CTT Report Hub
#ParsedReport #CompletenessLow 29-04-2024 Wpeeper. Suspense of fake death: What is the Wpeeper Trojan trying to do? https://blog.xlab.qianxin.com/playing-possum-whats-the-wpeeper-backdoor-up-to_cn Report completeness: Low Threats: Wpeeper Industry: Healthcare…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
** Основная идея:** В тексте рассказывается об обнаружении и анализе сложного вредоносного ПО для Android под названием Wpeeper, которое работает как бэкдор-троян, нацеленный на системы Android. В нем описываются расширенные функциональные возможности Wpeeper, операции на сетевом уровне, использование взломанных сайтов WORDPRESS в качестве серверов управления, механизмы шифрования и потенциальные мотивы его создателей. В анализе подчеркивается сложная инфраструктура вредоносного ПО и тактика уклонения от обнаружения, что подчеркивает необходимость принятия упреждающих мер кибербезопасности для противодействия растущим угрозам, исходящим от такого продвинутого вредоносного ПО.
-----
Wpeeper - это продвинутый троян-бэкдор для Android, обнаруженный в апреле 2024 года, который использует взломанный сайт WORDPRESS в качестве сервера управления (C2).
Эта вредоносная программа может собирать конфиденциальную информацию об устройстве, управлять файлами, выполнять команды и многое другое.
Wpeeper использует сложные операции сетевого уровня, используя многоуровневую архитектуру C2 для маскировки реального C2 и шифрования инструкций с использованием сигнатур AES и эллиптических кривых.
Он распространялся через "вторичную упаковку" в приложении UPtodown Store, что позволяло избежать обнаружения антивирусом.
Вредоносная программа внезапно прекратила свою активность 22 апреля, что вызвало опасения по поводу ее будущих действий и потенциального более масштабного заговора.
Он опирается на 45 серверов C2, в основном на взломанные сайты WORDPRESS, и различает общие команды и жестко запрограммированные C2s.
Wpeeper использует библиотеку libcurl для создания POST-запросов, выделяет поля cookie и сеанса для идентификации запроса и использует ответы JSON для выполнения команд.
Анализ дает представление о механизмах работы Wpeeper, методах шифрования, командных структурах и стратегических решениях, принимаемых для того, чтобы избежать обнаружения.
XLabs приглашает к сотрудничеству затронутые организации для дальнейшего понимания поведения Wpeeper и подчеркивает важность упреждающих мер кибербезопасности.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
** Основная идея:** В тексте рассказывается об обнаружении и анализе сложного вредоносного ПО для Android под названием Wpeeper, которое работает как бэкдор-троян, нацеленный на системы Android. В нем описываются расширенные функциональные возможности Wpeeper, операции на сетевом уровне, использование взломанных сайтов WORDPRESS в качестве серверов управления, механизмы шифрования и потенциальные мотивы его создателей. В анализе подчеркивается сложная инфраструктура вредоносного ПО и тактика уклонения от обнаружения, что подчеркивает необходимость принятия упреждающих мер кибербезопасности для противодействия растущим угрозам, исходящим от такого продвинутого вредоносного ПО.
-----
Wpeeper - это продвинутый троян-бэкдор для Android, обнаруженный в апреле 2024 года, который использует взломанный сайт WORDPRESS в качестве сервера управления (C2).
Эта вредоносная программа может собирать конфиденциальную информацию об устройстве, управлять файлами, выполнять команды и многое другое.
Wpeeper использует сложные операции сетевого уровня, используя многоуровневую архитектуру C2 для маскировки реального C2 и шифрования инструкций с использованием сигнатур AES и эллиптических кривых.
Он распространялся через "вторичную упаковку" в приложении UPtodown Store, что позволяло избежать обнаружения антивирусом.
Вредоносная программа внезапно прекратила свою активность 22 апреля, что вызвало опасения по поводу ее будущих действий и потенциального более масштабного заговора.
Он опирается на 45 серверов C2, в основном на взломанные сайты WORDPRESS, и различает общие команды и жестко запрограммированные C2s.
Wpeeper использует библиотеку libcurl для создания POST-запросов, выделяет поля cookie и сеанса для идентификации запроса и использует ответы JSON для выполнения команд.
Анализ дает представление о механизмах работы Wpeeper, методах шифрования, командных структурах и стратегических решениях, принимаемых для того, чтобы избежать обнаружения.
XLabs приглашает к сотрудничеству затронутые организации для дальнейшего понимания поведения Wpeeper и подчеркивает важность упреждающих мер кибербезопасности.
#ParsedReport #CompletenessLow
29-04-2024
Romance scam recommending coin investment
https://asec.ahnlab.com/ko/64753
Report completeness: Low
Threats:
Coinscam
Industry:
Financial
Geo:
Korea
ChatGPT TTPs:
T1566, T1584, T1583, T1591
IOCs:
Hash: 6
Wallets:
coinbase
Crypto:
bitcoin
29-04-2024
Romance scam recommending coin investment
https://asec.ahnlab.com/ko/64753
Report completeness: Low
Threats:
Coinscam
Industry:
Financial
Geo:
Korea
ChatGPT TTPs:
do not use without manual checkT1566, T1584, T1583, T1591
IOCs:
Hash: 6
Wallets:
coinbase
Crypto:
bitcoin
ASEC
코인 투자를 권유하는 로맨스 스캠 - ASEC
코인 투자를 권유하는 로맨스 스캠 ASEC
CTT Report Hub
#ParsedReport #CompletenessLow 29-04-2024 Romance scam recommending coin investment https://asec.ahnlab.com/ko/64753 Report completeness: Low Threats: Coinscam Industry: Financial Geo: Korea ChatGPT TTPs: do not use without manual check T1566, T1584…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что команда мобильного анализа AhnLab раскрыла случай романтической аферы, связанной с выдачей себя за зарубежных друзей или возлюбленных для вымогательства денег под видом инвестиций в криптовалюту. Этот тип мошенничества использует эмоции людей в целях получения финансовой выгоды, при этом мошенники используют изощренные тактики, такие как поддельные криптовалютные биржи и обманные методы обмана жертв по всему миру. Пользователям рекомендуется быть осторожными с незнакомыми криптовалютными биржами и использовать современное антивирусное программное обеспечение, чтобы защитить себя от подобных мошеннических схем.
-----
Команда мобильного анализа AhnLab раскрыла случай любовной аферы, в ходе которой люди выдавали себя за зарубежного друга или возлюбленную, чтобы завязать отношения, а затем вымогали деньги под видом инвестирования в криптовалюту. Термин "романтическая афера" представляет собой смесь слов "романтика" и "мошенничество", обозначающий тип кредитного мошенничества, который использует эмоции людей для получения финансовой выгоды. В то время как традиционные любовные аферы, как правило, связаны с прямым вымогательством денег после завоевания доверия, мошенники научились включать в свои схемы фальшивые криптовалютные биржи, банки и платформы онлайн-покупок. Эти мошеннические действия не ограничиваются Кореей, а осуществляются по всему миру с использованием переводческих сервисов для облегчения общения между преступниками и жертвами.
В данном случае преступник, представлявшийся гражданином Китая и Японии, который искал друзей за рубежом, в течение нескольких дней вступал с жертвой в разговоры, чтобы оценить ее пригодность в качестве мишени. Выявив потенциальную жертву, мошенник тонко внедрил идею получения прибыли от секретной информации о криптовалюте, которой он поделился через знакомых, подготовив почву для последующей финансовой эксплуатации. Для дальнейшего обмана жертвам предоставляются поддельные платформы обмена криптовалютами с ограниченными функциональными возможностями, чтобы создать иллюзию легитимности и свести к минимуму шансы на обнаружение.
В ходе тщательного расследования команда мобильного анализа AhnLab выявила множество поддельных приложений для обмена криптовалютами и веб-сайтов, связанных с любовными аферами. Некоторые из этих мошеннических платформ уже были отмечены за их мошеннические действия, что побудило мошенников закрыть свои сервисы и провести ребрендинг под новыми названиями, чтобы продолжить свою незаконную деятельность. Выявленные приложения были классифицированы как PUP /Android.CoinScam, подчеркивая обманчивый характер этих схем и проблемы, связанные с упреждающим выявлением злонамеренных намерений исключительно на основе внешнего вида приложения или содержимого веб-сайта.
Учитывая изощренную тактику социальной инженерии, используемую в мошеннических действиях, пользователям сложно обнаружить их заранее. В качестве меры предосторожности физическим лицам рекомендуется избегать незнакомых криптовалютных бирж и использовать современное антивирусное программное обеспечение, чтобы снизить риск стать жертвой таких мошеннических схем. Оставаясь бдительными и осторожными в Сети, пользователи могут лучше защитить себя от финансовой эксплуатации, организованной с помощью любовных афер, использующих инвестиции в криптовалюту.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что команда мобильного анализа AhnLab раскрыла случай романтической аферы, связанной с выдачей себя за зарубежных друзей или возлюбленных для вымогательства денег под видом инвестиций в криптовалюту. Этот тип мошенничества использует эмоции людей в целях получения финансовой выгоды, при этом мошенники используют изощренные тактики, такие как поддельные криптовалютные биржи и обманные методы обмана жертв по всему миру. Пользователям рекомендуется быть осторожными с незнакомыми криптовалютными биржами и использовать современное антивирусное программное обеспечение, чтобы защитить себя от подобных мошеннических схем.
-----
Команда мобильного анализа AhnLab раскрыла случай любовной аферы, в ходе которой люди выдавали себя за зарубежного друга или возлюбленную, чтобы завязать отношения, а затем вымогали деньги под видом инвестирования в криптовалюту. Термин "романтическая афера" представляет собой смесь слов "романтика" и "мошенничество", обозначающий тип кредитного мошенничества, который использует эмоции людей для получения финансовой выгоды. В то время как традиционные любовные аферы, как правило, связаны с прямым вымогательством денег после завоевания доверия, мошенники научились включать в свои схемы фальшивые криптовалютные биржи, банки и платформы онлайн-покупок. Эти мошеннические действия не ограничиваются Кореей, а осуществляются по всему миру с использованием переводческих сервисов для облегчения общения между преступниками и жертвами.
В данном случае преступник, представлявшийся гражданином Китая и Японии, который искал друзей за рубежом, в течение нескольких дней вступал с жертвой в разговоры, чтобы оценить ее пригодность в качестве мишени. Выявив потенциальную жертву, мошенник тонко внедрил идею получения прибыли от секретной информации о криптовалюте, которой он поделился через знакомых, подготовив почву для последующей финансовой эксплуатации. Для дальнейшего обмана жертвам предоставляются поддельные платформы обмена криптовалютами с ограниченными функциональными возможностями, чтобы создать иллюзию легитимности и свести к минимуму шансы на обнаружение.
В ходе тщательного расследования команда мобильного анализа AhnLab выявила множество поддельных приложений для обмена криптовалютами и веб-сайтов, связанных с любовными аферами. Некоторые из этих мошеннических платформ уже были отмечены за их мошеннические действия, что побудило мошенников закрыть свои сервисы и провести ребрендинг под новыми названиями, чтобы продолжить свою незаконную деятельность. Выявленные приложения были классифицированы как PUP /Android.CoinScam, подчеркивая обманчивый характер этих схем и проблемы, связанные с упреждающим выявлением злонамеренных намерений исключительно на основе внешнего вида приложения или содержимого веб-сайта.
Учитывая изощренную тактику социальной инженерии, используемую в мошеннических действиях, пользователям сложно обнаружить их заранее. В качестве меры предосторожности физическим лицам рекомендуется избегать незнакомых криптовалютных бирж и использовать современное антивирусное программное обеспечение, чтобы снизить риск стать жертвой таких мошеннических схем. Оставаясь бдительными и осторожными в Сети, пользователи могут лучше защитить себя от финансовой эксплуатации, организованной с помощью любовных афер, использующих инвестиции в криптовалюту.
👍1
Forwarded from AUTHORITY
Погружаемся в PEB. DLL Spoofing
В новой статье описали возможность подмены адреса DLL в PEB, что дает нам возможность изменить результат функции GetModuleHandle.
Также реализовали простейшую библиотеку с этим функционалом.
Читайте полную статью по ссылке!
https://habr.com/ru/articles/811107/
В новой статье описали возможность подмены адреса DLL в PEB, что дает нам возможность изменить результат функции GetModuleHandle.
Также реализовали простейшую библиотеку с этим функционалом.
Читайте полную статью по ссылке!
https://habr.com/ru/articles/811107/
Хабр
Погружаемся в PEB. DLL Spoofing
В предыдущей статье мы в первом приближении рассмотрели PEB и разобрались, как подменить аргументы командной строки. Продолжая разбираться с PEB, рассмотрим еще один способ повлиять на исполнение...
👍3
#ParsedReport #CompletenessLow
30-04-2024
EDR detection of Danabot malware distributed in word documents
https://asec.ahnlab.com/ko/64906
Report completeness: Low
Threats:
Danabot
ChatGPT TTPs:
T1566.001, T1204.002, T1105, T1059.001, T1027, T1547.003, T1005
IOCs:
File: 9
Hash: 3
Soft:
outlook
Languages:
powershell
30-04-2024
EDR detection of Danabot malware distributed in word documents
https://asec.ahnlab.com/ko/64906
Report completeness: Low
Threats:
Danabot
ChatGPT TTPs:
do not use without manual checkT1566.001, T1204.002, T1105, T1059.001, T1027, T1547.003, T1005
IOCs:
File: 9
Hash: 3
Soft:
outlook
Languages:
powershell
ASEC BLOG
워드문서로 유포되는 다나봇 악성코드의 EDR탐지 - ASEC BLOG
최근 이메일을 통해 유포되는 문서 악성코드는 수식 편집기 취약점 문서와 외부 External 연결 주소가 포함된 문서가 주로 유포된다. 해당 블로그는 후자의 방식인 외부 External 연결 주소가 포함된 문서로 유포되는 다나봇(Danabot) 악성코드의 감염 흐름을 설명하고, 자사 EDR 제품의 다이어그램을 통해 확인 가능한 증적 및 탐지를 설명한다. [그림 1]은 External 연결 주소가 포함된 워드문서가 첨부된 스팸메일 본문이다. 본문 내용을…
CTT Report Hub
#ParsedReport #CompletenessLow 30-04-2024 EDR detection of Danabot malware distributed in word documents https://asec.ahnlab.com/ko/64906 Report completeness: Low Threats: Danabot ChatGPT TTPs: do not use without manual check T1566.001, T1204.002, T1105…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Название: Поток распространения и заражения вредоносной программой Danabot через вложения электронной почты.
Основная идея: В тексте обсуждается недавняя тенденция распространения вредоносных программ для документов по электронной почте, использующих уязвимости в редакторах формул и документах с внешними адресами подключения, с акцентом на поток заражения вредоносным ПО Danabot. В нем содержится информация о тактике, применяемой злоумышленниками, процессе выполнения и методах обнаружения с использованием продукта EDR. В статье подчеркивается необходимость принятия надежных мер безопасности и бдительности пользователей для предотвращения и смягчения таких киберугроз.
-----
В тексте описывается недавняя тенденция, когда вредоносное ПО для документов, распространяемое по электронной почте, в основном использует уязвимости в редакторах формул и документах, содержащих адреса внешних подключений. В сообщении в блоге подробно описывается поток заражения вредоносным ПО Danabot, которое распространяется в виде документа с адресом внешнего подключения. В статье дается представление о трассировках и методах обнаружения с использованием схемы продукта EDR (Endpoint Detection and Response) компании.
Текст электронного письма на рисунке 1 выглядит как замаскированное электронное письмо с заявлением о приеме на работу, предназначенное для обмана получателя. Прикрепленный документ Word (.docx) содержит адрес внешнего подключения. На рисунке 2 показаны следы EDR с компьютера, который открыл электронное письмо и запустил вложенный файл, демонстрируя создание и выполнение файла документа (.docx) с помощью таких процессов, как Outlook (outlook.exe ), Слово (winword.exe ), Командное окно (cmd.exe ), Powershell (powershell.exe ) и, в конечном счете, ведущий к выполнению исполняемого файла (iu4t4.exe) и rundll32.exe.
На рисунке 3 показана функция вредоносного документа Word, которая заключается в загрузке файла документа (w1p3nx.dotm) по адресу внешнего подключения. На рисунке 6 показан код макроса в загруженном впоследствии документе макроса (w1p4nx.dotm), расшифровка и выполнение закодированной команды cmd. Расшифрованная команда, как показано на рисунке 7, приводит к тому, что команда Powershell загружает вредоносную программу DanaBot (iu4t4.exe) с сервера управления (C2).
На рисунках 8 и 9 показано создание вредоносной программы DanaBot (iu4t4.exe) с помощью Powershell и путь ее загрузки с помощью C:\Users\Public. Кроме того, на рисунке 10 показано, как запущенная вредоносная программа DanaBot повторно запускает себя с параметрами через rundll32.exe, где shell32.dll показан процесс, стоящий за этой операцией.
После заражения Danabot предназначен для кражи различной информации с зараженного ПК, причем сбор данных происходит даже без подключения к серверу C2. На рисунке 11 показаны действия пользователя rundll32.exe, включая сбор снимков экрана, информации о компьютере и данных учетной записи браузера.
Тактика злоумышленника заключается в сокрытии вредоносных макросов, используя документ с адресом внешней ссылки в качестве фактического вложения. Электронные письма создаются так, чтобы они выглядели как законные заявления о приеме на работу, чтобы побудить получателей открыть файл вредоносного документа. Пользователям рекомендуется проявлять осторожность при открытии вложений, чтобы предотвратить выполнение потенциально опасного кода. Использование продуктов безопасности для мониторинга доступа и оперативного реагирования на любые выявленные угрозы имеет важное значение для смягчения и предотвращения их возникновения.
Таким образом, в тексте описывается процесс распространения и заражения вредоносного ПО Danabot через электронные письма, содержащие адреса внешних подключений, подчеркивается важность надежных мер безопасности и бдительности пользователей при обнаружении и предотвращении таких киберугроз.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Название: Поток распространения и заражения вредоносной программой Danabot через вложения электронной почты.
Основная идея: В тексте обсуждается недавняя тенденция распространения вредоносных программ для документов по электронной почте, использующих уязвимости в редакторах формул и документах с внешними адресами подключения, с акцентом на поток заражения вредоносным ПО Danabot. В нем содержится информация о тактике, применяемой злоумышленниками, процессе выполнения и методах обнаружения с использованием продукта EDR. В статье подчеркивается необходимость принятия надежных мер безопасности и бдительности пользователей для предотвращения и смягчения таких киберугроз.
-----
В тексте описывается недавняя тенденция, когда вредоносное ПО для документов, распространяемое по электронной почте, в основном использует уязвимости в редакторах формул и документах, содержащих адреса внешних подключений. В сообщении в блоге подробно описывается поток заражения вредоносным ПО Danabot, которое распространяется в виде документа с адресом внешнего подключения. В статье дается представление о трассировках и методах обнаружения с использованием схемы продукта EDR (Endpoint Detection and Response) компании.
Текст электронного письма на рисунке 1 выглядит как замаскированное электронное письмо с заявлением о приеме на работу, предназначенное для обмана получателя. Прикрепленный документ Word (.docx) содержит адрес внешнего подключения. На рисунке 2 показаны следы EDR с компьютера, который открыл электронное письмо и запустил вложенный файл, демонстрируя создание и выполнение файла документа (.docx) с помощью таких процессов, как Outlook (outlook.exe ), Слово (winword.exe ), Командное окно (cmd.exe ), Powershell (powershell.exe ) и, в конечном счете, ведущий к выполнению исполняемого файла (iu4t4.exe) и rundll32.exe.
На рисунке 3 показана функция вредоносного документа Word, которая заключается в загрузке файла документа (w1p3nx.dotm) по адресу внешнего подключения. На рисунке 6 показан код макроса в загруженном впоследствии документе макроса (w1p4nx.dotm), расшифровка и выполнение закодированной команды cmd. Расшифрованная команда, как показано на рисунке 7, приводит к тому, что команда Powershell загружает вредоносную программу DanaBot (iu4t4.exe) с сервера управления (C2).
На рисунках 8 и 9 показано создание вредоносной программы DanaBot (iu4t4.exe) с помощью Powershell и путь ее загрузки с помощью C:\Users\Public. Кроме того, на рисунке 10 показано, как запущенная вредоносная программа DanaBot повторно запускает себя с параметрами через rundll32.exe, где shell32.dll показан процесс, стоящий за этой операцией.
После заражения Danabot предназначен для кражи различной информации с зараженного ПК, причем сбор данных происходит даже без подключения к серверу C2. На рисунке 11 показаны действия пользователя rundll32.exe, включая сбор снимков экрана, информации о компьютере и данных учетной записи браузера.
Тактика злоумышленника заключается в сокрытии вредоносных макросов, используя документ с адресом внешней ссылки в качестве фактического вложения. Электронные письма создаются так, чтобы они выглядели как законные заявления о приеме на работу, чтобы побудить получателей открыть файл вредоносного документа. Пользователям рекомендуется проявлять осторожность при открытии вложений, чтобы предотвратить выполнение потенциально опасного кода. Использование продуктов безопасности для мониторинга доступа и оперативного реагирования на любые выявленные угрозы имеет важное значение для смягчения и предотвращения их возникновения.
Таким образом, в тексте описывается процесс распространения и заражения вредоносного ПО Danabot через электронные письма, содержащие адреса внешних подключений, подчеркивается важность надежных мер безопасности и бдительности пользователей при обнаружении и предотвращении таких киберугроз.
#ParsedReport #CompletenessLow
29-04-2024
A Cunning Operator: Muddling Meerkat and China s Great Firewall
https://blogs.infoblox.com/threat-intelligence/a-cunning-operator-muddling-meerkat-and-chinas-great-firewall
Report completeness: Low
Actors/Campaigns:
Muddling_meerkat (motivation: cyber_espionage)
Volt_typhoon
Threats:
Exploderbot_actor
Industry:
Education, Government
Geo:
Chinese, China
ChatGPT TTPs:
T1568.002, T1071.004, T1568.003
IOCs:
Domain: 41
IP: 6
Soft:
Active Directory
29-04-2024
A Cunning Operator: Muddling Meerkat and China s Great Firewall
https://blogs.infoblox.com/threat-intelligence/a-cunning-operator-muddling-meerkat-and-chinas-great-firewall
Report completeness: Low
Actors/Campaigns:
Muddling_meerkat (motivation: cyber_espionage)
Volt_typhoon
Threats:
Exploderbot_actor
Industry:
Education, Government
Geo:
Chinese, China
ChatGPT TTPs:
do not use without manual checkT1568.002, T1071.004, T1568.003
IOCs:
Domain: 41
IP: 6
Soft:
Active Directory
Infoblox Blog
Infoblox Discovers Multiyear Sophisticated Chinese DNS Operation | Infoblox
Learn how unusual mail server record responses from China’s Great Firewall accidentally revealed a years-long operation using Domain Name System (DNS) queries to penetrate global networks.
CTT Report Hub
#ParsedReport #CompletenessLow 29-04-2024 A Cunning Operator: Muddling Meerkat and China s Great Firewall https://blogs.infoblox.com/threat-intelligence/a-cunning-operator-muddling-meerkat-and-chinas-great-firewall Report completeness: Low Actors/Campaigns:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что злоумышленник по имени Muddling Meerkat, который, как полагают, связан с государственным деятелем Китая, использует сложную тактику, включающую манипулирование DNS, открытые распознаватели DNS, ложные записи MX и операции, связанные с Большим брандмауэром Китая. Их деятельность, начатая в октябре 2019 года, демонстрирует высокий уровень компетентности и сложности, что затрудняет их обнаружение и потенциально создает угрозы для критически важной инфраструктуры. Обманчивая тактика злоумышленника и использование открытых распознавателей приводят к прерывистой активности, что затрудняет распознавание подлинных событий, связанных с китайскими IP-адресами, от вредоносных.
-----
Злоумышленник по имени Muddling Meerkat, вероятно, связанный с китайским государственным деятелем, использует сложную тактику манипулирования DNS с октября 2019 года.
Тактика включает в себя генерацию больших объемов DNS-запросов, ложных MX-записей со случайных китайских IP-адресов и использование открытых DNS-распознавателей.
Операции связаны с серверами в китайском IP-пространстве, непрерывными кампаниями продолжительностью от одного до трех дней и трудностями обнаружения из-за смешивания с обычной сетевой активностью.
Действия компании пересекаются с китайскими DDoS-атаками Great Firewall и Slow Drip DNS, создавая угрозу критически важной инфраструктуре.
Actor вводит ложные ответы MX-записи с китайских IP-адресов, запрашивает случайные поддомены целевых доменов.
Использует динамичный и развивающийся метод работы, чередует IP-адреса назначения для DNS-запросов.
Мотивы неясны, тактика заключается в выборочном срабатывании ответов с помощью сигнатур пакетов, нацеливании MX-запросов на целевые домены и случайные поддомены.
Домены, связанные с Muddling Meerkat, разнообразны и не обязательно указывают на злой умысел: от припаркованных доменов до законных.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что злоумышленник по имени Muddling Meerkat, который, как полагают, связан с государственным деятелем Китая, использует сложную тактику, включающую манипулирование DNS, открытые распознаватели DNS, ложные записи MX и операции, связанные с Большим брандмауэром Китая. Их деятельность, начатая в октябре 2019 года, демонстрирует высокий уровень компетентности и сложности, что затрудняет их обнаружение и потенциально создает угрозы для критически важной инфраструктуры. Обманчивая тактика злоумышленника и использование открытых распознавателей приводят к прерывистой активности, что затрудняет распознавание подлинных событий, связанных с китайскими IP-адресами, от вредоносных.
-----
Злоумышленник по имени Muddling Meerkat, вероятно, связанный с китайским государственным деятелем, использует сложную тактику манипулирования DNS с октября 2019 года.
Тактика включает в себя генерацию больших объемов DNS-запросов, ложных MX-записей со случайных китайских IP-адресов и использование открытых DNS-распознавателей.
Операции связаны с серверами в китайском IP-пространстве, непрерывными кампаниями продолжительностью от одного до трех дней и трудностями обнаружения из-за смешивания с обычной сетевой активностью.
Действия компании пересекаются с китайскими DDoS-атаками Great Firewall и Slow Drip DNS, создавая угрозу критически важной инфраструктуре.
Actor вводит ложные ответы MX-записи с китайских IP-адресов, запрашивает случайные поддомены целевых доменов.
Использует динамичный и развивающийся метод работы, чередует IP-адреса назначения для DNS-запросов.
Мотивы неясны, тактика заключается в выборочном срабатывании ответов с помощью сигнатур пакетов, нацеливании MX-запросов на целевые домены и случайные поддомены.
Домены, связанные с Muddling Meerkat, разнообразны и не обязательно указывают на злой умысел: от припаркованных доменов до законных.
#ParsedReport #CompletenessLow
01-05-2024
Dissecting REMCOS RAT: An in- depth analysis of a widespread 2024 malware, Part Two
https://www.elastic.co/security-labs/dissecting-remcos-rat-part-two
Report completeness: Low
Threats:
Remcos_rat
ChatGPT TTPs:
T1053, T1055, T1543, T1056, T1562, T1113, T1123, T1071
IOCs:
File: 4
Registry: 2
Algorithms:
rc4
Win API:
ShellExecuteW, SetWindowsHookExA, CreateCompatibleBitmap, BitBlt, GetCursorInfo, GetIconInfo, DrawIcon
01-05-2024
Dissecting REMCOS RAT: An in- depth analysis of a widespread 2024 malware, Part Two
https://www.elastic.co/security-labs/dissecting-remcos-rat-part-two
Report completeness: Low
Threats:
Remcos_rat
ChatGPT TTPs:
do not use without manual checkT1053, T1055, T1543, T1056, T1562, T1113, T1123, T1071
IOCs:
File: 4
Registry: 2
Algorithms:
rc4
Win API:
ShellExecuteW, SetWindowsHookExA, CreateCompatibleBitmap, BitBlt, GetCursorInfo, GetIconInfo, DrawIcon
www.elastic.co
Dissecting REMCOS RAT: An in-depth analysis of a widespread 2024 malware, Part Two — Elastic Security Labs
In the previous article in this series on the REMCOS implant, we shared information about execution, persistence, and defense evasion mechanisms. Continuing this series we’ll cover the second half of its execution flow and you’ll learn more about REMCOS recording…
CTT Report Hub
#ParsedReport #CompletenessLow 01-05-2024 Dissecting REMCOS RAT: An in- depth analysis of a widespread 2024 malware, Part Two https://www.elastic.co/security-labs/dissecting-remcos-rat-part-two Report completeness: Low Threats: Remcos_rat ChatGPT TTPs:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В тексте обсуждается анализ имплантата REMCOS, уделяя особое внимание его возможностям записи, процессам запуска и методам связи командования и контроля (C2), демонстрируя его сложные функции для борьбы с киберугрозами.
-----
Вторая часть анализа, посвященного имплантату REMCOS, посвящена его возможностям записи, процессам запуска и методам передачи команд и контроля (C2).
** Функция watchdog **:.
Если активирован флажок "enable_watchdog_flag", REMCOS запускает функцию сторожевого таймера для мониторинга и перезапуска основного процесса в случае его завершения. Сторожевой таймер запускает новый процесс и внедряется в него для обеспечения непрерывности. Кроме того, вредоносная программа проверяет наличие определенного значения раздела реестра, удаляет его при обнаружении и активирует процедуры мониторинга для поддержания постоянства.
** Автономный кейлоггер**:.
REMCOS включает в себя режим "Автономного кейлоггера", который можно включить, установив в конфигурации поле "keylogger_mode". Эта функция запускает кейлоггинг при активации, создавая путь для хранения журналов. Шифрование с использованием алгоритма RC4 с конфигурационным ключом возможно, если включен флаг enable_keylogger_file_encryption_flag. Кейлоггер проверяет текущее окно каждую секунду, чтобы остановить ведение журнала при выполнении определенных условий.
**Запись с экрана**:.
Включив флажок "enable_screenshot_flag", REMCOS может делать снимки экрана с помощью различных API Windows. Если активен флажок "enable_screenshot_mouse_drawing_flag", в записи включается курсор мыши. Вредоносная программа может устанавливать интервалы для создания скриншотов и сохранять их с определенными соглашениями об именах. Дополнительные функции позволяют осуществлять целенаправленную запись экрана на основе названий окон.
**Аудиозапись**:.
Активация флажка `enable_audio_recording_flag` запускает функцию записи звука REMCOS. Записи сохраняются в определенных папках, и новые записи начинаются по истечении установленного времени.
**Связь C2**:.
REMCOS устанавливает связь со своим C2, пытаясь подключиться к доменам, перечисленным в "c2_list`. Возможна зашифрованная связь с использованием протокола TLS, а для создания туннелей TLS используются такие поля конфигурации, как `tls_raw_certificate` и `tls_key`. Примечательно, что использование единого однорангового сертификата для нескольких доменов C2 с поддержкой TLS потенциально может выявить другие соединения C2, использующие тот же сертификат.
В конце статьи упоминается, что в последующих частях серии будут рассмотрены параметры конфигурации REMCOS и команды, используемые для связи C2. Этот подробный обзор дает представление о сложных возможностях REMCOS, подчеркивая его скрытный подход и надежные функциональные возможности для борьбы с киберугрозами.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В тексте обсуждается анализ имплантата REMCOS, уделяя особое внимание его возможностям записи, процессам запуска и методам связи командования и контроля (C2), демонстрируя его сложные функции для борьбы с киберугрозами.
-----
Вторая часть анализа, посвященного имплантату REMCOS, посвящена его возможностям записи, процессам запуска и методам передачи команд и контроля (C2).
** Функция watchdog **:.
Если активирован флажок "enable_watchdog_flag", REMCOS запускает функцию сторожевого таймера для мониторинга и перезапуска основного процесса в случае его завершения. Сторожевой таймер запускает новый процесс и внедряется в него для обеспечения непрерывности. Кроме того, вредоносная программа проверяет наличие определенного значения раздела реестра, удаляет его при обнаружении и активирует процедуры мониторинга для поддержания постоянства.
** Автономный кейлоггер**:.
REMCOS включает в себя режим "Автономного кейлоггера", который можно включить, установив в конфигурации поле "keylogger_mode". Эта функция запускает кейлоггинг при активации, создавая путь для хранения журналов. Шифрование с использованием алгоритма RC4 с конфигурационным ключом возможно, если включен флаг enable_keylogger_file_encryption_flag. Кейлоггер проверяет текущее окно каждую секунду, чтобы остановить ведение журнала при выполнении определенных условий.
**Запись с экрана**:.
Включив флажок "enable_screenshot_flag", REMCOS может делать снимки экрана с помощью различных API Windows. Если активен флажок "enable_screenshot_mouse_drawing_flag", в записи включается курсор мыши. Вредоносная программа может устанавливать интервалы для создания скриншотов и сохранять их с определенными соглашениями об именах. Дополнительные функции позволяют осуществлять целенаправленную запись экрана на основе названий окон.
**Аудиозапись**:.
Активация флажка `enable_audio_recording_flag` запускает функцию записи звука REMCOS. Записи сохраняются в определенных папках, и новые записи начинаются по истечении установленного времени.
**Связь C2**:.
REMCOS устанавливает связь со своим C2, пытаясь подключиться к доменам, перечисленным в "c2_list`. Возможна зашифрованная связь с использованием протокола TLS, а для создания туннелей TLS используются такие поля конфигурации, как `tls_raw_certificate` и `tls_key`. Примечательно, что использование единого однорангового сертификата для нескольких доменов C2 с поддержкой TLS потенциально может выявить другие соединения C2, использующие тот же сертификат.
В конце статьи упоминается, что в последующих частях серии будут рассмотрены параметры конфигурации REMCOS и команды, используемые для связи C2. Этот подробный обзор дает представление о сложных возможностях REMCOS, подчеркивая его скрытный подход и надежные функциональные возможности для борьбы с киберугрозами.
#ParsedReport #CompletenessMedium
28-04-2024
Hunting for a Sliver in a haystack
https://www.huntandhackett.com/blog/hunting-for-a-sliver
Report completeness: Medium
Actors/Campaigns:
Duke
Threats:
Sliver_c2_tool
Cobalt_strike
Rubeus_tool
Sharpmapexec_tool
Sharprdp_tool
Bloodhound_tool
Qakbot
Icedid
Emotet
Trickbot
Megasync_tool
Process_injection_technique
Mimikatz_tool
TTPs:
IOCs:
Command: 1
Path: 2
File: 12
Soft:
Unix, MacOS, Windows Registry, Windows Event Tracing, Sysinternals, Event Tracing for Windows, Wireguard
Win API:
OpenProcessToken, ImpersonateLoggedOnUser, DuplicateTokenEx, AdjustTokenPrivileges, SeAssignPrimaryTokenPrivilege, SeIncreaseQuotaPrivilege, VirtualAllocEx, WriteProcessMemory, CreateRemoteThread
Languages:
golang, powershell
Platforms:
cross-platform
28-04-2024
Hunting for a Sliver in a haystack
https://www.huntandhackett.com/blog/hunting-for-a-sliver
Report completeness: Medium
Actors/Campaigns:
Duke
Threats:
Sliver_c2_tool
Cobalt_strike
Rubeus_tool
Sharpmapexec_tool
Sharprdp_tool
Bloodhound_tool
Qakbot
Icedid
Emotet
Trickbot
Megasync_tool
Process_injection_technique
Mimikatz_tool
TTPs:
IOCs:
Command: 1
Path: 2
File: 12
Soft:
Unix, MacOS, Windows Registry, Windows Event Tracing, Sysinternals, Event Tracing for Windows, Wireguard
Win API:
OpenProcessToken, ImpersonateLoggedOnUser, DuplicateTokenEx, AdjustTokenPrivileges, SeAssignPrimaryTokenPrivilege, SeIncreaseQuotaPrivilege, VirtualAllocEx, WriteProcessMemory, CreateRemoteThread
Languages:
golang, powershell
Platforms:
cross-platform
Huntandhackett
Hunting for a Sliver in a haystack
Explore how the Sliver framework is used by threat actors for covert control and information gathering. Learn about detection methods and hunting tactics in this insightful post.
CTT Report Hub
#ParsedReport #CompletenessMedium 28-04-2024 Hunting for a Sliver in a haystack https://www.huntandhackett.com/blog/hunting-for-a-sliver Report completeness: Medium Actors/Campaigns: Duke Threats: Sliver_c2_tool Cobalt_strike Rubeus_tool Sharpmapexec_tool…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в изучении фреймворка Sliver, его использования злоумышленниками, такими как APT29, его возможностей для скрытого управления удаленными системами, а также методов обнаружения и рекомендуемых инструментов для выявления вредоносных действий, связанных с Sliver, и реагирования на них.
-----
В сообщении в блоге рассматриваются методы обнаружения платформы Sliver и поиска участников угроз, таких как APT29 (Cozy Bear), которые использовали Sliver для достижения своих целей. Sliver - это командно-контрольная платформа (C2), разработанная для скрытого управления удаленными системами. Она позволяет выполнять такие действия, как сбор информации и выполнение задач после эксплуатации. APT29 и группы программ-вымогателей ранее использовали эту платформу для вредоносных действий. Sliver, разработанный в 2019 году компанией Bishop Fox, представляет собой фреймворк для эмуляции противника с открытым исходным кодом, написанный на Golang. Он служит альтернативой популярным инструментам, таким как Cobalt Strike, предлагая модульную систему полезных нагрузок с использованием Armory для простой установки сторонних инструментов.
Платформа поддерживает развертывание на различных платформах, включая Windows, Unix и macOS, с архитектурой клиент-сервер для выполнения задач. Процесс внедрения включает в себя различные этапы - от первоначального доступа до извлечения данных из среды. Sliver предоставляет такие функции, как режим beacon для асинхронной связи и режим session для сеансов в режиме реального времени для эффективного управления удаленными системами. При изучении исходного кода были определены три ключевых метода атаки Sliver, которые были сопоставлены с платформой MITRE ATT&CK для анализа.
Sliver способен выполнять команды PowerShell в системах Windows, используя функциональные возможности PowerShell для вредоносных действий. Он также может повышать привилегии путем кражи и использования пользовательских токенов для выполнения процессов с более высокими разрешениями. Платформа может внедрять шеллкод в процессы, чтобы избежать обнаружения решениями безопасности, позволяя выполнять вредоносный код. Для обнаружения таких методов рекомендуется использовать такие инструменты, как Sysmon и Velociraptor, для мониторинга активности процессов и анализа памяти.
Связь между Sliver implants и серверами C2 обеспечивается с помощью различных сетевых протоколов, таких как HTTP, HTTPS, DNS и mTLS. Для обеспечения безопасной связи рекомендуется использовать протокол Mutual TLS (mTLS), требующий взаимной аутентификации между клиентом и сервером на основе сертификатов TLS. Использование mTLS обеспечивает дополнительный уровень безопасности, затрудняя отслеживание несанкционированных контактов клиентов с серверами C2. Такие инструменты, как JARM, можно использовать для проверки конфигурации TLS и идентификации серверов C2 для отслеживания вредоносных действий.
В блоге подчеркивается важность использования современных решений по обнаружению и реагированию на конечные точки (EDR) для обнаружения методов взлома, особенно тех, которые оставляют следы в памяти. Velociraptor дополняет решения EDR, предоставляя дополнительные возможности поиска угроз для обнаружения и реагирования на злоумышленников, связанных со взломом. Наконец, обсуждаются различные методы обнаружения аномального сетевого трафика, инициируемого Sliver, что подчеркивает необходимость многоаспектного подхода к кибербезопасности при работе с продвинутыми угрозами, такими как Sliver.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в изучении фреймворка Sliver, его использования злоумышленниками, такими как APT29, его возможностей для скрытого управления удаленными системами, а также методов обнаружения и рекомендуемых инструментов для выявления вредоносных действий, связанных с Sliver, и реагирования на них.
-----
В сообщении в блоге рассматриваются методы обнаружения платформы Sliver и поиска участников угроз, таких как APT29 (Cozy Bear), которые использовали Sliver для достижения своих целей. Sliver - это командно-контрольная платформа (C2), разработанная для скрытого управления удаленными системами. Она позволяет выполнять такие действия, как сбор информации и выполнение задач после эксплуатации. APT29 и группы программ-вымогателей ранее использовали эту платформу для вредоносных действий. Sliver, разработанный в 2019 году компанией Bishop Fox, представляет собой фреймворк для эмуляции противника с открытым исходным кодом, написанный на Golang. Он служит альтернативой популярным инструментам, таким как Cobalt Strike, предлагая модульную систему полезных нагрузок с использованием Armory для простой установки сторонних инструментов.
Платформа поддерживает развертывание на различных платформах, включая Windows, Unix и macOS, с архитектурой клиент-сервер для выполнения задач. Процесс внедрения включает в себя различные этапы - от первоначального доступа до извлечения данных из среды. Sliver предоставляет такие функции, как режим beacon для асинхронной связи и режим session для сеансов в режиме реального времени для эффективного управления удаленными системами. При изучении исходного кода были определены три ключевых метода атаки Sliver, которые были сопоставлены с платформой MITRE ATT&CK для анализа.
Sliver способен выполнять команды PowerShell в системах Windows, используя функциональные возможности PowerShell для вредоносных действий. Он также может повышать привилегии путем кражи и использования пользовательских токенов для выполнения процессов с более высокими разрешениями. Платформа может внедрять шеллкод в процессы, чтобы избежать обнаружения решениями безопасности, позволяя выполнять вредоносный код. Для обнаружения таких методов рекомендуется использовать такие инструменты, как Sysmon и Velociraptor, для мониторинга активности процессов и анализа памяти.
Связь между Sliver implants и серверами C2 обеспечивается с помощью различных сетевых протоколов, таких как HTTP, HTTPS, DNS и mTLS. Для обеспечения безопасной связи рекомендуется использовать протокол Mutual TLS (mTLS), требующий взаимной аутентификации между клиентом и сервером на основе сертификатов TLS. Использование mTLS обеспечивает дополнительный уровень безопасности, затрудняя отслеживание несанкционированных контактов клиентов с серверами C2. Такие инструменты, как JARM, можно использовать для проверки конфигурации TLS и идентификации серверов C2 для отслеживания вредоносных действий.
В блоге подчеркивается важность использования современных решений по обнаружению и реагированию на конечные точки (EDR) для обнаружения методов взлома, особенно тех, которые оставляют следы в памяти. Velociraptor дополняет решения EDR, предоставляя дополнительные возможности поиска угроз для обнаружения и реагирования на злоумышленников, связанных со взломом. Наконец, обсуждаются различные методы обнаружения аномального сетевого трафика, инициируемого Sliver, что подчеркивает необходимость многоаспектного подхода к кибербезопасности при работе с продвинутыми угрозами, такими как Sliver.
#ParsedReport #CompletenessMedium
01-05-2024
Threat Actor profile: SideCopy
https://cyble.com/blog/threat-actor-profile-sidecopy
Report completeness: Medium
Actors/Campaigns:
Sidecopy (motivation: cyber_espionage)
Transparenttribe
Sidewinder
Threats:
Allakore_rat
Ares_rat
Detarat_rat
Lilith_rat
Actionrat
Cetarat_rat
Epicenterrat
Margulasrat
Njrat
Reverserat_rat
Spear-phishing_technique
Victims:
Indian defense forces, Armed forces personnel, Indian government entities
Industry:
Government
Geo:
Bangladesh, Pakistani, India, Indian, Pakistan, Afghanistan
CVEs:
CVE-2023-38831 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rarlab winrar (<6.23, 5.30, 5.00, 5.70, 4.1.0)
TTPs:
Algorithms:
zip
Functions:
Getans
Languages:
delphi, python, visual_basic
Platforms:
intel
01-05-2024
Threat Actor profile: SideCopy
https://cyble.com/blog/threat-actor-profile-sidecopy
Report completeness: Medium
Actors/Campaigns:
Sidecopy (motivation: cyber_espionage)
Transparenttribe
Sidewinder
Threats:
Allakore_rat
Ares_rat
Detarat_rat
Lilith_rat
Actionrat
Cetarat_rat
Epicenterrat
Margulasrat
Njrat
Reverserat_rat
Spear-phishing_technique
Victims:
Indian defense forces, Armed forces personnel, Indian government entities
Industry:
Government
Geo:
Bangladesh, Pakistani, India, Indian, Pakistan, Afghanistan
CVEs:
CVE-2023-38831 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rarlab winrar (<6.23, 5.30, 5.00, 5.70, 4.1.0)
TTPs:
Algorithms:
zip
Functions:
Getans
Languages:
delphi, python, visual_basic
Platforms:
intel