#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что пакистанская группа SideCopy APT активно атакует оборонный сектор Индии с помощью изощренной тактики, такой как кампании фишинга, создание вредоносных артефактов и развертывание нескольких троянских программ удаленного доступа (RATs). Группа постоянно совершенствует свои вредоносные модули, чтобы избежать обнаружения, внимательно следит за секторами, связанными с обороной, в поисках обновлений, которые можно использовать в качестве приманки, и имитирует TTP других групп APT, чтобы ввести в заблуждение экспертов по безопасности. Понимание и отслеживание методов SideCopy необходимы для смягчения угрозы, исходящей от этой группы в киберпространстве.
-----

Компания Cyble, занимающаяся кибербезопасностью, собрала обширную информацию о SideCopy APT group, подробно описав их инструменты, методы и процедуры. Операция SideCopy, проводимая с начала 2019 года, нацелена конкретно на индийские силы обороны и вооруженный персонал. Группа постоянно совершенствует свои вредоносные модули, чтобы избежать обнаружения антивирусным программным обеспечением, внимательно отслеживая любые обнаружения и оперативно обновляя модули по мере необходимости. Большая часть их инфраструктуры управления связана с Contabo GmbH, а сетевая инфраструктура схожа с Transparent Tribe APT group.

Пакистанская компания SideCopy проводит атаки в основном на оборонный сектор Индии, иногда на Афганистан и Бангладеш. Группа известна тем, что создает вредоносные артефакты, в том числе приманки для электронной почты и домены, для проведения фишинговых кампаний. Эти кампании начинаются с фишинговых электронных писем, связанных с новостями министерства обороны, содержащих вредоносные файлы, замаскированные под файлы PDF или DOC. При взаимодействии с этими файлами запускается серия вредоносных действий, которые в конечном итоге приводят к внедрению трояна удаленного доступа (RAT) в систему жертвы.

Используя скомпрометированные домены и постоянно отслеживая связанные с обороной сектора в поисках обновлений, SideCopy эффективно атакует сотрудников министерства обороны. Группа использует различные тактики, включая использование "медовых ловушек" с откровенным контентом, чтобы заманить жертв. Кроме того, SideCopy воспользовалась уязвимостью в системе безопасности WinRAR (CVE-2023-38831) для распространения ряда RAT, таких как AllaKore RAT, Ares RAT и DetaRat.

В качестве конечной полезной нагрузки SideCopy использует несколько RAT, каждая из которых обладает различными возможностями, адаптированными к конкретным целям. Методы связи и повторного использования инфраструктуры группы усложняют отслеживание их деятельности, поскольку связь C&C осуществляется через жестко запрограммированные IP-адреса в пределах полезной нагрузки. Более того, SideCopy намеренно имитирует TTP других APT-групп, таких как SideWinder и Rattlesnake, чтобы ввести в заблуждение сообщество безопасности, подозревая их в связях с Transparent Tribe и APT36.

Учитывая, что SideCopy нацелена на оборонный сектор Индии с помощью фишинговых кампаний и "медовых ловушек", превентивные меры имеют решающее значение для смягчения угрозы, исходящей от этой группы. Различные методы, такие как вредоносные вложения в фишинговых электронных письмах, передача команд и контроля, а также утечка данных по каналам C&C, являются частью методов работы SideCopy. Понимание и отслеживание этих TTP жизненно важно для эффективного противодействия операциям SideCopy и аналогичных субъектов, представляющих угрозу в киберпространстве.

#ParsedReport #CompletenessLow
29-04-2024

Playing Possum: What's the Wpeeper Backdoor Up To?. Summary

https://blog.xlab.qianxin.com/playing-possum-whats-the-wpeeper-backdoor-up-to

Report completeness: Low

Threats:
Wpeeper

Industry:
Healthcare

ChatGPT TTPs:
do not use without manual check
T1195, T1071, T1573, T1547, T1105

IOCs:
File: 2
Hash: 3
Url: 48

Soft:
Android, WordPress

Algorithms:
md5, base64, aes, cbc

Languages:
javascript, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении и анализе сложного троянца-бэкдора под названием Wpeeper, нацеленного на системы Android, распространяемого через взломанные сайты WordPress и использующего передовые методы, позволяющие избежать обнаружения.
-----

18 апреля 2024 года система поиска угроз XLab обнаружила файл ELF, известный как Wpeeper, который распространялся через два домена, один из которых был помечен тремя охранными фирмами как вредоносный. Дальнейший анализ показал, что Wpeeper - это троянская программа-бэкдор, нацеленная на системы Android, использующая взломанные сайты WordPress в качестве серверов ретрансляции команд и контроля (C2). Возможности Wpeeper включают сбор конфиденциальной информации об устройстве, управление файлами, загрузку данных и выполнение команд. Его сетевые операции сложны, в них используется многоуровневая архитектура C2, скрытая на взломанных сайтах WordPress, а команды зашифрованы с использованием сигнатур AES и эллиптических кривых для предотвращения перехвата.

Wpeeper был создан на основе переупакованных приложений в UPtodown Store, использующих обычные APK-файлы для загрузки и запуска вредоносного ELF, при этом избегая обнаружения антивирусом благодаря минимальным добавлениям в код. 22 апреля он внезапно прекратил свою работу, вызвав неуверенность среди аналитиков, намекая на потенциально более масштабную схему. Эта остановка может быть частью стратегического шага, направленного на то, чтобы модифицированные APK-файлы казались безопасными для антивирусного программного обеспечения, что потенциально увеличит количество установок, прежде чем раскрыть все возможности Wpeeper.

Масштабы распространения Wpeeper остаются неизвестными, но данные указывают на количество заражений на тысячном уровне без широкого распространения. Различные источники, включая результаты поиска Google и данные пассивного DNS, проливают свет на схемы распространения и количество установок вредоносного ПО через сторонние веб-сайты.

Функциональные возможности вредоносной программы и сетевой протокол, как видно из результатов реверс-инжиниринга и отслеживания, подчеркивают ее нацеленность на сбор конфиденциальных данных с зараженных устройств и обновление серверов C2. Злоумышленники использовали 45 серверов C2, в основном скомпрометированные сайты WordPress, которые выступали в качестве перенаправителей C2 для защиты настоящего сервера C2. Эти серверы были разделены на уровни в зависимости от их ответов на команды, причем некоторые из них, возможно, принадлежали самим злоумышленникам.

Wpeeper использует сложные механизмы, такие как шифрование, проверка подписи и переадресаторы C2, для обеспечения операционной безопасности и предотвращения обнаружения. Профессиональный уровень авторов очевиден в разработке вредоносного ПО, включая потенциальную стратегию ввода наборов образцов для обучения ИИ, чтобы они дольше оставались скрытыми. В статье предлагается сотрудничество заинтересованным сторонам и дается подробное описание функциональных возможностей Wpeeper, структуры управления и сетевых операций для лучшего понимания угрозы.

#ParsedReport #CompletenessLow
01-05-2024

Analysis of the xz-utils backdoor code

https://paper.seebug.org/3158

Report completeness: Low

Threats:
Xz_backdoor
Supply_chain_technique
Jiat75_actor

Geo:
Chinese

CVEs:
CVE-2024-3094 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- tukaani xz (5.6.0, 5.6.1)


ChatGPT TTPs:
do not use without manual check
T1195, T1556, T1059, T1027, T1574, T1204

IOCs:
File: 5

Soft:
Debian, Ubuntu, Fedora, systemd

Algorithms:
lzma, rc4, exhibit, chacha20

Functions:
is_arch_extension_supported, _is_arch_extension_supported, _get_cpuid, crc64_resolve, lzma_crc64, get_cpuid, sub_4764, cpuid, tocpuid, IFUNC, have more...

Win API:
decompress

Links:
https://github.com/JiaT75
https://github.com/amlweems/xzbot
https://web.archive.org/web/\*/https://github.com/tukaani-project/xz/releases/download/\*
https://gist.github.com/smx-smx/a6112d54777845d389bd7126d6e9f504
https://github.com/0x7Fancy/0x7Fancy.github.io/blob/main/papers/xz-utils%E5%90%8E%E9%97%A8%E4%BB%A3%E7%A0%81%E5%88%86%E6%9E%90/crc64\_fast.c.patch
https://github.com/luvletter2333/xz-backdoor-analysis
https://github.com/0x7Fancy/0x7Fancy.github.io/blob/main/papers/xz-utils%E5%90%8E%E9%97%A8%E4%BB%A3%E7%A0%81%E5%88%86%E6%9E%90/liblzma\_la-crc64\_fast.o
https://github.com/binarly-io/binary-risk-intelligence/tree/master/xz-backdoor
https://github.com/0x7Fancy/0x7Fancy.github.io/blob/main/papers/xz-utils%E5%90%8E%E9%97%A8%E4%BB%A3%E7%A0%81%E5%88%86%E6%9E%90/helloworld.sh
https://github.com/0x7Fancy/0x7Fancy.github.io/blob/main/papers/xz-utils%E5%90%8E%E9%97%A8%E4%BB%A3%E7%A0%81%E5%88%86%E6%9E%90/decompressed.sh
https://github.com/tukaani-project/xz/releases/download/
https://github.com/0x7Fancy/0x7Fancy.github.io/blob/main/papers/xz-utils%E5%90%8E%E9%97%A8%E4%BB%A3%E7%A0%81%E5%88%86%E6%9E%90/liblzma\_la-crc64-fast.o
https://github.com/0x7Fancy/0x7Fancy.github.io/blob/main/papers/xz-utils%E5%90%8E%E9%97%A8%E4%BB%A3%E7%A0%81%E5%88%86%E6%9E%90/liblzma.so.5
https://gist.github.com/q3k/3fadc5ce7b8001d550cf553cfdc09752
https://github.com/0x7Fancy/0x7Fancy.github.io/blob/main/papers/xz-utils%E5%90%8E%E9%97%A8%E4%BB%A3%E7%A0%81%E5%88%86%E6%9E%90/good-large\_compressed.lzma
https://github.com/tukaani-project/xz
https://github.com/tukaani-project/xz/commits?author=JiaT75
https://github.com/0x7Fancy/0x7Fancy.github.io/blob/main/papers/xz-utils%E5%90%8E%E9%97%A8%E4%BB%A3%E7%A0%81%E5%88%86%E6%9E%90/build-to-host.m4

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в раскрытии уязвимости бэкдора в проекте с открытым исходным кодом xz-utils, которая влияет на основные дистрибутивы Linux посредством атаки на цепочку поставок, позволяя обходить аутентификацию и удаленно выполнять команды. В нем подробно описывается проникновение злоумышленника, сокрытие вредоносного кода и манипулирование сценариями компиляции, а также использование алгоритмов шифрования и тактики уклонения. В нем содержится призыв к дальнейшему изучению методов и мотивов злоумышленника, подчеркивается необходимость усиления мер кибербезопасности для предотвращения подобных инцидентов.
-----

В тексте описывается раскрытие уязвимости в проекте с открытым исходным кодом xz-utils, идентифицированной как CVE-2024-3094, инженером Microsoft по имени Андрес Фройнд 29 марта 2024 года. Уязвимость была использована в ходе атаки на цепочку поставок, которая нарушила логику аутентификации службы sshd и позволила обойти аутентификацию и удаленно выполнить команду. Бэкдор повлиял на версии liblzma.so 5.6.0 и 5.6.1, затронув несколько основных дистрибутивов Linux, таких как Debian, Ubuntu, Fedora, CentOS, RedHat и openSUSE, особенно в их тестовых и экспериментальных версиях.

Злоумышленник, идентифицированный как пользователь Github JiaT75, в течение двух лет проникал в проект xz-utils и получал разрешения на обслуживание хранилища, чтобы внедрить бэкдор. Нацелившись на службу sshd, злоумышленник обеспечил скрытую атаку. Некоторые дистрибутивы, такие как Debian, косвенно связывали sshd и xz-utils через зависимости от libsystemd0, которые, в свою очередь, зависели от liblzma5, обеспечивая путь для создания бэкдора.

Процесс внедрения бэкдора включал сокрытие вредоносного кода в исходном коде xz-utils и манипулирование сценарием компиляции для внедрения бэкдор-кода в liblzma5.so во время компиляции. Затем злоумышленник использовал механизмы аудита IFUNC и rtdl во время запуска sshd, чтобы перехватить и заменить функцию RSA_public_decrypt() на свою собственную, запустив бэкдор при успешной аутентификации.

Анализ кода бэкдора выявил сложные методы, такие как обфускация кода, меры по предотвращению отладки и сокрытие журнала SSHD, реализованные злоумышленником. Злоумышленник продемонстрировал высокий уровень технического мастерства в использовании алгоритмов шифрования, таких как ChaCha20, для расшифровки и тщательной разработки кода бэкдора, чтобы избежать обнаружения.

В тексте подчеркивается важность дальнейшего изучения методов и мотиваций злоумышленников, а также профессионализма, проявленного при выборе целей и завоевании доверия для проникновения в хранилища кода. В заключение в статье подчеркивается сложность атаки и необходимость принятия усиленных мер кибербезопасности для обнаружения и предотвращения подобных инцидентов в будущем.

#ParsedReport #CompletenessLow
01-05-2024

Zloader Learns Old Tricks

https://www.zscaler.com/blogs/security-research/zloader-learns-old-tricks

Report completeness: Low

Threats:
Z_loader
Zeus

ChatGPT TTPs:
do not use without manual check
T1027, T1568, T1573, T1497, T1112

IOCs:
Hash: 4
Url: 4

Soft:
Windows registry

Algorithms:
crc-32, rc4

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Zloader, модульный троян, созданный на основе утекшего исходного кода ZeuS, недавно был обновлен в новых версиях, отличающихся улучшенными механизмами защиты от анализа и более скрытыми методами заражения. Эти обновления создают проблемы для исследователей в области безопасности из-за преднамеренного и избирательного подхода трояна к заражению систем.
-----

Zloader, также известный как Terdot, DELoader или Silent Night, представляет собой модульный троян, созданный на основе утечки исходного кода ZeuS, датируемой 2015 годом. После значительного периода бездействия Zloader появился с новыми итерациями, включающими изменения в методах обфускации, алгоритме генерации домена и методах сетевого взаимодействия. Примечательно, что в последних версиях Zloader вновь появилась функция антианализа, напоминающая оригинальный код ZeuS 2.x, в котором троянец ограничивает свое двоичное выполнение изначально зараженной машиной.

Последние версии Zloader, такие как 2.4.1_0 и 2.5.1_0, включают механизм антианализа, который приводит к внезапному завершению работы троянца при копировании и запуске в другой системе после первоначального заражения. Такое поведение вызывается проверкой реестра Windows на наличие определенного ключа и значения. Манипулирование парой ключ/значение реестра или исправление проверки может позволить Zloader временно внедриться в новый процесс, но в конечном итоге троянец завершит работу из-за повторной проверки в заголовке MZ Zloader.

Важным аспектом этой функции защиты от анализа является DWORD, расположенный в заголовке MZ, который действует как указатель на начальное смещение. Используя этот дополнительный заголовок DWORD, разработчики вредоносных программ используют его в качестве проверки правильности среды выполнения, прежде чем продолжить. Неправильные значения заголовка MZ или отсутствующая начальная информация препятствуют запуску или установке Zloader на другом компьютере, если не будут внесены специальные изменения для точного воспроизведения исходной среды жертвы.

В предыдущих версиях Zloader информация об установке хранилась в паре ключ/значение реестра, зашифрованной с использованием алгоритма ZeuS VisualEncrypt и RC4. Аналогичным образом, в ZeuS v2 использовались такие методы, как наложение раздела с именем PeSettings, для хранения данных об установке вместо использования реестра. Сравнение Zloader и ZeuS показывает сходство в хранении информации, относящейся к конкретному компьютеру, для предотвращения выполнения в разных системах, хотя и реализовано несколько по-разному.

В последних версиях Zloader основное внимание уделяется более скрытным методам заражения, повышающим его устойчивость к обнаружению и анализу. Внедрение передовых тактик защиты от анализа в новых версиях Zloader создает проблемы для исследователей и аналитиков в области безопасности. Тенденция, наблюдаемая в проанализированных образцах Zloader, свидетельствует о целенаправленной стратегии распространения, что указывает на преднамеренный и избирательный подход к заражению систем.

#ParsedReport #CompletenessLow
29-04-2024

The Darkgate Menace: Leveraging Autohotkey & Attempt to Evade Smartscreen

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/the-darkgate-menace-leveraging-autohotkey-attempt-to-evade-smartscreen

Report completeness: Low

Threats:
Darkgate
Process_injection_technique

CVEs:
CVE-2023-36025 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows 10 1507 (-)
- microsoft windows 10 1607 (-)
- microsoft windows 10 1809 (-)
- microsoft windows 10 21h2 (-)
- microsoft windows 10 22h2 (-)
have more...
CVE-2024-21412 [Vulners]
CVSS V3.1: 8.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows 10 1809 (<10.0.17763.5458, 10.0.17763.1432, 10.0.17763.1613, 10.0.17763.2928, 10.0.17763.4645)
- microsoft windows 10 21h2 (<10.0.19044.4046, 10.0.19044.2486, 10.0.19044.1645, 10.0.19044.1865, 10.0.19044.1949)
- microsoft windows 10 22h2 (<10.0.19045.4046, 10.0.19045.3570, 10.0.19045.2130, 10.0.19045.2251, 10.0.19045.3271)
- microsoft windows 11 21h2 (<10.0.22000.2777, 10.0.22000.376, 10.0.22000.1100, 10.0.19044.2965, 10.0.22000.434)
- microsoft windows 11 22h2 (<10.0.22621.3155, 10.0.22621.1555, 10.0.22621.1344, 10.0.22621.2275, 10.0.22621.1265)
have more...

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1566, T1204, T1059, T1140, T1105, T1059.003, T1112, T1574

IOCs:
File: 5
Path: 1
IP: 2
Hash: 10

Soft:
Autohotkey, Microsoft Defender, Microsoft Windows Defender SmartScreen, Windows Defender SmartScreen, Windows Explorer

Algorithms:
base64, sha256, zip

Functions:
JavaScript

Languages:
delphi, javascript, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении и анализе вредоносного ПО DarkGate, сложного троянца удаленного доступа (RAT), разработанного с использованием Borland Delphi. Компания DarkGate, рекламируемая на российском форуме по киберпреступности как вредоносное ПО как услуга (MaaS), использует тактику уклонения, чтобы избежать обнаружения, распространяясь по нескольким начальным направлениям и используя различные вредоносные возможности. Постоянные обновления вредоносного ПО и усовершенствования методов защиты от него представляют серьезную угрозу, требуя от организаций усиления мер безопасности и сохранения бдительности для эффективного обнаружения потенциальных заражений и реагирования на них.
-----

Недавно McAfee Labs обнаружила сложную цепочку заражения, связанную с вредоносным ПО DarkGate, которое представляет собой троян удаленного доступа (RAT), разработанный с использованием Borland Delphi. DarkGate рекламируется как вредоносное ПО как услуга (MaaS) на российском форуме по киберпреступности с 2018 года. Это вредоносное программное обеспечение оснащено целым рядом возможностей, таких как внедрение процессов, загрузка и выполнение файлов, кража данных, выполнение команд оболочки, кейлоггинг и многое другое.

Одним из примечательных аспектов DarkGate является использование тактики уклонения от обнаружения, в том числе в обход Microsoft Defender SmartScreen. Это побудило Microsoft выпустить исправление для устранения уязвимости, используемой DarkGate. Вредоносная программа использует несколько методов уклонения, чтобы подорвать механизмы обнаружения.

DarkGate распространяется по двум различным начальным векторам - один из которых исходит из HTML-файла, а другой - из XLS-файла. Цепочка заражения включает в себя ряд этапов, включая фишинговую HTML-страницу, замаскированную под документ Word, чтобы побудить пользователей взаимодействовать с вредоносным контентом, манипулирование URL-адресами с помощью прикладного протокола "search-ms" для доступа к вредоносному ресурсу WebDAV, использование уязвимости (CVE-2023-36025), связанной с Microsoft. Умный экран защитника Windows, выполнение файлов VBScript для выполнения действий, расшифровка закодированного шелл-кода в файле с именем "test.txt ," что приводит к окончательной загрузке DarkGate, сетевым активностям, связанным с сайтом управления (C2), выполнению скрипта автозагрузки и шелл-кода, присутствующих в test.txt, и окончательному выполнению скомпилированного на Delphi исполняемого файла, служащего полезной нагрузкой DarkGate.

Стоит отметить, что данные телеметрии McAfee Labs о распространении DarkGate были зафиксированы в течение последних трех месяцев. Команда разработчиков вредоносного ПО постоянно обновляла и совершенствовала методы его защиты, что делает его серьезной угрозой в сфере киберпреступности. Киберпреступники, использующие DarkGate, стремятся скомпрометировать системы, отфильтровать данные и сохранить постоянный доступ к ним в злонамеренных целях.

Чтобы снизить риски, связанные с DarkGate и подобными угрозами, организациям рекомендуется усилить меры безопасности электронной почты, проверять информацию об отправителях, проявлять осторожность при обращении с содержимым электронной почты и регулярно обновлять свои системы последними исправлениями для системы безопасности. Кроме того, команды безопасности должны сохранять бдительность в отношении признаков компрометации, связанных с DarkGate, и внедрять соответствующие решения для обеспечения безопасности, чтобы эффективно обнаруживать потенциальные заражения и реагировать на них.

#ParsedReport #CompletenessLow
01-05-2024

Be wary of new zombies Goldoon: a zombie family with the widest instruction set coverage and zero detection rate

https://paper.seebug.org/3159

Report completeness: Low

Threats:
Goldoon
Mirai
Bashlite

Victims:
Pc devices, Iot devices

Industry:
Iot

Geo:
Netherlands, Germany, Iran, Austria

CVEs:
CVE-2017-17215 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- huawei hg532 firmware (-)


ChatGPT TTPs:
do not use without manual check
T1027, T1566, T1090, T1496, T1059, T1571, T1082, T1569.002

IOCs:
IP: 2
File: 1
Hash: 13

Soft:
curl, wolfSSL

Functions:
SetInjectMethod

Languages:
powershell

Platforms:
x86, x64, arm, mips, m68k

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в открытии нового сложного IoT-ботнета под названием "Goldoon", который отличается высокой инновационностью, универсальностью и сложностью обнаружения. Уникальные функции Goldoon, модульная конструкция, поэтапное управление и совместимость с различными архитектурами делают его мощной угрозой в среде Интернета вещей. Возможности ботнета, включая инициализацию библиотеки шифрования и методы обхода, указывают на постоянное развитие и усовершенствование, подчеркивая необходимость повышения бдительности и мониторинга в отношении этой продвинутой угрозы.
-----

Компания Venustech ADLab обнаружила новый ботнет интернета вещей под названием "Goldoon", который отличается высокой сложностью и представляет серьезную угрозу для устройств Интернета вещей благодаря своему инновационному дизайну и возможностям.

Goldoon уникален тем, что это новый ботнет, разработанный с нуля, поддерживающий до 18 различных наборов команд, включая редкие архитектуры, такие как alpha и hppa, что делает его универсальным и трудноопределимым.

Модульная и поэтапная разработка Goldoon направлена на то, чтобы обойти программное обеспечение для обеспечения безопасности, позволяя ему работать с широким спектром устройств, работающих под управлением различных операционных систем и нишевых архитектур.

Было идентифицировано более 80 образцов, связанных с Goldoon, предназначенных как для традиционных ПК-устройств, так и для устройств Интернета вещей, а мероприятия по тестированию указывают на потенциал для быстрого создания и дальнейшего расширения.

Ботнет использует различные методы уклонения, включая изменение параметров выполнения команд, инкапсуляцию функций и кодовые факторы, чтобы избежать обнаружения.

Процесс атаки Goldoon включает в себя методы разделения модулей для платформ Linux и Windows, включая сканирование уязвимостей, выполнение скриптов, загрузчик, дроппер и окончательное выполнение программы-зомби.

Хотя библиотека шифрования Goldoon, wolfSSL, была инициализирована в ее кодовой базе, шифрование коммуникационного трафика еще не реализовано.

Постоянный мониторинг и анализ деятельности Goldoon имеют решающее значение для понимания всех его возможностей и снижения рисков, связанных с этой продвинутой IoT-ботнетом.

#ParsedReport #CompletenessMedium
29-04-2024

Analysis of Serwent loader: Old ways die hard. Code analysis

https://securite360.net/analysis-of-serwent-loadercaption-checking-if-common-security-tools-are-running-on-the-host-analysis-of-serwent-loader

Report completeness: Medium

Threats:
Sarwent

Victims:
Amnesty international

TTPs:
Tactics: 1
Technics: 1

ChatGPT TTPs:
do not use without manual check
T1053, T1055, T1063, T1497, T1012, T1082, T1001, T1105, T1569

IOCs:
Domain: 1
Hash: 1
File: 1
IP: 1
Url: 1
Command: 1

Soft:
Windows registry, VirtualBox

Algorithms:
sha1

Win API:
CreateMutexA, CreateToolhelp32Snapshot, CheckRemoteDebuggerPresent, VirtualAllocExNuma, GetSystemWow64DirectoryA

Win Services:
bits

Languages:
delphi, powershell

Links:
https://github.com/silence-is-best/c2db
https://github.com/sandboxie-plus/Sandboxie

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста посвящена загрузчику вредоносных программ, известному как Sarwent, с подробным описанием его характеристик, тактики и поведения, включая создание мьютекса для предотвращения повторного заражения, методы сохранения, меры по борьбе с анализом, взаимодействие с сервером управления, а также его эволюцию с Delphi на C/C++ в качестве программного обеспечения. загрузчик.
-----

Sarwent - это загрузчик вредоносных программ, который создает мьютекс (NnhqndT7TRPSJtt) с помощью функции CreateMutexA, чтобы предотвратить многократное заражение одного и того же хоста. Он известен как минимум с 2018 года и использовался в кампании, связанной с Amnesty International, в 2021 году. Аналитик наткнулся на ссылку на Sarwent в Twitter и решил изучить ее, хотя они признают, что плохо разбираются в обратном проектировании.

Анализируемый образец Sarwent представляет собой 32-разрядный исполняемый файл с хэшем SHA1 bc647a5b99428ca2e01c1172174f7e4da2de0f5d, предположительно скомпилированный 16 апреля 2024 года. Примечательно, что она больше не разрабатывается на Delphi. У вредоносной программы отсутствует упаковка, которая может относительно упростить анализ.

Для обеспечения постоянства Sarwent создает раздел реестра в HKEY_CURRENT_USER, позволяющий пользователям, не имеющим прав администратора, изменять подразделы. Он также выполняет поиск ключей, относящихся к Vmware или VirtualBox, и использует различные методы антианализа. К ним относятся проверка на наличие средств анализа безопасности, отладка, наличие изолированной среды и использование функции Windows API VirtualAllocExNuma для обнаружения эмуляции. Этот пример не содержит антивирусных строк, что является отличием от предыдущих известных примеров.

Sarwent распознает зараженный компьютер, собирая информацию о версии Windows, определяя 32- или 64-разрядную архитектуру и проверяя наличие прав администратора. Он использует GetSystemWow64DirectoryA для различения версий Windows и пытается создать раздел реестра в Software\\Microsoft для определения прав администратора.

Вредоносная программа взаимодействует с сервером управления (C2) по IPv4-адресу 81.19.141.173 по протоколу HTTP с помощью таких команд, как загрузка, обновление и удаление. Получив команду на удаление, Sarwent удаляет свой исходный файл и сообщает об этом C2. Он может загружать, выполнять файлы и отправлять отчеты C2, пока его панель C2 работает через порт 80. Недавний анализ показывает, что Sarwent был перепрограммирован на C/C++, поддерживает меры по предотвращению анализа и функционирует скорее как загрузчик, чем как загрузчица файлов.

#ParsedReport #CompletenessHigh
29-04-2024

From IcedID to Dagon Locker Ransomware in 29 Days

https://thedfirreport.com/2024/04/29/from-icedid-to-dagon-locker-ransomware-in-29-days

Report completeness: High

Threats:
Dagon_locker
Icedid
Adfind_tool
Cobalt_strike
Awscollector_tool
Netscan_tool
Nbtscan_tool
Anydesk_tool
Seatbelt_tool
Sharefinder_tool
Nltest_tool
Shadow_copies_delete_technique
Process_injection_technique
Lokibot_stealer
Portproxy_tool
Mimikatz_tool
Conti
Netstat_tool
Bloodhound_tool
Winrm_tool
Meterpreter_tool
Revil
Quantum_locker
Cylance
Remoteexec_tool
Wmiexec_tool
Egregor
Mount_locker

TTPs:
Tactics: 12
Technics: 36

IOCs:
Domain: 10
Path: 14
Url: 2
Command: 4
File: 29
IP: 17
Hash: 13
Email: 1

Soft:
curl, Local Security Authority, active directory, Microsoft Defender, Chrome, Windows PowerShell, PsExec, Windows Security, telegram, Windows Defender, have more...

Algorithms:
7zip, base64, xor

Functions:
GetSystem, Invoke, PowerShell, FindHosts

Win API:
GetModuleHandleA, GetProcAddress, VirtualAlloc, InternetConnectA, NETBIOS, SetThreadContext, NtQueueApcThread-s, LoadLibraryA, CreateRemoteThread, RtlCreateUserThread, have more...

Win Services:
WebClient), eventlog, SntpService, ccEvtMgr, ccSetMgr, SavRoam, RTVscan, YooBackup, YooIT, VSNAPVSS, have more...

Languages:
powershell, javascript

Platforms:
x64, x86, apple

YARA: Found
SIGMA: Found

Links:
https://github.com/DidierStevens/DidierStevensSuite/blob/master/1768.py
https://github.com/mkellerman/Invoke-CommandAs
https://github.com/Sentinel-One/CobaltStrikeParser
https://github.com/EmpireProject/Empire/blob/master/data/module\_source/lateral\_movement/Invoke-DCOM.ps1
https://github.com/GhostPack/Seatbelt
https://github.com/OneScripter/WmiExec/blob/main/WmiExec.ps1
https://github.com/darkoperator/Veil-PowerView/blob/master/PowerView/functions/Invoke-ShareFinder.ps1
https://github.com/search?q=repo%3ANeo23x0%2Fsignature-base%20cobalt%20strike&type=code
https://github.com/Kevin-Robertson/Invoke-TheHash/blob/master/Invoke-SMBExec.ps1
https://github.com/The-DFIR-Report/Sigma-Rules
https://github.com/BloodHoundAD/SharpHound
https://github.com/0xThiebaut/PCAPeek/
https://github.com/SigmaHQ/sigma
https://github.com/ufrisk/MemProcFS
https://github.com/EmpireProject/Empire/blob/master/data/module\_source/lateral\_movement/Invoke-PsExec.ps1
https://github.com/elastic/protections-artifacts/blob/72fd8cad90189e9d145d22eb3d4fee2fe3d5902f/yara/rules/Windows\_Trojan\_CobaltStrike.yar#L1011

#ParsedReport #GeneratedSchema
Generated with GPT-4