20IOCs
https://github.com/PaloAltoNetworks/Unit42-timely-threat-intel/blob/main/2024-04-15-IOC-for-Contact-Forms-campaign-SSLoad-activity.txt
CTT Report Hub
#ParsedReport #CompletenessMedium 24-04-2024 Securonix Threat Research Security Advisory: Analysis of Ongoing FROZEN#SHADOW Attack Campaign Leveraging SSLoad Malware and RMM Software for Domain Takeover https://www.securonix.com/blog/securonix-threat-research…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что команда исследователей угроз Securonix обнаружила сложную кампанию атак под названием FROZEN#SHADOW, в ходе которой злоумышленники использовали вредоносное ПО SSLoad и импланты Cobalt Strike для проникновения в сетевые домены и контроля над ними в нескольких регионах. Злоумышленники использовали фишинговые электронные письма с вредоносными файлами JavaScript и MSI-файлами для развертывания вредоносного ПО, в конечном итоге получив доступ к критически важным серверам и поставив под угрозу кибербезопасность организации.
-----

Команда исследователей угроз Securonix обнаружила сложную кампанию атак, известную как кампания FROZEN#SHADOW, в ходе которой злоумышленники использовали вредоносное ПО SSLoad вместе с имплантатами Cobalt Strike для проникновения в целые сетевые домены и контроля над ними. SSLoad - это скрытая вредоносная программа, предназначенная для проникновения в системы, сбора конфиденциальных данных и предоставления отчетов своим операторам. В отличие от более старой версии SLoader, SSLoad - относительно новая вредоносная программа, которая обычно распространяется с помощью фишинговых кампаний по электронной почте. Жертвы этой кампании были обнаружены в Азии, Европе и Северной и Южной Америке с помощью фишинговых электронных писем, содержащих ссылку, перенаправляющую на файл JavaScript, что привело к дальнейшим стадиям заражения.

Файл JavaScript, о котором идет речь, out_czlrh.js использовал методы обфускации, чтобы избежать обнаружения антивирусом. Он содержал обширные блоки комментариев, разделяющие строки кода, что затрудняло анализ. После удаления этих комментариев размер файла значительно уменьшился, что продемонстрировало продуманную стратегию обхода. Кроме того, в кампании использовался файл MSI (slack.msi), похожий на BazarBackdoor, часто связанный с бандой TrickBot, которая печально известна тем, что внедряет программы-вымогатели и крадет данные.

После запуска вредоносная программа связывалась с определенными доменами для загрузки основной полезной нагрузки SSLoad и инициировала отправку маячков на предопределенные серверы управления (C2). Она собирала системные и пользовательские данные, выполняла системные команды и передавала их злоумышленникам. Позже были выпущены ручные команды для управления серверной средой и подготовки к дальнейшим вредоносным действиям, таким как развертывание маяка Cobalt Strike для связи C2.

Злоумышленники закрепились, разместив маяки Cobalt Strike по всей сети, используя зашифрованный трафик через порт 443. Они установили программное обеспечение ScreenConnect RMM на хостах-жертвах для поддержания контроля и выполнения команд для перечисления систем и загрузки программного обеспечения. Несмотря на законное использование, ScreenConnect может быть перепрофилирован для вредоносных действий, позволяя злоумышленникам выполнять такие задачи, как совместное использование экрана, утечка данных, боковое перемещение и развертывание дополнительных вредоносных программ.

С помощью Cobalt Strike beacon злоумышленники получили учетные данные администратора домена, предоставив им доступ к критически важным серверам, включая контроллер домена, SQL server и почтовый сервер. Используя ScreenConnect для подсчета сетевых данных и извлечения учетных данных, злоумышленники добились постоянства, полностью скомпрометировали домен и создали вредоносную учетную запись администратора домена. Такой уровень доступа позволял им перемещаться по сети и повышать свои привилегии, что создавало серьезную угрозу кибербезопасности организации.
👍1
#ParsedReport #CompletenessLow
24-04-2024

Ransomware Evolution \| How Cheated Affiliates Are Recycling Victim Data for Profit

https://www.sentinelone.com/blog/ransomware-evolution-how-cheated-affiliates-are-recycling-victim-data-for-profit

Report completeness: Low

Actors/Campaigns:
Ransomhub

Threats:
Blackcat
Revil
Lockbit

Victims:
Change healthcare, Unitedhealth group

Industry:
Financial, Government, Healthcare, Military

Geo:
Korea, China, Romania

ChatGPT TTPs:
do not use without manual check
T1486, T1491, T1567, T1027, T1583

IOCs:
Domain: 5
IP: 1

Soft:
Telegram, Discord
CTT Report Hub
#ParsedReport #CompletenessLow 24-04-2024 Ransomware Evolution \| How Cheated Affiliates Are Recycling Victim Data for Profit https://www.sentinelone.com/blog/ransomware-evolution-how-cheated-affiliates-are-recycling-victim-data-for-profit Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - это меняющийся ландшафт киберугроз, в котором особое внимание уделяется появлению новой тенденции, когда филиалы программ-вымогателей повторно монетизируют украденные данные независимо от своих первоначальных соглашений о предоставлении программ-вымогателей в качестве услуги из-за финансовых споров между участниками угроз. В тексте особое внимание уделяется инцидентам, связанным с повторным вымогательством у жертв, сотрудничеству между аффилированными лицами и третьими сторонами, такими как RansomHub, и проблемам, связанным с доверием к субъектам угроз и поставщикам услуг в экосистеме программ-вымогателей. Это также подчеркивает способность киберпреступников адаптировать свою тактику для защиты своих интересов и прибыли, а также нежелание правоохранительных органов по всему миру платить выкуп и пропаганду сообщений о киберинцидентах для повышения устойчивости и предотвращения будущих атак.
-----

Филиалы программ-вымогателей все чаще повторно монетизируют украденные данные независимо от своих первоначальных соглашений RaaS из-за финансовых споров в экономике программ-вымогателей.

Аффилированная компания ALPHV нацелилась на Change Healthcare после того, как не получила свою долю выкупа, сотрудничая с RansomHub с целью вымогательства у компании во второй раз.

RansomHub функционирует как платформа RaaS, сотрудничая с филиалами, связанными с семействами программ-вымогателей, такими как ALPHV и LockBit, для расширения доступа к данным жертв.

Экосистема программ-вымогателей сталкивается с нестабильностью, поскольку существующие группы угроз проводят ребрендинг или распадаются, что приводит к отстранению аффилированных лиц от платежей и увеличивает риск повторного вымогательства данных.

Правоохранительные органы по всему миру не рекомендуют организациям платить выкуп, подчеркивая важность сообщения об инцидентах для повышения киберустойчивости и предотвращения будущих атак.
👍2
#ParsedReport #CompletenessMedium
24-04-2024

Cisco Talos Blog. ArcaneDoor - New espionage-focused campaign found targeting perimeter network devices

https://blog.talosintelligence.com/arcanedoor-new-espionage-focused-campaign-found-targeting-perimeter-network-devices

Report completeness: Medium

Actors/Campaigns:
Arcanedoor (motivation: cyber_espionage)
Uat4356 (motivation: cyber_espionage)

Threats:
Line_runner
Line_dancer_tool

Victims:
Cisco, Multiple telecommunications providers, Multiple energy sector organizations

Industry:
Energy, Telco, Government

Geo:
Canadian, Australian

CVEs:
CVE-2024-20359 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-20353 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2018-0101 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cisco adaptive security appliance software (<9.1.7.23, <9.4.4.16, <9.2.4.27, <9.6.4.3, <9.8.2.20, <9.7.1.21, <9.9.1.2)
- cisco firepower threat defense (6.0.0, 6.0.1, 6.2.0, 6.1.0, 6.2.2, 6.2.1)


TTPs:
Tactics: 1
Technics: 13

IOCs:
File: 10
Hash: 5
IP: 69

Algorithms:
base64, zip

Functions:
processHostScanReply

Languages:
lua