CTT Report Hub
#ParsedReport #CompletenessMedium 25-04-2024 Unplugging PlugX: Sinkholing the PlugX USB worm botnet https://blog.sekoia.io/unplugging-plugx-sinkholing-the-plugx-usb-worm-botnet Report completeness: Medium Actors/Campaigns: Red_delta Threats: Plugx_rat…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Успешная операция по уничтожению червя PlugX выявила широко распространенное заражение через уникальные IP-адреса. Исследователи обнаружили потенциал использования команд для дезинфекции, проследили происхождение PlugX в китайских кампаниях, отметили эволюцию в наборах вторжений и интеграцию вредоносного компонента в Mustang Panda в 2020 году. Результаты анализа позволили получить информацию, но остаются проблемы с управлением зараженными хостами и распространением по USB. Сохраняются опасения по поводу бездействующего сервера C2, манипулирования поведением червя и ограничений в отслеживании заражений из-за отсутствия уникальных идентификаторов. Попытки сдержать распространение PlugX сталкиваются с трудностями в сетях с воздушными зазорами и на USB-устройствах, что требует строгих политик безопасности и превентивных мер.
-----
В сентябре 2023 года была проведена успешная операция по уничтожению сервера управления, связанного с червями PlugX.
Исследователи приобрели уникальный IP-адрес, связанный с разновидностью червя, за 7 долларов, что позволило им перехватывать запросы PlugX с зараженных рабочих станций.
За шесть месяцев к воронке подключилось более 2,5 миллионов уникальных IP-адресов, что указывает на широкое распространение инфекции.
Команды дезинфекции могут быть отправлены на скомпрометированные рабочие станции с помощью криптографии PlugX communications.
Истоки PlugX восходят к китайской кампании, направленной против пользователей, связанных с правительством, и конкретной организации в Японии в 2008 году.
В июле 2020 года Mustang Panda intrusion set интегрировал в PlugX вредоносный компонент, позволяющий заражать USB-накопители в неподключенных сетях.
Операции по уничтожению вредоносных инфраструктур сопряжены с техническими трудностями, но дают ценную информацию о ситуации с заражением.
Глобальное распространение червя PlugX по-прежнему вызывает озабоченность, несмотря на бездействие сервера C2.
Существуют проблемы с локализацией PlugX с помощью методов удаленной дезинфекции, особенно в сетях с воздушными зазорами и при заражении USB-устройств.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Успешная операция по уничтожению червя PlugX выявила широко распространенное заражение через уникальные IP-адреса. Исследователи обнаружили потенциал использования команд для дезинфекции, проследили происхождение PlugX в китайских кампаниях, отметили эволюцию в наборах вторжений и интеграцию вредоносного компонента в Mustang Panda в 2020 году. Результаты анализа позволили получить информацию, но остаются проблемы с управлением зараженными хостами и распространением по USB. Сохраняются опасения по поводу бездействующего сервера C2, манипулирования поведением червя и ограничений в отслеживании заражений из-за отсутствия уникальных идентификаторов. Попытки сдержать распространение PlugX сталкиваются с трудностями в сетях с воздушными зазорами и на USB-устройствах, что требует строгих политик безопасности и превентивных мер.
-----
В сентябре 2023 года была проведена успешная операция по уничтожению сервера управления, связанного с червями PlugX.
Исследователи приобрели уникальный IP-адрес, связанный с разновидностью червя, за 7 долларов, что позволило им перехватывать запросы PlugX с зараженных рабочих станций.
За шесть месяцев к воронке подключилось более 2,5 миллионов уникальных IP-адресов, что указывает на широкое распространение инфекции.
Команды дезинфекции могут быть отправлены на скомпрометированные рабочие станции с помощью криптографии PlugX communications.
Истоки PlugX восходят к китайской кампании, направленной против пользователей, связанных с правительством, и конкретной организации в Японии в 2008 году.
В июле 2020 года Mustang Panda intrusion set интегрировал в PlugX вредоносный компонент, позволяющий заражать USB-накопители в неподключенных сетях.
Операции по уничтожению вредоносных инфраструктур сопряжены с техническими трудностями, но дают ценную информацию о ситуации с заражением.
Глобальное распространение червя PlugX по-прежнему вызывает озабоченность, несмотря на бездействие сервера C2.
Существуют проблемы с локализацией PlugX с помощью методов удаленной дезинфекции, особенно в сетях с воздушными зазорами и при заражении USB-устройств.
#ParsedReport #CompletenessLow
25-04-2024
A Briefing on SIM Hijacking
https://intel471.com/blog/a-briefing-on-sim-hijacking
Report completeness: Low
Actors/Campaigns:
0ktapus (motivation: cyber_criminal)
Lapsus (motivation: cyber_criminal)
Threats:
Sim_swapping_technique
Victims:
U.s. securities and exchange commission, Cryptocurrency users, High-profile individuals
Industry:
Retail, Telco, Financial
ChatGPT TTPs:
T1199, T1078, T1595, T1583, T1566, T1204
Soft:
Telegram, Discord
Crypto:
bitcoin, ethereum
25-04-2024
A Briefing on SIM Hijacking
https://intel471.com/blog/a-briefing-on-sim-hijacking
Report completeness: Low
Actors/Campaigns:
0ktapus (motivation: cyber_criminal)
Lapsus (motivation: cyber_criminal)
Threats:
Sim_swapping_technique
Victims:
U.s. securities and exchange commission, Cryptocurrency users, High-profile individuals
Industry:
Retail, Telco, Financial
ChatGPT TTPs:
do not use without manual checkT1199, T1078, T1595, T1583, T1566, T1204
Soft:
Telegram, Discord
Crypto:
bitcoin, ethereum
CTT Report Hub
#ParsedReport #CompletenessLow 25-04-2024 A Briefing on SIM Hijacking https://intel471.com/blog/a-briefing-on-sim-hijacking Report completeness: Low Actors/Campaigns: 0ktapus (motivation: cyber_criminal) Lapsus (motivation: cyber_criminal) Threats: S…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в растущей угрозе атак с подменой SIM-карт в сфере кибербезопасности с акцентом на кражу криптовалюты и личной информации с помощью тактик социальной инженерии. Несмотря на такие меры безопасности, как PIN-код, обмен SIM-картами остается постоянной угрозой, что приводит к повышению осведомленности, освещению в средствах массовой информации, судебным искам против нарушителей и появлению подпольных сервисов, обслуживающих незаконную деятельность. Кроме того, в тексте упоминаются случаи крупномасштабной кражи криптовалюты, сотрудничество между участниками угроз и усилия регулирующих органов по усилению защиты потребителей от атак с использованием SIM-карт.
-----
В тексте обсуждается растущая угроза подмены SIM-карты, форма кибератаки, при которой злоумышленники незаконно переносят номер телефона жертвы на другую SIM-карту. Это позволяет злоумышленникам получить доступ к личной информации и учетным записям жертвы, уделяя особое внимание краже криптовалюты из-за необратимого характера транзакций. Этот тип атак осуществляется с помощью тактик социальной инженерии, таких как олицетворение и обман телекоммуникационных компаний, и стал серьезной проблемой в сфере кибербезопасности.
Рост числа атак с использованием SIM-карт привел к повышению осведомленности, освещению в средствах массовой информации и судебным искам против нарушителей. Злоумышленники используют SIM-карты для получения конфиденциальной информации, такой как адреса, даты рождения, номера социального страхования и ответы на секретные вопросы, для получения несанкционированного доступа к учетным записям. Телекоммуникационные компании внедрили такие меры безопасности, как персональные идентификационные номера (PIN-коды), для предотвращения подобных атак, но замена SIM-карт остается постоянной угрозой.
В тексте освещаются случаи, когда отдельным лицам предъявлялись обвинения в крупномасштабной краже криптовалюты с помощью схем обмена SIM-карт, а также группам, обвиняемым в организации сложных операций по обмену SIM-карт, которые привели к значительным финансовым потерям. В нем обсуждается, как участники угроз сотрудничают в этих операциях, нацеливаясь на высокопоставленных лиц в криптовалютном и технологическом секторах из-за потенциальной финансовой выгоды.
В течение 2023 года на подпольных форумах, в Telegram и Discord участилась реклама услуг по замене SIM-карт. Эти сервисы ориентированы на нескольких операторов и предлагают замену SIM-карт за отдельную плату, а некоторые злоумышленники предоставляют доступ к инсайдерским контактам в телекоммуникационных компаниях. Кроме того, для удовлетворения спроса на такую незаконную деятельность появились сопутствующие субуслуги, такие как услуги doxxing, создание фишинговых страниц и услуги наставничества для начинающих пользователей SIM-карт.
В тексте также упоминается наличие таких платформ, как IntelX, которые предоставляют субъектам угроз доступ к широкому спектру данных, облегчая сбор информации о потенциальных целях. Это также касается правил, введенных Федеральной комиссией по связи США (FCC) для усиления защиты потребителей от атак, связанных со сменой SIM-карт. Операторы мобильной связи теперь обязаны внедрять более безопасные процедуры аутентификации и уведомлять клиентов о любых запросах на смену SIM-карты, чтобы предотвратить несанкционированную передачу телефонных номеров.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в растущей угрозе атак с подменой SIM-карт в сфере кибербезопасности с акцентом на кражу криптовалюты и личной информации с помощью тактик социальной инженерии. Несмотря на такие меры безопасности, как PIN-код, обмен SIM-картами остается постоянной угрозой, что приводит к повышению осведомленности, освещению в средствах массовой информации, судебным искам против нарушителей и появлению подпольных сервисов, обслуживающих незаконную деятельность. Кроме того, в тексте упоминаются случаи крупномасштабной кражи криптовалюты, сотрудничество между участниками угроз и усилия регулирующих органов по усилению защиты потребителей от атак с использованием SIM-карт.
-----
В тексте обсуждается растущая угроза подмены SIM-карты, форма кибератаки, при которой злоумышленники незаконно переносят номер телефона жертвы на другую SIM-карту. Это позволяет злоумышленникам получить доступ к личной информации и учетным записям жертвы, уделяя особое внимание краже криптовалюты из-за необратимого характера транзакций. Этот тип атак осуществляется с помощью тактик социальной инженерии, таких как олицетворение и обман телекоммуникационных компаний, и стал серьезной проблемой в сфере кибербезопасности.
Рост числа атак с использованием SIM-карт привел к повышению осведомленности, освещению в средствах массовой информации и судебным искам против нарушителей. Злоумышленники используют SIM-карты для получения конфиденциальной информации, такой как адреса, даты рождения, номера социального страхования и ответы на секретные вопросы, для получения несанкционированного доступа к учетным записям. Телекоммуникационные компании внедрили такие меры безопасности, как персональные идентификационные номера (PIN-коды), для предотвращения подобных атак, но замена SIM-карт остается постоянной угрозой.
В тексте освещаются случаи, когда отдельным лицам предъявлялись обвинения в крупномасштабной краже криптовалюты с помощью схем обмена SIM-карт, а также группам, обвиняемым в организации сложных операций по обмену SIM-карт, которые привели к значительным финансовым потерям. В нем обсуждается, как участники угроз сотрудничают в этих операциях, нацеливаясь на высокопоставленных лиц в криптовалютном и технологическом секторах из-за потенциальной финансовой выгоды.
В течение 2023 года на подпольных форумах, в Telegram и Discord участилась реклама услуг по замене SIM-карт. Эти сервисы ориентированы на нескольких операторов и предлагают замену SIM-карт за отдельную плату, а некоторые злоумышленники предоставляют доступ к инсайдерским контактам в телекоммуникационных компаниях. Кроме того, для удовлетворения спроса на такую незаконную деятельность появились сопутствующие субуслуги, такие как услуги doxxing, создание фишинговых страниц и услуги наставничества для начинающих пользователей SIM-карт.
В тексте также упоминается наличие таких платформ, как IntelX, которые предоставляют субъектам угроз доступ к широкому спектру данных, облегчая сбор информации о потенциальных целях. Это также касается правил, введенных Федеральной комиссией по связи США (FCC) для усиления защиты потребителей от атак, связанных со сменой SIM-карт. Операторы мобильной связи теперь обязаны внедрять более безопасные процедуры аутентификации и уведомлять клиентов о любых запросах на смену SIM-карты, чтобы предотвратить несанкционированную передачу телефонных номеров.
#ParsedReport #CompletenessLow
25-04-2024
Sifting through the spines: identifying (potential) Cactus ransomware victims. Qlik Sense vulnerabilities
https://research.nccgroup.com/2024/04/25/sifting-through-the-spines-identifying-potential-cactus-ransomware-victims
Report completeness: Low
Threats:
Cactus
Melissa
Zeroqlik_vuln
Geo:
Italy, Spain, Dutch, Germany, Nederland, Ireland, Brazil, Netherlands
CVEs:
CVE-2023-41266 [Vulners]
CVSS V3.1: 6.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- qlik qlik sense (august_2022, february_2023, may_2023, november_2022)
CVE-2023-48365 [Vulners]
CVSS V3.1: 9.9,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- qlik qlik sense (august_2022, august_2023, february_2022, february_2023, may_2022, may_2023, november_2021, november_2022)
CVE-2023-41265 [Vulners]
CVSS V3.1: 9.9,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- qlik qlik sense (august_2022, february_2023, may_2023, november_2022)
ChatGPT TTPs:
T1190, T1078, T1027, T1583
IOCs:
File: 3
Soft:
Qlik Sense, cURL
25-04-2024
Sifting through the spines: identifying (potential) Cactus ransomware victims. Qlik Sense vulnerabilities
https://research.nccgroup.com/2024/04/25/sifting-through-the-spines-identifying-potential-cactus-ransomware-victims
Report completeness: Low
Threats:
Cactus
Melissa
Zeroqlik_vuln
Geo:
Italy, Spain, Dutch, Germany, Nederland, Ireland, Brazil, Netherlands
CVEs:
CVE-2023-41266 [Vulners]
CVSS V3.1: 6.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- qlik qlik sense (august_2022, february_2023, may_2023, november_2022)
CVE-2023-48365 [Vulners]
CVSS V3.1: 9.9,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- qlik qlik sense (august_2022, august_2023, february_2022, february_2023, may_2022, may_2023, november_2021, november_2022)
CVE-2023-41265 [Vulners]
CVSS V3.1: 9.9,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- qlik qlik sense (august_2022, february_2023, may_2023, november_2022)
ChatGPT TTPs:
do not use without manual checkT1190, T1078, T1027, T1583
IOCs:
File: 3
Soft:
Qlik Sense, cURL
Nccgroup
Cyber Security Research
Cutting-edge cyber security research from NCC Group. Find public reports, technical advisories, analyses, & other novel insights from our global experts.
CTT Report Hub
#ParsedReport #CompletenessLow 25-04-2024 Sifting through the spines: identifying (potential) Cactus ransomware victims. Qlik Sense vulnerabilities https://research.nccgroup.com/2024/04/25/sifting-through-the-spines-identifying-potential-cactus-ransomware…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея: В блоге обсуждается деятельность группы программ-вымогателей Cactus, нацеленной на серверы Qlik Sense посредством использования уязвимостей и тактики дезориентации, с акцентом на конкретные уязвимости, такие как ZeroQlik и DoubleQlik. Сотрудничество между голландскими фирмами по кибербезопасности и государственными органами направлено на смягчение последствий этих атак во всем мире путем обмена результатами и направления ответственных уведомлений о раскрытии информации пострадавшим администраторам.
-----
В блоге обсуждаются выводы голландских компаний, занимающихся кибербезопасностью, относительно использования вымогателями Cactus серверов Qlik Sense для первоначального доступа. Партнерство Melissa с участием различных фирм, таких как Fox-IT, выявило специфическую тактику вымогателей, используемую Cactus. Партнеры поделились информацией, полученной в ходе мероприятий по реагированию на инциденты, что привело к разработке компанией Fox-IT технологии снятия отпечатков пальцев для выявления уязвимых систем по всему миру. С ноября 2023 года Qlik Sense, инструмент визуализации данных, стал ключевой целью Cactus.
Группа Cactus не только использует уязвимости в программном обеспечении, но и вводит жертв в заблуждение с помощью сфабрикованных историй, чтобы скрыть их способ проникновения. К числу конкретных используемых уязвимостей относятся CVE-2023-41266, CVE-2023-41265 (ZeroQlik) и, возможно, CVE-2023-48365 (DoubleQlik). Значительное количество серверов Qlik Sense по всему миру, в том числе 241 сервер в Нидерландах, уязвимы для эксплойтов Cactus. Голландский институт по раскрытию уязвимостей, NCSC и DTC сотрудничают в целях информирования потенциальных жертв и предотвращения дальнейшего ущерба.
Дальнейшие исследования уязвимостей, таких как ZeroQlik и DoubleQlik, позволили идентифицировать версии серверов, используя файл product-info.json для оценки уязвимостей. В блоге обсуждается использование шаблонов Nuclears для проверки уязвимостей и метод доступа к файлам шрифтов без проверки подлинности. Оценка потенциальных уязвимостей Qlik на основе версий серверов и ярлыков релизов выявила большинство уязвимых серверов в Соединенных Штатах.
Было замечено, что группа Cactus перенаправляет выходные данные команд в файл шрифта с именем qle.ttf, вероятно, в целях использования. В блоге приводятся примеры выполняемых команд и перенаправления вывода с помощью Cactus. Доступ к файлам шрифтов без аутентификации объясняет, почему выходные данные команд хранятся в этих файлах, что служит индикатором компрометации. В результате сканирования было обнаружено 122 сервера с таким показателем, причем наибольшее количество эксплуатируемых серверов приходится на Соединенные Штаты.
Ответственность за раскрытие уязвимостей лежит на таких организациях, как Голландский институт раскрытия уязвимостей, который поделился своими выводами с целью направления ответственных уведомлений администраторам сервера Qlik Sense. Совместные усилия охранных фирм, государственных органов и институтов по раскрытию уязвимостей направлены на смягчение последствий атак программ-вымогателей Cactus во всем мире.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея: В блоге обсуждается деятельность группы программ-вымогателей Cactus, нацеленной на серверы Qlik Sense посредством использования уязвимостей и тактики дезориентации, с акцентом на конкретные уязвимости, такие как ZeroQlik и DoubleQlik. Сотрудничество между голландскими фирмами по кибербезопасности и государственными органами направлено на смягчение последствий этих атак во всем мире путем обмена результатами и направления ответственных уведомлений о раскрытии информации пострадавшим администраторам.
-----
В блоге обсуждаются выводы голландских компаний, занимающихся кибербезопасностью, относительно использования вымогателями Cactus серверов Qlik Sense для первоначального доступа. Партнерство Melissa с участием различных фирм, таких как Fox-IT, выявило специфическую тактику вымогателей, используемую Cactus. Партнеры поделились информацией, полученной в ходе мероприятий по реагированию на инциденты, что привело к разработке компанией Fox-IT технологии снятия отпечатков пальцев для выявления уязвимых систем по всему миру. С ноября 2023 года Qlik Sense, инструмент визуализации данных, стал ключевой целью Cactus.
Группа Cactus не только использует уязвимости в программном обеспечении, но и вводит жертв в заблуждение с помощью сфабрикованных историй, чтобы скрыть их способ проникновения. К числу конкретных используемых уязвимостей относятся CVE-2023-41266, CVE-2023-41265 (ZeroQlik) и, возможно, CVE-2023-48365 (DoubleQlik). Значительное количество серверов Qlik Sense по всему миру, в том числе 241 сервер в Нидерландах, уязвимы для эксплойтов Cactus. Голландский институт по раскрытию уязвимостей, NCSC и DTC сотрудничают в целях информирования потенциальных жертв и предотвращения дальнейшего ущерба.
Дальнейшие исследования уязвимостей, таких как ZeroQlik и DoubleQlik, позволили идентифицировать версии серверов, используя файл product-info.json для оценки уязвимостей. В блоге обсуждается использование шаблонов Nuclears для проверки уязвимостей и метод доступа к файлам шрифтов без проверки подлинности. Оценка потенциальных уязвимостей Qlik на основе версий серверов и ярлыков релизов выявила большинство уязвимых серверов в Соединенных Штатах.
Было замечено, что группа Cactus перенаправляет выходные данные команд в файл шрифта с именем qle.ttf, вероятно, в целях использования. В блоге приводятся примеры выполняемых команд и перенаправления вывода с помощью Cactus. Доступ к файлам шрифтов без аутентификации объясняет, почему выходные данные команд хранятся в этих файлах, что служит индикатором компрометации. В результате сканирования было обнаружено 122 сервера с таким показателем, причем наибольшее количество эксплуатируемых серверов приходится на Соединенные Штаты.
Ответственность за раскрытие уязвимостей лежит на таких организациях, как Голландский институт раскрытия уязвимостей, который поделился своими выводами с целью направления ответственных уведомлений администраторам сервера Qlik Sense. Совместные усилия охранных фирм, государственных органов и институтов по раскрытию уязвимостей направлены на смягчение последствий атак программ-вымогателей Cactus во всем мире.
#ParsedReport #CompletenessLow
25-04-2024
CHM malware that steals user information is distributed domestically.
https://asec.ahnlab.com/ko/64612
Report completeness: Low
ChatGPT TTPs:
T1566.001, T1204.002, T1105, T1001.003, T1059.001, T1027
IOCs:
File: 2
Path: 1
Hash: 1
Soft:
OneNote
Algorithms:
base64
Win API:
decompress
Languages:
php, powershell
Platforms:
x86
25-04-2024
CHM malware that steals user information is distributed domestically.
https://asec.ahnlab.com/ko/64612
Report completeness: Low
ChatGPT TTPs:
do not use without manual checkT1566.001, T1204.002, T1105, T1001.003, T1059.001, T1027
IOCs:
File: 2
Path: 1
Hash: 1
Soft:
OneNote
Algorithms:
base64
Win API:
decompress
Languages:
php, powershell
Platforms:
x86
ASEC
사용자 정보를 탈취하는 CHM 악성코드 국내 유포 - ASEC
사용자 정보를 탈취하는 CHM 악성코드 국내 유포 ASEC
CTT Report Hub
#ParsedReport #CompletenessLow 25-04-2024 CHM malware that steals user information is distributed domestically. https://asec.ahnlab.com/ko/64612 Report completeness: Low ChatGPT TTPs: do not use without manual check T1566.001, T1204.002, T1105, T1001.003…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в обнаружении и анализе вредоносного ПО CHM, нацеленного на отечественных пользователей, с подробным описанием методов его распространения, процессов работы, встроенных в него вредоносных скриптов, эволюции методов обфускации, а также важности осторожности и обновленных мер безопасности для защиты от таких киберугроз.
-----
Аналитический центр безопасности AhnLab (ASEC) обнаружил распространение вредоносного ПО CHM, нацеленного на местных пользователей. Этот конкретный вид вредоносного ПО CHM исторически распространялся в таких форматах, как LNK, DOC и OneNote, и в процессе его работы были внесены последние изменения. При запуске CHM генерирует окно справки и запускает вредоносный скрипт, встроенный в него. Скрипт связан с файлом с именем Link.ini, который подключается к определенному URL-адресу для выполнения дальнейших сценариев. В этих последних дистрибутивах формат URL-адреса доступа был изменен с "list.php?query=1" на "bootservice.php?query=1".
URL-адрес содержит вредоносный скрипт, закодированный в Base64, который при расшифровке раскрывает такие функции, как фильтрация данных, создание файлов вредоносных скриптов и регистрация служб. Зарегистрированный файл периодически работает, получая доступ к указанным URL-адресам и выполняя дополнительные скрипты. Еще одно изменение в обновленном рабочем процессе включает изменение URL-адреса доступа с "list.php?query=6" на "bootservice.php?query=6". На этом этапе присутствует другой вредоносный скрипт в кодировке Base64, который подключается к определенному URL-адресу с помощью команды Powershell для выполнения дополнительных скриптов. Примечательно, что на этом этапе такие параметры, как "InfoKey" и закодированная информация об URL-адресе, передаются вместе.
В скрипте Powershell, указанном в URL, есть функциональность для расшифровки и активации зашифрованной защищенной строки. Методы обфускации эволюционировали от более простых методов, таких как распаковка и кодирование в Base64, к более сложным методам, позволяющим избежать обнаружения. Недавнее распространение вредоносного ПО CHM очень похоже на предыдущие типы, выявленные ранее, что указывает на вероятность участия одного и того же источника угрозы. Очевидно, что были предприняты значительные усилия по внедрению различных методов обфускации, позволяющих избежать обнаружения.
Учитывая целевое распространение среди местных пользователей, рекомендуется соблюдать крайнюю осторожность. Пользователям следует воздерживаться от доступа к файлам неизвестного происхождения, чтобы снизить риск, связанный с этим вредоносным по CHM. Бдительность и обновленные меры безопасности имеют решающее значение для защиты от подобных киберугроз.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в обнаружении и анализе вредоносного ПО CHM, нацеленного на отечественных пользователей, с подробным описанием методов его распространения, процессов работы, встроенных в него вредоносных скриптов, эволюции методов обфускации, а также важности осторожности и обновленных мер безопасности для защиты от таких киберугроз.
-----
Аналитический центр безопасности AhnLab (ASEC) обнаружил распространение вредоносного ПО CHM, нацеленного на местных пользователей. Этот конкретный вид вредоносного ПО CHM исторически распространялся в таких форматах, как LNK, DOC и OneNote, и в процессе его работы были внесены последние изменения. При запуске CHM генерирует окно справки и запускает вредоносный скрипт, встроенный в него. Скрипт связан с файлом с именем Link.ini, который подключается к определенному URL-адресу для выполнения дальнейших сценариев. В этих последних дистрибутивах формат URL-адреса доступа был изменен с "list.php?query=1" на "bootservice.php?query=1".
URL-адрес содержит вредоносный скрипт, закодированный в Base64, который при расшифровке раскрывает такие функции, как фильтрация данных, создание файлов вредоносных скриптов и регистрация служб. Зарегистрированный файл периодически работает, получая доступ к указанным URL-адресам и выполняя дополнительные скрипты. Еще одно изменение в обновленном рабочем процессе включает изменение URL-адреса доступа с "list.php?query=6" на "bootservice.php?query=6". На этом этапе присутствует другой вредоносный скрипт в кодировке Base64, который подключается к определенному URL-адресу с помощью команды Powershell для выполнения дополнительных скриптов. Примечательно, что на этом этапе такие параметры, как "InfoKey" и закодированная информация об URL-адресе, передаются вместе.
В скрипте Powershell, указанном в URL, есть функциональность для расшифровки и активации зашифрованной защищенной строки. Методы обфускации эволюционировали от более простых методов, таких как распаковка и кодирование в Base64, к более сложным методам, позволяющим избежать обнаружения. Недавнее распространение вредоносного ПО CHM очень похоже на предыдущие типы, выявленные ранее, что указывает на вероятность участия одного и того же источника угрозы. Очевидно, что были предприняты значительные усилия по внедрению различных методов обфускации, позволяющих избежать обнаружения.
Учитывая целевое распространение среди местных пользователей, рекомендуется соблюдать крайнюю осторожность. Пользователям следует воздерживаться от доступа к файлам неизвестного происхождения, чтобы снизить риск, связанный с этим вредоносным по CHM. Бдительность и обновленные меры безопасности имеют решающее значение для защиты от подобных киберугроз.
#ParsedReport #CompletenessLow
25-04-2024
RemcosRAT is being distributed using steganography techniques.
https://asec.ahnlab.com/ko/64421
Report completeness: Low
Threats:
Remcos_rat
Steganography_technique
Process_hollowing_technique
ChatGPT TTPs:
T1566.001, T1203, T1027, T1140, T1059.005, T1567.002, T1059.001, T1055, T1105
IOCs:
File: 2
Hash: 5
Url: 2
IP: 2
Algorithms:
base64, md5
Languages:
powershell
25-04-2024
RemcosRAT is being distributed using steganography techniques.
https://asec.ahnlab.com/ko/64421
Report completeness: Low
Threats:
Remcos_rat
Steganography_technique
Process_hollowing_technique
ChatGPT TTPs:
do not use without manual checkT1566.001, T1203, T1027, T1140, T1059.005, T1567.002, T1059.001, T1055, T1105
IOCs:
File: 2
Hash: 5
Url: 2
IP: 2
Algorithms:
base64, md5
Languages:
powershell
ASEC BLOG
RemcosRAT, 스테가노그래피 기법을 이용하여 유포중 - ASEC BLOG
AhnLab SEcurity intelligence Center(ASEC)은 최근 RemcosRAT가 스테가노그래피 기법을 이용하여 유포 중인 것을 확인했다. 시작은 Template Injection기법을 사용한 Word문서를 시작으로 수식 편집기(EQNEDT32.EXE)취약점을 사용하는 RTF를 다운로드하여 실행한다. RTF는 C2에서 “.jpg”확장자를 가진 VBScript를 다운로드하고 텍스트를 무료로 업로드해 주는 “Pastebin”과 …
CTT Report Hub
#ParsedReport #CompletenessLow 25-04-2024 RemcosRAT is being distributed using steganography techniques. https://asec.ahnlab.com/ko/64421 Report completeness: Low Threats: Remcos_rat Steganography_technique Process_hollowing_technique ChatGPT TTPs: do…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что был выявлен новый метод распространения вредоносного ПО RemcosRAT, использующий методы стеганографии, внедрение шаблонов, RTF-файлы, VBScripts, скрипты PowerShell и удаление процессов. Пользователям рекомендуется соблюдать осторожность и обновлять средства безопасности для защиты от возможного заражения вредоносными программами.
-----
Аналитический центр безопасности AhnLab (ASEC) обнаружил новый метод распространения вредоносного ПО RemcosRAT, основанный на использовании методов стеганографии. Атака начинается с документа Word, который использует внедрение шаблона для загрузки и выполнения RTF-файла, используя уязвимость редактора формул (EQNEDT32.EXE). Затем этот RTF-файл загружает VBScript с расширением ".jpg" с сервера управления (C2) и извлекает другой VBScript из "paste.ee", сервиса, аналогичного Pastebin для загрузки текста.
Загруженный скрипт PowerShell извлекает изображение, размещенное на внешнем сервере, которое скрывает данные, закодированные в BASE64, за которыми следует маркер "FF D9", указывающий на конец файла JPG. Кроме того, на основе предоставленных аргументов с сервера C2 будут получены дополнительные файлы. Впоследствии этот процесс включает в себя создание RegAsm.exe дочернего процесса, который выполняется с использованием выделения процессов. В конечном счете, эта цепочка действий приводит к запуску вредоносной программы RemcosRAT.
Учитывая разнообразие методов распространения RemcosRAT, включая рассылку спама по электронной почте и загрузку взломанного программного обеспечения, пользователям рекомендуется проявлять осторожность. Важно обновить средства безопасности, такие как V3, до последней версии, чтобы заранее усилить защиту от потенциальных вредоносных программ.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что был выявлен новый метод распространения вредоносного ПО RemcosRAT, использующий методы стеганографии, внедрение шаблонов, RTF-файлы, VBScripts, скрипты PowerShell и удаление процессов. Пользователям рекомендуется соблюдать осторожность и обновлять средства безопасности для защиты от возможного заражения вредоносными программами.
-----
Аналитический центр безопасности AhnLab (ASEC) обнаружил новый метод распространения вредоносного ПО RemcosRAT, основанный на использовании методов стеганографии. Атака начинается с документа Word, который использует внедрение шаблона для загрузки и выполнения RTF-файла, используя уязвимость редактора формул (EQNEDT32.EXE). Затем этот RTF-файл загружает VBScript с расширением ".jpg" с сервера управления (C2) и извлекает другой VBScript из "paste.ee", сервиса, аналогичного Pastebin для загрузки текста.
Загруженный скрипт PowerShell извлекает изображение, размещенное на внешнем сервере, которое скрывает данные, закодированные в BASE64, за которыми следует маркер "FF D9", указывающий на конец файла JPG. Кроме того, на основе предоставленных аргументов с сервера C2 будут получены дополнительные файлы. Впоследствии этот процесс включает в себя создание RegAsm.exe дочернего процесса, который выполняется с использованием выделения процессов. В конечном счете, эта цепочка действий приводит к запуску вредоносной программы RemcosRAT.
Учитывая разнообразие методов распространения RemcosRAT, включая рассылку спама по электронной почте и загрузку взломанного программного обеспечения, пользователям рекомендуется проявлять осторожность. Важно обновить средства безопасности, такие как V3, до последней версии, чтобы заранее усилить защиту от потенциальных вредоносных программ.
#ParsedReport #CompletenessMedium
25-04-2024
Technical analysis of the Rust loader for the digital weapon organization OceanLotus (APT-Q-31)
https://mp-weixin-qq-com.translate.goog/s?__biz=MzI2MDc2MDA4OA==&mid=2247510313&idx=1&sn=dbc3d32859fdfce12854aef02d698a49&chksm=ea665e5edd11d748292950c3550230c9e580f3ed58cb6b8e8c6fb30f1bdeb0f250fea72f59d9&scene=178&cur_album_id=1539799351089283075&_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=ru&_x_tr_pto=wapp
Report completeness: Medium
Actors/Campaigns:
Oceanlotus
Threats:
Cobalt_strike
Victims:
Chinese government, Scientific research institutes, Maritime institutions, Maritime construction, Shipping companies
Industry:
Maritime, Government, Transport
Geo:
China, Chinese, Asia
ChatGPT TTPs:
T1564.001, T1027, T1055, T1071, T1547.001, T1102.001, T1132, T1041, T1588.002, T1595, have more...
IOCs:
Hash: 7
Domain: 1
Soft:
WeChat, re.com, trycloudflare, Android
Algorithms:
md5, xor
Win API:
VirtualAlloc
Languages:
rust
25-04-2024
Technical analysis of the Rust loader for the digital weapon organization OceanLotus (APT-Q-31)
https://mp-weixin-qq-com.translate.goog/s?__biz=MzI2MDc2MDA4OA==&mid=2247510313&idx=1&sn=dbc3d32859fdfce12854aef02d698a49&chksm=ea665e5edd11d748292950c3550230c9e580f3ed58cb6b8e8c6fb30f1bdeb0f250fea72f59d9&scene=178&cur_album_id=1539799351089283075&_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=ru&_x_tr_pto=wapp
Report completeness: Medium
Actors/Campaigns:
Oceanlotus
Threats:
Cobalt_strike
Victims:
Chinese government, Scientific research institutes, Maritime institutions, Maritime construction, Shipping companies
Industry:
Maritime, Government, Transport
Geo:
China, Chinese, Asia
ChatGPT TTPs:
do not use without manual checkT1564.001, T1027, T1055, T1071, T1547.001, T1102.001, T1132, T1041, T1588.002, T1595, have more...
IOCs:
Hash: 7
Domain: 1
Soft:
WeChat, re.com, trycloudflare, Android
Algorithms:
md5, xor
Win API:
VirtualAlloc
Languages:
rust
微信公众平台
海莲花(APT-Q-31)组织数字武器Rust加载器技术分析
奇安信威胁情报中心观察到海莲花在针对国内某目标的攻击活动中使用了由Rust编写的加载器,内存加载Cobalt Strike木马。开源平台发现了类似的恶意软件,其Rust代码、中间阶段shellcode等方面特征都与该Rust加载器高度重合。
CTT Report Hub
#ParsedReport #CompletenessMedium 25-04-2024 Technical analysis of the Rust loader for the digital weapon organization OceanLotus (APT-Q-31) https://mp-weixin-qq-com.translate.goog/s?__biz=MzI2MDc2MDA4OA==&mid=2247510313&idx=1&sn=dbc3d32859fdfce12854aef…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея: В ходе анализа был обнаружен загрузчик Rust, имеющий сходство с образцом атаки OceanLotus, что указывает на потенциальную связь с организацией OceanLotus. Усовершенствован загрузчик, который загружает троянскую программу Cobalt Strike в память во время атак, используя туннельный сервис Cloudflare в качестве C&C-сервера для обфускации. Группа threat actor group демонстрирует эволюционирующую тактику уклонения от обнаружения и введения в заблуждение при установлении авторства, подчеркивая важность передовых методов обеспечения кибербезопасности для пользователей в целях снижения рисков, связанных с появлением киберугроз.
-----
Недавно обнаруженные образцы загрузчика Rust демонстрируют высокую степень совпадения функций кода с известным образцом атаки OceanLotus, что указывает на потенциальную связь с организацией OceanLotus. OceanLotus, также известная как APT32, с апреля 2012 года является передовой группой по борьбе с постоянными угрозами, нацеленной в первую очередь на различные сектора в Китае и Юго-Восточной Азии. Группа использует различные методы атак, включая вредоносные программы собственной разработки, проекты с открытым исходным кодом и коммерческие инструменты.
Загрузчик Rust, указанный в недавних результатах, имеет сходство с загрузчиком OceanLotus Rust, особенно в структуре кода Rust и реализации шеллкода на первом этапе. Загрузчик предназначен для загрузки троянской программы Cobalt Strike в память во время атак, демонстрируя высокий уровень изощренности методов злоумышленников. Некоторые трояны Cobalt Strike, связанные с этим вариантом Rust-загрузчика, используют туннельную службу Cloudflare в качестве сервера управления (C&C), чтобы скрыть реальный IP-адрес сервера, что еще больше усложняет их работу.
Анализ показывает, что загрузчик Rust расшифровывает содержимое, содержащее следующий этап шеллкода. Он манипулирует правами доступа к памяти, связанными с загруженной библиотекой DLL, чтобы обеспечить надлежащее выполнение шеллкода. Кроме того, загрузчик использует функции дешифрования для извлечения и выполнения сохраненного в памяти шелл-кода, в конечном итоге устанавливая связь с сервером C2 для получения информации о конфигурации троянца beacon.
Примечательно, что рассматриваемые экземпляры загрузчика Rust совпадают с образцом атаки OceanLotus с точки зрения характеристик кода и шаблонов использования. Наличие определенного идентификатора лицензии (987654321) в данных конфигурации соответствует предыдущим шаблонам атак OceanLotus, что указывает на последовательный порядок действий, поддерживаемый группой участников угроз. Кроме того, использование нескольких идентификаторов лицензий, потенциально связанных со взломанной версией Cobalt Strike, свидетельствует о попытке OceanLotus скрыть права собственности на свои инструменты и действия для проведения атак.
Эволюционирующая тактика OceanLotus очевидна в последней версии Rust loader discovery. Шифрование последующих полезных данных, добавляемых к загрузчику, и использование допустимых пространств памяти библиотеки DLL для хранения шеллкода демонстрируют усилия группы по обходу механизмов обнаружения безопасности и введению в заблуждение при установлении авторства, включая использование водяных знаков Cobalt Strike.
В ответ на эти возникающие угрозы пользователям рекомендуется проявлять осторожность при взаимодействии в Интернете. Защита от фишинговых атак, воздержание от открытия подозрительных ссылок или вложений электронной почты, предотвращение запуска неизвестных файлов и установка программного обеспечения только из надежных источников являются важными шагами для повышения уровня кибербезопасности. Регулярное резервное копирование данных, своевременное обновление программного обеспечения и установка исправлений являются рекомендуемыми методами снижения рисков, связанных с появлением киберугроз.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея: В ходе анализа был обнаружен загрузчик Rust, имеющий сходство с образцом атаки OceanLotus, что указывает на потенциальную связь с организацией OceanLotus. Усовершенствован загрузчик, который загружает троянскую программу Cobalt Strike в память во время атак, используя туннельный сервис Cloudflare в качестве C&C-сервера для обфускации. Группа threat actor group демонстрирует эволюционирующую тактику уклонения от обнаружения и введения в заблуждение при установлении авторства, подчеркивая важность передовых методов обеспечения кибербезопасности для пользователей в целях снижения рисков, связанных с появлением киберугроз.
-----
Недавно обнаруженные образцы загрузчика Rust демонстрируют высокую степень совпадения функций кода с известным образцом атаки OceanLotus, что указывает на потенциальную связь с организацией OceanLotus. OceanLotus, также известная как APT32, с апреля 2012 года является передовой группой по борьбе с постоянными угрозами, нацеленной в первую очередь на различные сектора в Китае и Юго-Восточной Азии. Группа использует различные методы атак, включая вредоносные программы собственной разработки, проекты с открытым исходным кодом и коммерческие инструменты.
Загрузчик Rust, указанный в недавних результатах, имеет сходство с загрузчиком OceanLotus Rust, особенно в структуре кода Rust и реализации шеллкода на первом этапе. Загрузчик предназначен для загрузки троянской программы Cobalt Strike в память во время атак, демонстрируя высокий уровень изощренности методов злоумышленников. Некоторые трояны Cobalt Strike, связанные с этим вариантом Rust-загрузчика, используют туннельную службу Cloudflare в качестве сервера управления (C&C), чтобы скрыть реальный IP-адрес сервера, что еще больше усложняет их работу.
Анализ показывает, что загрузчик Rust расшифровывает содержимое, содержащее следующий этап шеллкода. Он манипулирует правами доступа к памяти, связанными с загруженной библиотекой DLL, чтобы обеспечить надлежащее выполнение шеллкода. Кроме того, загрузчик использует функции дешифрования для извлечения и выполнения сохраненного в памяти шелл-кода, в конечном итоге устанавливая связь с сервером C2 для получения информации о конфигурации троянца beacon.
Примечательно, что рассматриваемые экземпляры загрузчика Rust совпадают с образцом атаки OceanLotus с точки зрения характеристик кода и шаблонов использования. Наличие определенного идентификатора лицензии (987654321) в данных конфигурации соответствует предыдущим шаблонам атак OceanLotus, что указывает на последовательный порядок действий, поддерживаемый группой участников угроз. Кроме того, использование нескольких идентификаторов лицензий, потенциально связанных со взломанной версией Cobalt Strike, свидетельствует о попытке OceanLotus скрыть права собственности на свои инструменты и действия для проведения атак.
Эволюционирующая тактика OceanLotus очевидна в последней версии Rust loader discovery. Шифрование последующих полезных данных, добавляемых к загрузчику, и использование допустимых пространств памяти библиотеки DLL для хранения шеллкода демонстрируют усилия группы по обходу механизмов обнаружения безопасности и введению в заблуждение при установлении авторства, включая использование водяных знаков Cobalt Strike.
В ответ на эти возникающие угрозы пользователям рекомендуется проявлять осторожность при взаимодействии в Интернете. Защита от фишинговых атак, воздержание от открытия подозрительных ссылок или вложений электронной почты, предотвращение запуска неизвестных файлов и установка программного обеспечения только из надежных источников являются важными шагами для повышения уровня кибербезопасности. Регулярное резервное копирование данных, своевременное обновление программного обеспечения и установка исправлений являются рекомендуемыми методами снижения рисков, связанных с появлением киберугроз.
Anonymizers_Q1_2024.pdf
983 KB
#cyberthreattech
Т.к. мы расширили покрытие по разным VPN, Proxy, Tor, то стало интересно сделать срез по странам и ASN-кам где они живут.
Вот статистика за Q1 2024
Т.к. мы расширили покрытие по разным VPN, Proxy, Tor, то стало интересно сделать срез по странам и ASN-кам где они живут.
Вот статистика за Q1 2024
#ParsedReport #CompletenessMedium
27-04-2024
Threat Actor Profile: Molerats
https://socradar.io/threat-actor-profile-molerats
Report completeness: Medium
Actors/Campaigns:
Molerats (motivation: cyber_espionage, politically_motivated)
Tophat (motivation: cyber_espionage)
Poison_ivy
Threats:
Spear-phishing_technique
Xtreme_rat
Dustysky
Confuserex_tool
Themida_tool
Industry:
Military, Telco, Retail, Financial, Aerospace
Geo:
Israel, Palestine, Turkiye, Africa, Egypt, Iraq, Mena, Usa, Saudi, Emirates
TTPs:
Tactics: 1
Technics: 12
IOCs:
File: 1
Soft:
Microsoft Word
Algorithms:
zip
Languages:
javascript, powershell, visual_basic
27-04-2024
Threat Actor Profile: Molerats
https://socradar.io/threat-actor-profile-molerats
Report completeness: Medium
Actors/Campaigns:
Molerats (motivation: cyber_espionage, politically_motivated)
Tophat (motivation: cyber_espionage)
Poison_ivy
Threats:
Spear-phishing_technique
Xtreme_rat
Dustysky
Confuserex_tool
Themida_tool
Industry:
Military, Telco, Retail, Financial, Aerospace
Geo:
Israel, Palestine, Turkiye, Africa, Egypt, Iraq, Mena, Usa, Saudi, Emirates
TTPs:
Tactics: 1
Technics: 12
IOCs:
File: 1
Soft:
Microsoft Word
Algorithms:
zip
Languages:
javascript, powershell, visual_basic
SOCRadar® Cyber Intelligence Inc.
Threat Actor Profile: Molerats - SOCRadar® Cyber Intelligence Inc.
Much like mole rats create an intricate network of underground tunnels, the cyber threat group known as Molerats has expertly burrowed its way through the