#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Название: Поток распространения и заражения вредоносной программой Danabot через вложения электронной почты.
Основная идея: В тексте обсуждается недавняя тенденция распространения вредоносных программ для документов по электронной почте, использующих уязвимости в редакторах формул и документах с внешними адресами подключения, с акцентом на поток заражения вредоносным ПО Danabot. В нем содержится информация о тактике, применяемой злоумышленниками, процессе выполнения и методах обнаружения с использованием продукта EDR. В статье подчеркивается необходимость принятия надежных мер безопасности и бдительности пользователей для предотвращения и смягчения таких киберугроз.
-----

В тексте описывается недавняя тенденция, когда вредоносное ПО для документов, распространяемое по электронной почте, в основном использует уязвимости в редакторах формул и документах, содержащих адреса внешних подключений. В сообщении в блоге подробно описывается поток заражения вредоносным ПО Danabot, которое распространяется в виде документа с адресом внешнего подключения. В статье дается представление о трассировках и методах обнаружения с использованием схемы продукта EDR (Endpoint Detection and Response) компании.

Текст электронного письма на рисунке 1 выглядит как замаскированное электронное письмо с заявлением о приеме на работу, предназначенное для обмана получателя. Прикрепленный документ Word (.docx) содержит адрес внешнего подключения. На рисунке 2 показаны следы EDR с компьютера, который открыл электронное письмо и запустил вложенный файл, демонстрируя создание и выполнение файла документа (.docx) с помощью таких процессов, как Outlook (outlook.exe ), Слово (winword.exe ), Командное окно (cmd.exe ), Powershell (powershell.exe ) и, в конечном счете, ведущий к выполнению исполняемого файла (iu4t4.exe) и rundll32.exe.

На рисунке 3 показана функция вредоносного документа Word, которая заключается в загрузке файла документа (w1p3nx.dotm) по адресу внешнего подключения. На рисунке 6 показан код макроса в загруженном впоследствии документе макроса (w1p4nx.dotm), расшифровка и выполнение закодированной команды cmd. Расшифрованная команда, как показано на рисунке 7, приводит к тому, что команда Powershell загружает вредоносную программу DanaBot (iu4t4.exe) с сервера управления (C2).

На рисунках 8 и 9 показано создание вредоносной программы DanaBot (iu4t4.exe) с помощью Powershell и путь ее загрузки с помощью C:\Users\Public. Кроме того, на рисунке 10 показано, как запущенная вредоносная программа DanaBot повторно запускает себя с параметрами через rundll32.exe, где shell32.dll показан процесс, стоящий за этой операцией.

После заражения Danabot предназначен для кражи различной информации с зараженного ПК, причем сбор данных происходит даже без подключения к серверу C2. На рисунке 11 показаны действия пользователя rundll32.exe, включая сбор снимков экрана, информации о компьютере и данных учетной записи браузера.

Тактика злоумышленника заключается в сокрытии вредоносных макросов, используя документ с адресом внешней ссылки в качестве фактического вложения. Электронные письма создаются так, чтобы они выглядели как законные заявления о приеме на работу, чтобы побудить получателей открыть файл вредоносного документа. Пользователям рекомендуется проявлять осторожность при открытии вложений, чтобы предотвратить выполнение потенциально опасного кода. Использование продуктов безопасности для мониторинга доступа и оперативного реагирования на любые выявленные угрозы имеет важное значение для смягчения и предотвращения их возникновения.

Таким образом, в тексте описывается процесс распространения и заражения вредоносного ПО Danabot через электронные письма, содержащие адреса внешних подключений, подчеркивается важность надежных мер безопасности и бдительности пользователей при обнаружении и предотвращении таких киберугроз.

#ParsedReport #CompletenessLow
29-04-2024

A Cunning Operator: Muddling Meerkat and China s Great Firewall

https://blogs.infoblox.com/threat-intelligence/a-cunning-operator-muddling-meerkat-and-chinas-great-firewall

Report completeness: Low

Actors/Campaigns:
Muddling_meerkat (motivation: cyber_espionage)
Volt_typhoon

Threats:
Exploderbot_actor

Industry:
Education, Government

Geo:
Chinese, China

ChatGPT TTPs:
do not use without manual check
T1568.002, T1071.004, T1568.003

IOCs:
Domain: 41
IP: 6

Soft:
Active Directory

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что злоумышленник по имени Muddling Meerkat, который, как полагают, связан с государственным деятелем Китая, использует сложную тактику, включающую манипулирование DNS, открытые распознаватели DNS, ложные записи MX и операции, связанные с Большим брандмауэром Китая. Их деятельность, начатая в октябре 2019 года, демонстрирует высокий уровень компетентности и сложности, что затрудняет их обнаружение и потенциально создает угрозы для критически важной инфраструктуры. Обманчивая тактика злоумышленника и использование открытых распознавателей приводят к прерывистой активности, что затрудняет распознавание подлинных событий, связанных с китайскими IP-адресами, от вредоносных.
-----

Злоумышленник по имени Muddling Meerkat, вероятно, связанный с китайским государственным деятелем, использует сложную тактику манипулирования DNS с октября 2019 года.

Тактика включает в себя генерацию больших объемов DNS-запросов, ложных MX-записей со случайных китайских IP-адресов и использование открытых DNS-распознавателей.

Операции связаны с серверами в китайском IP-пространстве, непрерывными кампаниями продолжительностью от одного до трех дней и трудностями обнаружения из-за смешивания с обычной сетевой активностью.

Действия компании пересекаются с китайскими DDoS-атаками Great Firewall и Slow Drip DNS, создавая угрозу критически важной инфраструктуре.

Actor вводит ложные ответы MX-записи с китайских IP-адресов, запрашивает случайные поддомены целевых доменов.

Использует динамичный и развивающийся метод работы, чередует IP-адреса назначения для DNS-запросов.

Мотивы неясны, тактика заключается в выборочном срабатывании ответов с помощью сигнатур пакетов, нацеливании MX-запросов на целевые домены и случайные поддомены.

Домены, связанные с Muddling Meerkat, разнообразны и не обязательно указывают на злой умысел: от припаркованных доменов до законных.

#ParsedReport #CompletenessLow
01-05-2024

Dissecting REMCOS RAT: An in- depth analysis of a widespread 2024 malware, Part Two

https://www.elastic.co/security-labs/dissecting-remcos-rat-part-two

Report completeness: Low

Threats:
Remcos_rat

ChatGPT TTPs:
do not use without manual check
T1053, T1055, T1543, T1056, T1562, T1113, T1123, T1071

IOCs:
File: 4
Registry: 2

Algorithms:
rc4

Win API:
ShellExecuteW, SetWindowsHookExA, CreateCompatibleBitmap, BitBlt, GetCursorInfo, GetIconInfo, DrawIcon

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте обсуждается анализ имплантата REMCOS, уделяя особое внимание его возможностям записи, процессам запуска и методам связи командования и контроля (C2), демонстрируя его сложные функции для борьбы с киберугрозами.
-----

Вторая часть анализа, посвященного имплантату REMCOS, посвящена его возможностям записи, процессам запуска и методам передачи команд и контроля (C2).

** Функция watchdog **:.

Если активирован флажок "enable_watchdog_flag", REMCOS запускает функцию сторожевого таймера для мониторинга и перезапуска основного процесса в случае его завершения. Сторожевой таймер запускает новый процесс и внедряется в него для обеспечения непрерывности. Кроме того, вредоносная программа проверяет наличие определенного значения раздела реестра, удаляет его при обнаружении и активирует процедуры мониторинга для поддержания постоянства.

** Автономный кейлоггер**:.

REMCOS включает в себя режим "Автономного кейлоггера", который можно включить, установив в конфигурации поле "keylogger_mode". Эта функция запускает кейлоггинг при активации, создавая путь для хранения журналов. Шифрование с использованием алгоритма RC4 с конфигурационным ключом возможно, если включен флаг enable_keylogger_file_encryption_flag. Кейлоггер проверяет текущее окно каждую секунду, чтобы остановить ведение журнала при выполнении определенных условий.

**Запись с экрана**:.

Включив флажок "enable_screenshot_flag", REMCOS может делать снимки экрана с помощью различных API Windows. Если активен флажок "enable_screenshot_mouse_drawing_flag", в записи включается курсор мыши. Вредоносная программа может устанавливать интервалы для создания скриншотов и сохранять их с определенными соглашениями об именах. Дополнительные функции позволяют осуществлять целенаправленную запись экрана на основе названий окон.

**Аудиозапись**:.

Активация флажка `enable_audio_recording_flag` запускает функцию записи звука REMCOS. Записи сохраняются в определенных папках, и новые записи начинаются по истечении установленного времени.

**Связь C2**:.

REMCOS устанавливает связь со своим C2, пытаясь подключиться к доменам, перечисленным в "c2_list`. Возможна зашифрованная связь с использованием протокола TLS, а для создания туннелей TLS используются такие поля конфигурации, как `tls_raw_certificate` и `tls_key`. Примечательно, что использование единого однорангового сертификата для нескольких доменов C2 с поддержкой TLS потенциально может выявить другие соединения C2, использующие тот же сертификат.

В конце статьи упоминается, что в последующих частях серии будут рассмотрены параметры конфигурации REMCOS и команды, используемые для связи C2. Этот подробный обзор дает представление о сложных возможностях REMCOS, подчеркивая его скрытный подход и надежные функциональные возможности для борьбы с киберугрозами.

#ParsedReport #CompletenessMedium
28-04-2024

Hunting for a Sliver in a haystack

https://www.huntandhackett.com/blog/hunting-for-a-sliver

Report completeness: Medium

Actors/Campaigns:
Duke

Threats:
Sliver_c2_tool
Cobalt_strike
Rubeus_tool
Sharpmapexec_tool
Sharprdp_tool
Bloodhound_tool
Qakbot
Icedid
Emotet
Trickbot
Megasync_tool
Process_injection_technique
Mimikatz_tool

TTPs:

IOCs:
Command: 1
Path: 2
File: 12

Soft:
Unix, MacOS, Windows Registry, Windows Event Tracing, Sysinternals, Event Tracing for Windows, Wireguard

Win API:
OpenProcessToken, ImpersonateLoggedOnUser, DuplicateTokenEx, AdjustTokenPrivileges, SeAssignPrimaryTokenPrivilege, SeIncreaseQuotaPrivilege, VirtualAllocEx, WriteProcessMemory, CreateRemoteThread

Languages:
golang, powershell

Platforms:
cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в изучении фреймворка Sliver, его использования злоумышленниками, такими как APT29, его возможностей для скрытого управления удаленными системами, а также методов обнаружения и рекомендуемых инструментов для выявления вредоносных действий, связанных с Sliver, и реагирования на них.
-----

В сообщении в блоге рассматриваются методы обнаружения платформы Sliver и поиска участников угроз, таких как APT29 (Cozy Bear), которые использовали Sliver для достижения своих целей. Sliver - это командно-контрольная платформа (C2), разработанная для скрытого управления удаленными системами. Она позволяет выполнять такие действия, как сбор информации и выполнение задач после эксплуатации. APT29 и группы программ-вымогателей ранее использовали эту платформу для вредоносных действий. Sliver, разработанный в 2019 году компанией Bishop Fox, представляет собой фреймворк для эмуляции противника с открытым исходным кодом, написанный на Golang. Он служит альтернативой популярным инструментам, таким как Cobalt Strike, предлагая модульную систему полезных нагрузок с использованием Armory для простой установки сторонних инструментов.

Платформа поддерживает развертывание на различных платформах, включая Windows, Unix и macOS, с архитектурой клиент-сервер для выполнения задач. Процесс внедрения включает в себя различные этапы - от первоначального доступа до извлечения данных из среды. Sliver предоставляет такие функции, как режим beacon для асинхронной связи и режим session для сеансов в режиме реального времени для эффективного управления удаленными системами. При изучении исходного кода были определены три ключевых метода атаки Sliver, которые были сопоставлены с платформой MITRE ATT&CK для анализа.

Sliver способен выполнять команды PowerShell в системах Windows, используя функциональные возможности PowerShell для вредоносных действий. Он также может повышать привилегии путем кражи и использования пользовательских токенов для выполнения процессов с более высокими разрешениями. Платформа может внедрять шеллкод в процессы, чтобы избежать обнаружения решениями безопасности, позволяя выполнять вредоносный код. Для обнаружения таких методов рекомендуется использовать такие инструменты, как Sysmon и Velociraptor, для мониторинга активности процессов и анализа памяти.

Связь между Sliver implants и серверами C2 обеспечивается с помощью различных сетевых протоколов, таких как HTTP, HTTPS, DNS и mTLS. Для обеспечения безопасной связи рекомендуется использовать протокол Mutual TLS (mTLS), требующий взаимной аутентификации между клиентом и сервером на основе сертификатов TLS. Использование mTLS обеспечивает дополнительный уровень безопасности, затрудняя отслеживание несанкционированных контактов клиентов с серверами C2. Такие инструменты, как JARM, можно использовать для проверки конфигурации TLS и идентификации серверов C2 для отслеживания вредоносных действий.

В блоге подчеркивается важность использования современных решений по обнаружению и реагированию на конечные точки (EDR) для обнаружения методов взлома, особенно тех, которые оставляют следы в памяти. Velociraptor дополняет решения EDR, предоставляя дополнительные возможности поиска угроз для обнаружения и реагирования на злоумышленников, связанных со взломом. Наконец, обсуждаются различные методы обнаружения аномального сетевого трафика, инициируемого Sliver, что подчеркивает необходимость многоаспектного подхода к кибербезопасности при работе с продвинутыми угрозами, такими как Sliver.

#ParsedReport #CompletenessMedium
01-05-2024

Threat Actor profile: SideCopy

https://cyble.com/blog/threat-actor-profile-sidecopy

Report completeness: Medium

Actors/Campaigns:
Sidecopy (motivation: cyber_espionage)
Transparenttribe
Sidewinder

Threats:
Allakore_rat
Ares_rat
Detarat_rat
Lilith_rat
Actionrat
Cetarat_rat
Epicenterrat
Margulasrat
Njrat
Reverserat_rat
Spear-phishing_technique

Victims:
Indian defense forces, Armed forces personnel, Indian government entities

Industry:
Government

Geo:
Bangladesh, Pakistani, India, Indian, Pakistan, Afghanistan

CVEs:
CVE-2023-38831 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rarlab winrar (<6.23, 5.30, 5.00, 5.70, 4.1.0)


TTPs:

Algorithms:
zip

Functions:
Getans

Languages:
delphi, python, visual_basic

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что пакистанская группа SideCopy APT активно атакует оборонный сектор Индии с помощью изощренной тактики, такой как кампании фишинга, создание вредоносных артефактов и развертывание нескольких троянских программ удаленного доступа (RATs). Группа постоянно совершенствует свои вредоносные модули, чтобы избежать обнаружения, внимательно следит за секторами, связанными с обороной, в поисках обновлений, которые можно использовать в качестве приманки, и имитирует TTP других групп APT, чтобы ввести в заблуждение экспертов по безопасности. Понимание и отслеживание методов SideCopy необходимы для смягчения угрозы, исходящей от этой группы в киберпространстве.
-----

Компания Cyble, занимающаяся кибербезопасностью, собрала обширную информацию о SideCopy APT group, подробно описав их инструменты, методы и процедуры. Операция SideCopy, проводимая с начала 2019 года, нацелена конкретно на индийские силы обороны и вооруженный персонал. Группа постоянно совершенствует свои вредоносные модули, чтобы избежать обнаружения антивирусным программным обеспечением, внимательно отслеживая любые обнаружения и оперативно обновляя модули по мере необходимости. Большая часть их инфраструктуры управления связана с Contabo GmbH, а сетевая инфраструктура схожа с Transparent Tribe APT group.

Пакистанская компания SideCopy проводит атаки в основном на оборонный сектор Индии, иногда на Афганистан и Бангладеш. Группа известна тем, что создает вредоносные артефакты, в том числе приманки для электронной почты и домены, для проведения фишинговых кампаний. Эти кампании начинаются с фишинговых электронных писем, связанных с новостями министерства обороны, содержащих вредоносные файлы, замаскированные под файлы PDF или DOC. При взаимодействии с этими файлами запускается серия вредоносных действий, которые в конечном итоге приводят к внедрению трояна удаленного доступа (RAT) в систему жертвы.

Используя скомпрометированные домены и постоянно отслеживая связанные с обороной сектора в поисках обновлений, SideCopy эффективно атакует сотрудников министерства обороны. Группа использует различные тактики, включая использование "медовых ловушек" с откровенным контентом, чтобы заманить жертв. Кроме того, SideCopy воспользовалась уязвимостью в системе безопасности WinRAR (CVE-2023-38831) для распространения ряда RAT, таких как AllaKore RAT, Ares RAT и DetaRat.

В качестве конечной полезной нагрузки SideCopy использует несколько RAT, каждая из которых обладает различными возможностями, адаптированными к конкретным целям. Методы связи и повторного использования инфраструктуры группы усложняют отслеживание их деятельности, поскольку связь C&C осуществляется через жестко запрограммированные IP-адреса в пределах полезной нагрузки. Более того, SideCopy намеренно имитирует TTP других APT-групп, таких как SideWinder и Rattlesnake, чтобы ввести в заблуждение сообщество безопасности, подозревая их в связях с Transparent Tribe и APT36.

Учитывая, что SideCopy нацелена на оборонный сектор Индии с помощью фишинговых кампаний и "медовых ловушек", превентивные меры имеют решающее значение для смягчения угрозы, исходящей от этой группы. Различные методы, такие как вредоносные вложения в фишинговых электронных письмах, передача команд и контроля, а также утечка данных по каналам C&C, являются частью методов работы SideCopy. Понимание и отслеживание этих TTP жизненно важно для эффективного противодействия операциям SideCopy и аналогичных субъектов, представляющих угрозу в киберпространстве.

#ParsedReport #CompletenessLow
29-04-2024

Playing Possum: What's the Wpeeper Backdoor Up To?. Summary

https://blog.xlab.qianxin.com/playing-possum-whats-the-wpeeper-backdoor-up-to

Report completeness: Low

Threats:
Wpeeper

Industry:
Healthcare

ChatGPT TTPs:
do not use without manual check
T1195, T1071, T1573, T1547, T1105

IOCs:
File: 2
Hash: 3
Url: 48

Soft:
Android, WordPress

Algorithms:
md5, base64, aes, cbc

Languages:
javascript, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении и анализе сложного троянца-бэкдора под названием Wpeeper, нацеленного на системы Android, распространяемого через взломанные сайты WordPress и использующего передовые методы, позволяющие избежать обнаружения.
-----

18 апреля 2024 года система поиска угроз XLab обнаружила файл ELF, известный как Wpeeper, который распространялся через два домена, один из которых был помечен тремя охранными фирмами как вредоносный. Дальнейший анализ показал, что Wpeeper - это троянская программа-бэкдор, нацеленная на системы Android, использующая взломанные сайты WordPress в качестве серверов ретрансляции команд и контроля (C2). Возможности Wpeeper включают сбор конфиденциальной информации об устройстве, управление файлами, загрузку данных и выполнение команд. Его сетевые операции сложны, в них используется многоуровневая архитектура C2, скрытая на взломанных сайтах WordPress, а команды зашифрованы с использованием сигнатур AES и эллиптических кривых для предотвращения перехвата.

Wpeeper был создан на основе переупакованных приложений в UPtodown Store, использующих обычные APK-файлы для загрузки и запуска вредоносного ELF, при этом избегая обнаружения антивирусом благодаря минимальным добавлениям в код. 22 апреля он внезапно прекратил свою работу, вызвав неуверенность среди аналитиков, намекая на потенциально более масштабную схему. Эта остановка может быть частью стратегического шага, направленного на то, чтобы модифицированные APK-файлы казались безопасными для антивирусного программного обеспечения, что потенциально увеличит количество установок, прежде чем раскрыть все возможности Wpeeper.

Масштабы распространения Wpeeper остаются неизвестными, но данные указывают на количество заражений на тысячном уровне без широкого распространения. Различные источники, включая результаты поиска Google и данные пассивного DNS, проливают свет на схемы распространения и количество установок вредоносного ПО через сторонние веб-сайты.

Функциональные возможности вредоносной программы и сетевой протокол, как видно из результатов реверс-инжиниринга и отслеживания, подчеркивают ее нацеленность на сбор конфиденциальных данных с зараженных устройств и обновление серверов C2. Злоумышленники использовали 45 серверов C2, в основном скомпрометированные сайты WordPress, которые выступали в качестве перенаправителей C2 для защиты настоящего сервера C2. Эти серверы были разделены на уровни в зависимости от их ответов на команды, причем некоторые из них, возможно, принадлежали самим злоумышленникам.

Wpeeper использует сложные механизмы, такие как шифрование, проверка подписи и переадресаторы C2, для обеспечения операционной безопасности и предотвращения обнаружения. Профессиональный уровень авторов очевиден в разработке вредоносного ПО, включая потенциальную стратегию ввода наборов образцов для обучения ИИ, чтобы они дольше оставались скрытыми. В статье предлагается сотрудничество заинтересованным сторонам и дается подробное описание функциональных возможностей Wpeeper, структуры управления и сетевых операций для лучшего понимания угрозы.

#ParsedReport #CompletenessLow
01-05-2024

Analysis of the xz-utils backdoor code

https://paper.seebug.org/3158

Report completeness: Low

Threats:
Xz_backdoor
Supply_chain_technique
Jiat75_actor

Geo:
Chinese

CVEs:
CVE-2024-3094 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- tukaani xz (5.6.0, 5.6.1)


ChatGPT TTPs:
do not use without manual check
T1195, T1556, T1059, T1027, T1574, T1204

IOCs:
File: 5

Soft:
Debian, Ubuntu, Fedora, systemd

Algorithms:
lzma, rc4, exhibit, chacha20

Functions:
is_arch_extension_supported, _is_arch_extension_supported, _get_cpuid, crc64_resolve, lzma_crc64, get_cpuid, sub_4764, cpuid, tocpuid, IFUNC, have more...

Win API:
decompress

Links:
https://github.com/JiaT75
https://github.com/amlweems/xzbot
https://web.archive.org/web/\*/https://github.com/tukaani-project/xz/releases/download/\*
https://gist.github.com/smx-smx/a6112d54777845d389bd7126d6e9f504
https://github.com/0x7Fancy/0x7Fancy.github.io/blob/main/papers/xz-utils%E5%90%8E%E9%97%A8%E4%BB%A3%E7%A0%81%E5%88%86%E6%9E%90/crc64\_fast.c.patch
https://github.com/luvletter2333/xz-backdoor-analysis
https://github.com/0x7Fancy/0x7Fancy.github.io/blob/main/papers/xz-utils%E5%90%8E%E9%97%A8%E4%BB%A3%E7%A0%81%E5%88%86%E6%9E%90/liblzma\_la-crc64\_fast.o
https://github.com/binarly-io/binary-risk-intelligence/tree/master/xz-backdoor
https://github.com/0x7Fancy/0x7Fancy.github.io/blob/main/papers/xz-utils%E5%90%8E%E9%97%A8%E4%BB%A3%E7%A0%81%E5%88%86%E6%9E%90/helloworld.sh
https://github.com/0x7Fancy/0x7Fancy.github.io/blob/main/papers/xz-utils%E5%90%8E%E9%97%A8%E4%BB%A3%E7%A0%81%E5%88%86%E6%9E%90/decompressed.sh
https://github.com/tukaani-project/xz/releases/download/
https://github.com/0x7Fancy/0x7Fancy.github.io/blob/main/papers/xz-utils%E5%90%8E%E9%97%A8%E4%BB%A3%E7%A0%81%E5%88%86%E6%9E%90/liblzma\_la-crc64-fast.o
https://github.com/0x7Fancy/0x7Fancy.github.io/blob/main/papers/xz-utils%E5%90%8E%E9%97%A8%E4%BB%A3%E7%A0%81%E5%88%86%E6%9E%90/liblzma.so.5
https://gist.github.com/q3k/3fadc5ce7b8001d550cf553cfdc09752
https://github.com/0x7Fancy/0x7Fancy.github.io/blob/main/papers/xz-utils%E5%90%8E%E9%97%A8%E4%BB%A3%E7%A0%81%E5%88%86%E6%9E%90/good-large\_compressed.lzma
https://github.com/tukaani-project/xz
https://github.com/tukaani-project/xz/commits?author=JiaT75
https://github.com/0x7Fancy/0x7Fancy.github.io/blob/main/papers/xz-utils%E5%90%8E%E9%97%A8%E4%BB%A3%E7%A0%81%E5%88%86%E6%9E%90/build-to-host.m4

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в раскрытии уязвимости бэкдора в проекте с открытым исходным кодом xz-utils, которая влияет на основные дистрибутивы Linux посредством атаки на цепочку поставок, позволяя обходить аутентификацию и удаленно выполнять команды. В нем подробно описывается проникновение злоумышленника, сокрытие вредоносного кода и манипулирование сценариями компиляции, а также использование алгоритмов шифрования и тактики уклонения. В нем содержится призыв к дальнейшему изучению методов и мотивов злоумышленника, подчеркивается необходимость усиления мер кибербезопасности для предотвращения подобных инцидентов.
-----

В тексте описывается раскрытие уязвимости в проекте с открытым исходным кодом xz-utils, идентифицированной как CVE-2024-3094, инженером Microsoft по имени Андрес Фройнд 29 марта 2024 года. Уязвимость была использована в ходе атаки на цепочку поставок, которая нарушила логику аутентификации службы sshd и позволила обойти аутентификацию и удаленно выполнить команду. Бэкдор повлиял на версии liblzma.so 5.6.0 и 5.6.1, затронув несколько основных дистрибутивов Linux, таких как Debian, Ubuntu, Fedora, CentOS, RedHat и openSUSE, особенно в их тестовых и экспериментальных версиях.

Злоумышленник, идентифицированный как пользователь Github JiaT75, в течение двух лет проникал в проект xz-utils и получал разрешения на обслуживание хранилища, чтобы внедрить бэкдор. Нацелившись на службу sshd, злоумышленник обеспечил скрытую атаку. Некоторые дистрибутивы, такие как Debian, косвенно связывали sshd и xz-utils через зависимости от libsystemd0, которые, в свою очередь, зависели от liblzma5, обеспечивая путь для создания бэкдора.

Процесс внедрения бэкдора включал сокрытие вредоносного кода в исходном коде xz-utils и манипулирование сценарием компиляции для внедрения бэкдор-кода в liblzma5.so во время компиляции. Затем злоумышленник использовал механизмы аудита IFUNC и rtdl во время запуска sshd, чтобы перехватить и заменить функцию RSA_public_decrypt() на свою собственную, запустив бэкдор при успешной аутентификации.

Анализ кода бэкдора выявил сложные методы, такие как обфускация кода, меры по предотвращению отладки и сокрытие журнала SSHD, реализованные злоумышленником. Злоумышленник продемонстрировал высокий уровень технического мастерства в использовании алгоритмов шифрования, таких как ChaCha20, для расшифровки и тщательной разработки кода бэкдора, чтобы избежать обнаружения.

В тексте подчеркивается важность дальнейшего изучения методов и мотиваций злоумышленников, а также профессионализма, проявленного при выборе целей и завоевании доверия для проникновения в хранилища кода. В заключение в статье подчеркивается сложность атаки и необходимость принятия усиленных мер кибербезопасности для обнаружения и предотвращения подобных инцидентов в будущем.

#ParsedReport #CompletenessLow
01-05-2024

Zloader Learns Old Tricks

https://www.zscaler.com/blogs/security-research/zloader-learns-old-tricks

Report completeness: Low

Threats:
Z_loader
Zeus

ChatGPT TTPs:
do not use without manual check
T1027, T1568, T1573, T1497, T1112

IOCs:
Hash: 4
Url: 4

Soft:
Windows registry

Algorithms:
crc-32, rc4

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4