CTT Report Hub
#ParsedReport #CompletenessLow 05-05-2024 Credentials And Control Go Bye, Bye, Bye with AsyncRAT: What You Need to Know https://cyberint.com/blog/research/asyncrat Report completeness: Low Actors/Campaigns: Spalax Threats: Asyncrat Quasar_rat Revenge_rat…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что AsyncRAT - это вредоносный троян удаленного доступа (RAT), который был представлен в 2019 году и с тех пор стал серьезной угрозой в сфере кибербезопасности. В основном он используется злоумышленниками в киберпространстве, имеет связи с другими видами вредоносных программ и нацелен на различные отрасли и организации по всему миру. AsyncRAT использует различные методы распространения и со временем эволюционировал, создавая серьезную угрозу для предприятий, похищая личные учетные данные и банковскую информацию с целью вымогательства выкупа.
-----
AsyncRAT, аббревиатура от Asynchronous Remote Access Trojan, представляет собой вредоносный инструмент, классифицируемый как троян удаленного доступа (RAT), который был представлен в 2019 году. Несмотря на то, что AsyncRAT рекламируется как законный инструмент удаленного администрирования с открытым исходным кодом на официальной странице GitHub с юридической оговоркой, он в основном используется злоумышленниками в киберугрозах в злонамеренных целях. RAT оснащен возможностями ботнета и имеет интерфейс управления (C2), позволяющий операторам удаленно управлять зараженными хостами. С момента своего создания AsyncRAT завоевал популярность среди киберпреступников и стал серьезной угрозой в сфере кибербезопасности.
AsyncRAT имеет связи с другими видами вредоносных программ, происходящими из линейки вредоносных программ QuasaRAT и служащими основой для разработки таких разновидностей вредоносных программ, как RevengeRAT и BoratRAT. Он был широко распространен различными участниками угроз, включая государственные структуры, известные группы программ-вымогателей и новые киберпреступные группировки в развивающихся странах. Эти участники провели кампании, ориентированные на широкий спектр отраслей и организаций по всему миру, включая аэрокосмическую промышленность, гостиничный бизнес, информационные технологии, бизнес-услуги, транспорт и государственные учреждения.
RAT использует несколько методов распространения, включая рассылку спама по электронной почте с вредоносными вложениями, зараженную рекламу на взломанных веб-сайтах, а также удаление с помощью других вредоносных программ, которые изначально заражают системы с помощью скриптов VBS. Подразделение анализа угроз также предупредило о возможности появления AsyncRAT с помощью наборов эксплойтов. Кроме того, исследователи наблюдали многочисленные случаи распространения AsyncRAT с помощью фишинговых инициатив, таких как операция Spalax и использование загрузчиков HCrypt. Вредоносная программа также претерпевала непрерывную эволюцию, и в 2022 году появились новые варианты, в том числе тот, который может распространяться в бесфайловой форме с помощью вложений электронной почты.
AsyncRAT в первую очередь нацелен на жертв в таких отраслях, как информационные технологии, гостиничный бизнес и транспорт в Северной, Южной и Центральной Америке, хотя его охват распространяется и за пределы этих регионов. Киберпреступники, использующие AsyncRAT, стремятся украсть личные данные и банковскую информацию для вымогательства выкупа у жертв. Первоначальная цель, стоящая за выпуском AsyncRAT как, казалось бы, безобидного инструмента удаленного администрирования, вызывает споры, поскольку заявления о образовательных целях вступают в противоречие с потенциальным использованием законной платформы для продвижения вредоносных программ. Независимо от первоначальных мотивов создателя, код AsyncRAT со временем эволюционировал, включив в себя различные методы распространения, и превратился в чрезвычайно опасную угрозу, способную нанести значительный финансовый ущерб предприятиям.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что AsyncRAT - это вредоносный троян удаленного доступа (RAT), который был представлен в 2019 году и с тех пор стал серьезной угрозой в сфере кибербезопасности. В основном он используется злоумышленниками в киберпространстве, имеет связи с другими видами вредоносных программ и нацелен на различные отрасли и организации по всему миру. AsyncRAT использует различные методы распространения и со временем эволюционировал, создавая серьезную угрозу для предприятий, похищая личные учетные данные и банковскую информацию с целью вымогательства выкупа.
-----
AsyncRAT, аббревиатура от Asynchronous Remote Access Trojan, представляет собой вредоносный инструмент, классифицируемый как троян удаленного доступа (RAT), который был представлен в 2019 году. Несмотря на то, что AsyncRAT рекламируется как законный инструмент удаленного администрирования с открытым исходным кодом на официальной странице GitHub с юридической оговоркой, он в основном используется злоумышленниками в киберугрозах в злонамеренных целях. RAT оснащен возможностями ботнета и имеет интерфейс управления (C2), позволяющий операторам удаленно управлять зараженными хостами. С момента своего создания AsyncRAT завоевал популярность среди киберпреступников и стал серьезной угрозой в сфере кибербезопасности.
AsyncRAT имеет связи с другими видами вредоносных программ, происходящими из линейки вредоносных программ QuasaRAT и служащими основой для разработки таких разновидностей вредоносных программ, как RevengeRAT и BoratRAT. Он был широко распространен различными участниками угроз, включая государственные структуры, известные группы программ-вымогателей и новые киберпреступные группировки в развивающихся странах. Эти участники провели кампании, ориентированные на широкий спектр отраслей и организаций по всему миру, включая аэрокосмическую промышленность, гостиничный бизнес, информационные технологии, бизнес-услуги, транспорт и государственные учреждения.
RAT использует несколько методов распространения, включая рассылку спама по электронной почте с вредоносными вложениями, зараженную рекламу на взломанных веб-сайтах, а также удаление с помощью других вредоносных программ, которые изначально заражают системы с помощью скриптов VBS. Подразделение анализа угроз также предупредило о возможности появления AsyncRAT с помощью наборов эксплойтов. Кроме того, исследователи наблюдали многочисленные случаи распространения AsyncRAT с помощью фишинговых инициатив, таких как операция Spalax и использование загрузчиков HCrypt. Вредоносная программа также претерпевала непрерывную эволюцию, и в 2022 году появились новые варианты, в том числе тот, который может распространяться в бесфайловой форме с помощью вложений электронной почты.
AsyncRAT в первую очередь нацелен на жертв в таких отраслях, как информационные технологии, гостиничный бизнес и транспорт в Северной, Южной и Центральной Америке, хотя его охват распространяется и за пределы этих регионов. Киберпреступники, использующие AsyncRAT, стремятся украсть личные данные и банковскую информацию для вымогательства выкупа у жертв. Первоначальная цель, стоящая за выпуском AsyncRAT как, казалось бы, безобидного инструмента удаленного администрирования, вызывает споры, поскольку заявления о образовательных целях вступают в противоречие с потенциальным использованием законной платформы для продвижения вредоносных программ. Независимо от первоначальных мотивов создателя, код AsyncRAT со временем эволюционировал, включив в себя различные методы распространения, и превратился в чрезвычайно опасную угрозу, способную нанести значительный финансовый ущерб предприятиям.
#ParsedReport #CompletenessLow
06-05-2024
Blogs. Pouring Acid Rain
https://www.trellix.com/blogs/research/pouring-acid-rain
Report completeness: Low
Threats:
Acidrain
Acidpour
Acidwiper
Wannacry
Eternal_petya
Disttrack
Eternalblue_vuln
Whispergate
Hermeticwiper
Isaacwiper
Killdisk
Doublezero
Industoyer2
Ransomboggs
Swiftslicer
Zerowipe
Bidswipe
Bibi-wiper
Bfg_agonizer
Partialwasher
Samecoin
Vpnfilter
Smokeloader
Victims:
Viasat ka-sat, Ukrainian-based entities
Industry:
Military, Entertainment, Telco
Geo:
Saudi, Ukrainian, Israel, Ukraine
ChatGPT TTPs:
T1485, T1565, T1070, T1490, T1107
IOCs:
Hash: 2
Soft:
OpenWRT
Algorithms:
md5, sha256, sha1
Functions:
IOCTL
Links:
06-05-2024
Blogs. Pouring Acid Rain
https://www.trellix.com/blogs/research/pouring-acid-rain
Report completeness: Low
Threats:
Acidrain
Acidpour
Acidwiper
Wannacry
Eternal_petya
Disttrack
Eternalblue_vuln
Whispergate
Hermeticwiper
Isaacwiper
Killdisk
Doublezero
Industoyer2
Ransomboggs
Swiftslicer
Zerowipe
Bidswipe
Bibi-wiper
Bfg_agonizer
Partialwasher
Samecoin
Vpnfilter
Smokeloader
Victims:
Viasat ka-sat, Ukrainian-based entities
Industry:
Military, Entertainment, Telco
Geo:
Saudi, Ukrainian, Israel, Ukraine
ChatGPT TTPs:
do not use without manual checkT1485, T1565, T1070, T1490, T1107
IOCs:
Hash: 2
Soft:
OpenWRT
Algorithms:
md5, sha256, sha1
Functions:
IOCTL
Links:
https://github.com/mirror/dd-wrt/blob/master/src/router/rc/mtd.c#L159https://github.com/threatrack/ghidra-fidb-repohttps://github.com/knight0x07/BiBi-Windows-Wiper-Analysishttps://github.com/kraj/uClibc/blob/ca1c74d67dd115d059a875150e10b8560a9c35a8/libc/string/generic/strncpy.c#L21Trellix
Pouring Acid Rain
The AcidRain and AcidPour wipers have been widely reported, and often said to overlap in code, but do they really? And if so, how?
CTT Report Hub
#ParsedReport #CompletenessLow 06-05-2024 Blogs. Pouring Acid Rain https://www.trellix.com/blogs/research/pouring-acid-rain Report completeness: Low Threats: Acidrain Acidpour Acidwiper Wannacry Eternal_petya Disttrack Eternalblue_vuln Whispergate Hermeticwiper…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в обсуждении деструктивной природы wipers, особенно с акцентом на двух конкретных wipers, названных AcidRain и AcidPour, их возможностях, предыстории и потенциальной причастности к недавним крупным геополитическим конфликтам в Украине и Израиле. В тексте подчеркивается рост использования wiper в конфликтах, сходство между AcidRain и AcidPour в поведении и исполнении, потенциальное дублирование кода, проблемы с атрибуцией и неоднозначность, связанная с анализом вредоносных программ.
-----
В тексте обсуждается использование wipers в недавних крупных геополитических конфликтах в Украине и Израиле, подчеркивается их деструктивный характер в отношении цифровой инфраструктуры. В частности, основное внимание уделяется двум wipers, названным AcidRain и AcidPour, что проливает свет на их происхождение, возможности и потенциальную причастность.
AcidRain был впервые обнаружен в связи с российско-украинским конфликтом и был нацелен на модемы Viasat KA-SAT. Этот стеклоочиститель является частью тенденции, когда стеклоочистители все чаще используются в международных конфликтах и активизме, в частности, в таких известных проектах, как WannaCry, NotPetya и Shamoon. Влияние AcidRain на устройства Viasat KA-SAT и последующее появление нескольких стеклоочистителей после атаки сигнализируют о растущем использовании стеклоочистителей, особенно во время конфликтов.
С технической точки зрения AcidRain и AcidPour демонстрируют сходство в поведении и процессе выполнения, причем AcidPour является более новым вариантом. Оба очистителя используют 256-килобайтный буфер для перезаписи файлов, используя возрастающие значения в AcidPour и убывающие значения в AcidRain. Они оба используют функции библиотеки uClibc, печать сообщений, возможности очистки каталогов и вызовы перезагрузки устройства, что позволяет избежать дублирования кода или репликации.
Хотя нет однозначных доказательств того, что оба wiper используют один и тот же исходный код, текст предполагает среднюю степень уверенности в том, что AcidPour основывается на базе кода AcidRain из-за сходства зависимостей и структуры кода. Примечательно, что AcidPour претерпевает изменения, которые повышают его универсальность и потенциальное влияние на более широкий спектр систем.
Установить причину этих атак непросто, но, основываясь на географическом таргетинге и группах жертв, можно предположить, что атаки были совершены пророссийски настроенными лицами. Однако важно отметить, что сравнение совпадений кода может не дать окончательной информации, поскольку вредоносное ПО может быть воссоздано с помощью обратного проектирования. Эта двусмысленность может быть использована злоумышленниками для введения в заблуждение аналитиков или создания путаницы.
Пожалуйста, дайте мне знать, если вам понадобятся более подробные сведения или конкретная информация из текста.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в обсуждении деструктивной природы wipers, особенно с акцентом на двух конкретных wipers, названных AcidRain и AcidPour, их возможностях, предыстории и потенциальной причастности к недавним крупным геополитическим конфликтам в Украине и Израиле. В тексте подчеркивается рост использования wiper в конфликтах, сходство между AcidRain и AcidPour в поведении и исполнении, потенциальное дублирование кода, проблемы с атрибуцией и неоднозначность, связанная с анализом вредоносных программ.
-----
В тексте обсуждается использование wipers в недавних крупных геополитических конфликтах в Украине и Израиле, подчеркивается их деструктивный характер в отношении цифровой инфраструктуры. В частности, основное внимание уделяется двум wipers, названным AcidRain и AcidPour, что проливает свет на их происхождение, возможности и потенциальную причастность.
AcidRain был впервые обнаружен в связи с российско-украинским конфликтом и был нацелен на модемы Viasat KA-SAT. Этот стеклоочиститель является частью тенденции, когда стеклоочистители все чаще используются в международных конфликтах и активизме, в частности, в таких известных проектах, как WannaCry, NotPetya и Shamoon. Влияние AcidRain на устройства Viasat KA-SAT и последующее появление нескольких стеклоочистителей после атаки сигнализируют о растущем использовании стеклоочистителей, особенно во время конфликтов.
С технической точки зрения AcidRain и AcidPour демонстрируют сходство в поведении и процессе выполнения, причем AcidPour является более новым вариантом. Оба очистителя используют 256-килобайтный буфер для перезаписи файлов, используя возрастающие значения в AcidPour и убывающие значения в AcidRain. Они оба используют функции библиотеки uClibc, печать сообщений, возможности очистки каталогов и вызовы перезагрузки устройства, что позволяет избежать дублирования кода или репликации.
Хотя нет однозначных доказательств того, что оба wiper используют один и тот же исходный код, текст предполагает среднюю степень уверенности в том, что AcidPour основывается на базе кода AcidRain из-за сходства зависимостей и структуры кода. Примечательно, что AcidPour претерпевает изменения, которые повышают его универсальность и потенциальное влияние на более широкий спектр систем.
Установить причину этих атак непросто, но, основываясь на географическом таргетинге и группах жертв, можно предположить, что атаки были совершены пророссийски настроенными лицами. Однако важно отметить, что сравнение совпадений кода может не дать окончательной информации, поскольку вредоносное ПО может быть воссоздано с помощью обратного проектирования. Эта двусмысленность может быть использована злоумышленниками для введения в заблуждение аналитиков или создания путаницы.
Пожалуйста, дайте мне знать, если вам понадобятся более подробные сведения или конкретная информация из текста.
#ParsedReport #CompletenessLow
06-05-2024
FIN7 Abusing Malicious MSIX Packages To Deliver NetSupport RAT. Who is FIN7?
https://rewscel.medium.com/fin7-abusing-malicious-msix-packages-to-deliver-netsupport-rat-09962fdf33ef
Report completeness: Low
Actors/Campaigns:
Carbanak
Threats:
Netsupportmanager_rat
Seo_poisoning_technique
Spear-phishing_technique
Geo:
Russian
ChatGPT TTPs:
T1566, T1027, T1568, T1219
IOCs:
Domain: 7
IP: 2
Url: 1
File: 1
Soft:
discord
Languages:
powershell
06-05-2024
FIN7 Abusing Malicious MSIX Packages To Deliver NetSupport RAT. Who is FIN7?
https://rewscel.medium.com/fin7-abusing-malicious-msix-packages-to-deliver-netsupport-rat-09962fdf33ef
Report completeness: Low
Actors/Campaigns:
Carbanak
Threats:
Netsupportmanager_rat
Seo_poisoning_technique
Spear-phishing_technique
Geo:
Russian
ChatGPT TTPs:
do not use without manual checkT1566, T1027, T1568, T1219
IOCs:
Domain: 7
IP: 2
Url: 1
File: 1
Soft:
discord
Languages:
powershell
Medium
FIN7 Abusing Malicious MSIX Packages To Deliver NetSupport RAT
Quick note: This post is an attempt to share what I’ve learned while doing some research about this specific group (FIN7). I am newer to…
CTT Report Hub
#ParsedReport #CompletenessLow 06-05-2024 FIN7 Abusing Malicious MSIX Packages To Deliver NetSupport RAT. Who is FIN7? https://rewscel.medium.com/fin7-abusing-malicious-msix-packages-to-deliver-netsupport-rat-09962fdf33ef Report completeness: Low Actors/Campaigns:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в расследовании аналитиком по кибербезопасности деятельности российской группы передовых стойких угроз FIN7, в котором основное внимание уделяется недавно обнаруженному вредоносному домену и связанной с ним тактике действий злоумышленников, такой как использование запутанного сценария PowerShell для загрузки NetSupport RAT. Сотрудничество с сообществом специалистов по кибербезопасности и использование инструментов для отслеживания новых доменов, созданных участниками угроз, играют ключевую роль в повышении эффективности сбора оперативной информации об угрозах и их устранении.
-----
FIN7 - российская группа, занимающаяся распространением продвинутых устойчивых угроз (APT), известная своими финансовыми мотивами. В ходе недавнего расследования аналитик начал с проверки потенциально вредоносного домена, webex-install.com, на VirusTotal. Дата создания домена была указана за 23 дня до этого, что указывает на недавнюю активность. Однако при попытке получить доступ к сайту была обнаружена только страница "Ошибка 404", что является обычной тактикой, используемой злоумышленниками.
Дальнейшее изучение связей между доменами привело к обнаружению других доменов, связанных с активностью FIN7. Аналитик идентифицировал запутанный сценарий PowerShell как ключевой файл, представляющий интерес. Используя такой инструмент, как AnyRun, аналитик проследил цепочку заражения, инициированную сценарием PowerShell. Этот анализ показал, что скрипт в конечном итоге загрузил NetSupport RAT, троянскую программу удаленного доступа, которая была запущена как client32.exe.
Сотрудничество с сообществом кибербезопасности в Twitter, включая таких пользователей, как NDA0E, RussianPanda9xx, g0njxa, 500mk500 и ValidinLLC, позволило получить ценную информацию. Благодаря этому взаимодействию были обнаружены дополнительные домены, связанные с тем же IP-адресом (94.131.101.65), что расширило рамки расследования.
Чтобы отслеживать новые домены, созданные злоумышленниками, такими как FIN7, можно использовать инструменты для запроса IP-адресов и отслеживания истории DNS. Было замечено, что FIN7 использует похожие домены для проведения SEO-атак или фишинговых кампаний, направленных на распространение NetSupport RAT. Используя информацию, которой обмениваются в сообществе, аналитики могут эффективно профилировать и объединять усилия для повышения эффективности сбора разведывательной информации об угрозах и смягчения их последствий.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в расследовании аналитиком по кибербезопасности деятельности российской группы передовых стойких угроз FIN7, в котором основное внимание уделяется недавно обнаруженному вредоносному домену и связанной с ним тактике действий злоумышленников, такой как использование запутанного сценария PowerShell для загрузки NetSupport RAT. Сотрудничество с сообществом специалистов по кибербезопасности и использование инструментов для отслеживания новых доменов, созданных участниками угроз, играют ключевую роль в повышении эффективности сбора оперативной информации об угрозах и их устранении.
-----
FIN7 - российская группа, занимающаяся распространением продвинутых устойчивых угроз (APT), известная своими финансовыми мотивами. В ходе недавнего расследования аналитик начал с проверки потенциально вредоносного домена, webex-install.com, на VirusTotal. Дата создания домена была указана за 23 дня до этого, что указывает на недавнюю активность. Однако при попытке получить доступ к сайту была обнаружена только страница "Ошибка 404", что является обычной тактикой, используемой злоумышленниками.
Дальнейшее изучение связей между доменами привело к обнаружению других доменов, связанных с активностью FIN7. Аналитик идентифицировал запутанный сценарий PowerShell как ключевой файл, представляющий интерес. Используя такой инструмент, как AnyRun, аналитик проследил цепочку заражения, инициированную сценарием PowerShell. Этот анализ показал, что скрипт в конечном итоге загрузил NetSupport RAT, троянскую программу удаленного доступа, которая была запущена как client32.exe.
Сотрудничество с сообществом кибербезопасности в Twitter, включая таких пользователей, как NDA0E, RussianPanda9xx, g0njxa, 500mk500 и ValidinLLC, позволило получить ценную информацию. Благодаря этому взаимодействию были обнаружены дополнительные домены, связанные с тем же IP-адресом (94.131.101.65), что расширило рамки расследования.
Чтобы отслеживать новые домены, созданные злоумышленниками, такими как FIN7, можно использовать инструменты для запроса IP-адресов и отслеживания истории DNS. Было замечено, что FIN7 использует похожие домены для проведения SEO-атак или фишинговых кампаний, направленных на распространение NetSupport RAT. Используя информацию, которой обмениваются в сообществе, аналитики могут эффективно профилировать и объединять усилия для повышения эффективности сбора разведывательной информации об угрозах и смягчения их последствий.
20 апреля в Москве состоялся первый CTI meetup, который совместно организовали Инсека и Технологии киберугроз (RST Cloud Russia).
CTI meetup в цифрах:
-собрали 50+ специалистов ИБ из более чем 30 организаций
-с докладами выступили 7 топовых экспертов отрасли
-5 часов концентрированной пользы по теме CTI
Доступны презентации и записи выступлений первого CTI meetup, посмотреть и скачать можно по ссылке
Спасибо всем, кто был с нами на митапе, обещаем повторить!🔥
Чтобы попасть на следующую встречу добавляйтесь в лист ожидания.
Когда будет следующая встреча? - по мере формирования программы митапа. Сбор докладов уже открыт, присылайте информацию о себе и свою тему доклада на @insecatech, мы с вами обязательно свяжемся!
CTI meetup в цифрах:
-собрали 50+ специалистов ИБ из более чем 30 организаций
-с докладами выступили 7 топовых экспертов отрасли
-5 часов концентрированной пользы по теме CTI
Доступны презентации и записи выступлений первого CTI meetup, посмотреть и скачать можно по ссылке
Спасибо всем, кто был с нами на митапе, обещаем повторить!🔥
Чтобы попасть на следующую встречу добавляйтесь в лист ожидания.
Когда будет следующая встреча? - по мере формирования программы митапа. Сбор докладов уже открыт, присылайте информацию о себе и свою тему доклада на @insecatech, мы с вами обязательно свяжемся!
🔥2
Forwarded from INSECA Практические курсы по информационной безопасности
20 апреля в Москве состоялся первый CTI meetup, который совместно организовали Инсека и Технологии киберугроз (RST Cloud Russia).
CTI meetup в цифрах:
-собрали 50+ специалистов ИБ из более чем 30 организаций
-с докладами выступили 7 топовых экспертов отрасли
-5 часов концентрированной пользы по теме CTI
Доступны презентации и записи выступлений первого CTI meetup, посмотреть и скачать можно по ссылке
Спасибо всем, кто был с нами на митапе, обещаем повторить!🔥
Чтобы попасть на следующую встречу добавляйтесь в лист ожидания.
Когда будет следующая встреча? - по мере формирования программы митапа. Сбор докладов уже открыт, присылайте информацию о себе и свою тему доклада на @insecatech, мы с вами обязательно свяжемся!
CTI meetup в цифрах:
-собрали 50+ специалистов ИБ из более чем 30 организаций
-с докладами выступили 7 топовых экспертов отрасли
-5 часов концентрированной пользы по теме CTI
Доступны презентации и записи выступлений первого CTI meetup, посмотреть и скачать можно по ссылке
Спасибо всем, кто был с нами на митапе, обещаем повторить!🔥
Чтобы попасть на следующую встречу добавляйтесь в лист ожидания.
Когда будет следующая встреча? - по мере формирования программы митапа. Сбор докладов уже открыт, присылайте информацию о себе и свою тему доклада на @insecatech, мы с вами обязательно свяжемся!
🔥1🤮1
#technique
Sharp post-exploitation toolkit providing modular access to the Microsoft Graph API (graph.microsoft.com) for cloud and red team operations.
https://github.com/mlcsec/SharpGraphView
Sharp post-exploitation toolkit providing modular access to the Microsoft Graph API (graph.microsoft.com) for cloud and red team operations.
https://github.com/mlcsec/SharpGraphView
GitHub
GitHub - mlcsec/SharpGraphView: Microsoft Graph API post-exploitation toolkit
Microsoft Graph API post-exploitation toolkit. Contribute to mlcsec/SharpGraphView development by creating an account on GitHub.
#ParsedReport #CompletenessMedium
06-05-2024
HijackLoader Updates
https://www.zscaler.com/blogs/security-research/hijackloader-updates
Report completeness: Medium
Threats:
Hijackloader
Idat_loader
Process_hollowing_technique
Lumma_stealer
Raccoon_stealer
Remcos_rat
Amadey
Heavens_gate_technique
Uac_bypass_technique
Meta_stealer
Redline_stealer
Rhadamanthys
Process_injection_technique
TTPs:
Tactics: 2
Technics: 8
IOCs:
File: 3
Hash: 10
Url: 1
Soft:
Windows Defender, KeePass
Algorithms:
lznt1, xor, sha256, crc-32
Win API:
decompress, VirtualProtect, RtlGetNativeSystemInfo, NtDelayExecution, GlobalAlloc, ReadFile, WriteFile, pie
Languages:
powershell, python
Platforms:
x64
Links:
06-05-2024
HijackLoader Updates
https://www.zscaler.com/blogs/security-research/hijackloader-updates
Report completeness: Medium
Threats:
Hijackloader
Idat_loader
Process_hollowing_technique
Lumma_stealer
Raccoon_stealer
Remcos_rat
Amadey
Heavens_gate_technique
Uac_bypass_technique
Meta_stealer
Redline_stealer
Rhadamanthys
Process_injection_technique
TTPs:
Tactics: 2
Technics: 8
IOCs:
File: 3
Hash: 10
Url: 1
Soft:
Windows Defender, KeePass
Algorithms:
lznt1, xor, sha256, crc-32
Win API:
decompress, VirtualProtect, RtlGetNativeSystemInfo, NtDelayExecution, GlobalAlloc, ReadFile, WriteFile, pie
Languages:
powershell, python
Platforms:
x64
Links:
https://github.com/threatlabz/tools/tree/main/hijackloaderZscaler
HijackLoader Updates | ThreatLabz
Explore HijackLoader’s updates and PNG image delivery method.
CTT Report Hub
#ParsedReport #CompletenessMedium 06-05-2024 HijackLoader Updates https://www.zscaler.com/blogs/security-research/hijackloader-updates Report completeness: Medium Threats: Hijackloader Idat_loader Process_hollowing_technique Lumma_stealer Raccoon_stealer…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста - о HijackLoader, сложном загрузчике вредоносных программ, который включает в себя передовые методы обхода и модульную архитектуру для распространения различных семейств вредоносных программ, расширяет свои возможности скрытности и использует такие методы, как разрушение процессов и Небесные врата, для вредоносных операций. ThreatLabZ проанализировал новый образец HijackLoader в 2024 году, отметив его постоянное развитие, методы распространения и использование изображений в формате PNG для инициирования атак. Сложность и эволюционирующий характер загрузчика вредоносных программ создают серьезную киберугрозу, требующую детального анализа и использования таких инструментов, как скрипт ThreatLabZ на Python для расшифровки и проверки.
-----
HijackLoader, также известный как IDAT Loader, представляет собой сложный загрузчик вредоносных программ с модульной архитектурой, которая позволяет использовать различные модули для внедрения и выполнения кода.
Новый образец HijackLoader, проанализированный ThreatLabZ, выявил обновленные методы уклонения, направленные на улучшение скрытности.
Последняя версия включает в себя модули для добавления исключений для антивируса Windows Defender, обхода контроля учетных записей пользователей (UAC), обхода встроенного подключения к API и использования блокировки процессов.
Было замечено, что HijackLoader распространяет различные семейства вредоносных программ, включая Amadey, Lumma Stealer, Racoon Stealer v2 и Remcos RAT.
Примечательные особенности HijackLoader включают динамическое разрешение API, проверку процесса блокировки и уклонение от перехвата в пользовательском режиме с использованием таких методов, как Heaven's Gate.
Загрузчик вредоносных программ использует скрипт на Python, разработанный ThreatLabZ для извлечения конфигурации и модулей из образцов.
Процесс выполнения HijackLoader включает в себя расшифровку и распаковку модулей на первом этапе перед установлением подключения к Интернету, а на втором этапе основное внимание уделяется внедрению в основной инструментальный модуль методов антианализа.
Загрузчик использует различные методы для загрузки второго этапа, включая процессы, включающие операции XOR и методы загрузки памяти.
Исследование, проведенное в марте 2024 года, выявило распространение семейств вредоносных программ с помощью HijackLoader, причем Amadey является наиболее распространенным. Среди других распространяемых вредоносных программ - Lumma Stealer, Racoon Stealer v2, Remcos RAT, Meta Stealer и Rhadamanthys.
Использование множества модулей, продвинутые методы уклонения, сложные способы доставки и постоянное развитие делают HijackLoader серьезной киберугрозой.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста - о HijackLoader, сложном загрузчике вредоносных программ, который включает в себя передовые методы обхода и модульную архитектуру для распространения различных семейств вредоносных программ, расширяет свои возможности скрытности и использует такие методы, как разрушение процессов и Небесные врата, для вредоносных операций. ThreatLabZ проанализировал новый образец HijackLoader в 2024 году, отметив его постоянное развитие, методы распространения и использование изображений в формате PNG для инициирования атак. Сложность и эволюционирующий характер загрузчика вредоносных программ создают серьезную киберугрозу, требующую детального анализа и использования таких инструментов, как скрипт ThreatLabZ на Python для расшифровки и проверки.
-----
HijackLoader, также известный как IDAT Loader, представляет собой сложный загрузчик вредоносных программ с модульной архитектурой, которая позволяет использовать различные модули для внедрения и выполнения кода.
Новый образец HijackLoader, проанализированный ThreatLabZ, выявил обновленные методы уклонения, направленные на улучшение скрытности.
Последняя версия включает в себя модули для добавления исключений для антивируса Windows Defender, обхода контроля учетных записей пользователей (UAC), обхода встроенного подключения к API и использования блокировки процессов.
Было замечено, что HijackLoader распространяет различные семейства вредоносных программ, включая Amadey, Lumma Stealer, Racoon Stealer v2 и Remcos RAT.
Примечательные особенности HijackLoader включают динамическое разрешение API, проверку процесса блокировки и уклонение от перехвата в пользовательском режиме с использованием таких методов, как Heaven's Gate.
Загрузчик вредоносных программ использует скрипт на Python, разработанный ThreatLabZ для извлечения конфигурации и модулей из образцов.
Процесс выполнения HijackLoader включает в себя расшифровку и распаковку модулей на первом этапе перед установлением подключения к Интернету, а на втором этапе основное внимание уделяется внедрению в основной инструментальный модуль методов антианализа.
Загрузчик использует различные методы для загрузки второго этапа, включая процессы, включающие операции XOR и методы загрузки памяти.
Исследование, проведенное в марте 2024 года, выявило распространение семейств вредоносных программ с помощью HijackLoader, причем Amadey является наиболее распространенным. Среди других распространяемых вредоносных программ - Lumma Stealer, Racoon Stealer v2, Remcos RAT, Meta Stealer и Rhadamanthys.
Использование множества модулей, продвинутые методы уклонения, сложные способы доставки и постоянное развитие делают HijackLoader серьезной киберугрозой.
👍1
Через нас каждый день проходит много отчетов.
В них содержится описание и поведение разных угроз (малварь, рансомварь, группировки и т.д.). Мы извлекаем из отчетов названия этих угроз в привязке к предложениям из тела отчета.
На праздниках окончательно сформировалась идея: "А почему бы не сделать хранение <Угроза> - <Абзацы текста, где она фигурирует>?". На базе этих кусков и LLM можно сделать динамически перестраиваемое краткое описание каждой угрозы.
Да, описание не будет детальное, но про основную идею о том, что же эта за угроза и что она делает - будет понятно.
Т.о. можно сделать API, куда на вход подавать название угрозы, а на выходе получать саммари по ней, автоматически построенное по всем TI-отчетам, где она была упомянута.
Надеюсь, что к PhD допилю этот сервис, благо 70% уже запилено )))
Будет ли он общедоступный? Скорее всего - да, основную часть как-то сделаю открытой.
В них содержится описание и поведение разных угроз (малварь, рансомварь, группировки и т.д.). Мы извлекаем из отчетов названия этих угроз в привязке к предложениям из тела отчета.
На праздниках окончательно сформировалась идея: "А почему бы не сделать хранение <Угроза> - <Абзацы текста, где она фигурирует>?". На базе этих кусков и LLM можно сделать динамически перестраиваемое краткое описание каждой угрозы.
Да, описание не будет детальное, но про основную идею о том, что же эта за угроза и что она делает - будет понятно.
Т.о. можно сделать API, куда на вход подавать название угрозы, а на выходе получать саммари по ней, автоматически построенное по всем TI-отчетам, где она была упомянута.
Надеюсь, что к PhD допилю этот сервис, благо 70% уже запилено )))
Будет ли он общедоступный? Скорее всего - да, основную часть как-то сделаю открытой.
🔥14
#ParsedReport #CompletenessMedium
08-05-2024
From OSINT to Disk: Wave Stealer Analysis. Introduction
https://montysecurity.medium.com/from-osint-to-disk-wave-stealer-analysis-2010d2e340f0?source=rss-9369a68f4b09------2
Report completeness: Medium
Threats:
Wave_stealer
Privateloader
Procmon_tool
Dll_injection_technique
Dll_hijacking_technique
Victims:
Unity llc
Industry:
Entertainment
ChatGPT TTPs:
T1055, T1574.001, T1547.001
IOCs:
Hash: 3
Path: 1
File: 5
Domain: 1
Soft:
Discord
Algorithms:
sha256
Functions:
CreateFile
Links:
08-05-2024
From OSINT to Disk: Wave Stealer Analysis. Introduction
https://montysecurity.medium.com/from-osint-to-disk-wave-stealer-analysis-2010d2e340f0?source=rss-9369a68f4b09------2
Report completeness: Medium
Threats:
Wave_stealer
Privateloader
Procmon_tool
Dll_injection_technique
Dll_hijacking_technique
Victims:
Unity llc
Industry:
Entertainment
ChatGPT TTPs:
do not use without manual checkT1055, T1574.001, T1547.001
IOCs:
Hash: 3
Path: 1
File: 5
Domain: 1
Soft:
Discord
Algorithms:
sha256
Functions:
CreateFile
Links:
https://github.com/montysecurity/InfraHunterhttps://github.com/mandiant/flare-vmMedium
From OSINT to Disk: Wave Stealer Analysis
Introduction
CTT Report Hub
#ParsedReport #CompletenessMedium 08-05-2024 From OSINT to Disk: Wave Stealer Analysis. Introduction https://montysecurity.medium.com/from-osint-to-disk-wave-stealer-analysis-2010d2e340f0?source=rss-9369a68f4b09------2 Report completeness: Medium Threats:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В тексте обсуждается анализ Wave Stealer infostealer, в котором основное внимание уделяется использованию уязвимости при внедрении библиотеки DLL в продукт, связанный с Unity, для запуска вредоносных действий и попыток создания механизмов сохранения. Несмотря на выявление уязвимости, механизм сохранения не сработал, что привело к сбоям в работе программы и пролило свет на тактику злоумышленников по внедрению инфокрадов.
-----
В тексте обсуждается процесс идентификации и анализа страницы с рекламой инфостилера Wave Stealer, получения образца и изучения методов его использования и сохранения. Автор использовал инструмент InfraHunter, чтобы найти веб-сайт, рекламирующий инфостилера, с помощью специального запроса на Shodan. Затем полученный образец загружался в FLARE VM для анализа с использованием различных инструментов, таких как Wireshark, ProcMon, ProcessExplorer, FakeNet-NG и других.
Анализ показал, что в образце была предпринята попытка использовать уязвимость при внедрении библиотеки DLL, связанную с ffmpeg.dll в программе Unity. Поместив вредоносную библиотеку DLL в ту же папку, что и уязвимая программа, образец вызвал обратный вызов домена. Наличие строк, связанных с играми, и ссылок на Unity, указывало на то, что infostealer нацелился на продукт, связанный с Unity. Однако время компиляции программы Unity совпало со временем компиляции программы Unity из ffmpeg.dll, что вызвало подозрения относительно возможной пользовательской компиляции. Вредоносная активность основывалась на ffmpeg.dll, которая не имела отношения к законному проекту FFmpeg.
В тексте также упоминалось сообщение, указывающее на наличие уязвимости при внедрении библиотеки DLL и сбой механизма сохранения в образце, что привело к сбою программы при запуске. Wave Stealer был идентифицирован как infostealer, использующий уязвимость при внедрении библиотеки DLL в ffmpeg.dll в продукте, связанном с Unity, для сохранения сохранности в папке запуска.
Таким образом, анализ выявил использование Wave Stealer уязвимости при внедрении библиотеки DLL для компрометации продукта, связанного с Unity, а также неудачный механизм сохранения данных в проанализированном примере, приводящий к сбоям программы. Исследование пролило свет на тактику и методы, используемые злоумышленниками для внедрения инфостилеров и уклонения от обнаружения.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В тексте обсуждается анализ Wave Stealer infostealer, в котором основное внимание уделяется использованию уязвимости при внедрении библиотеки DLL в продукт, связанный с Unity, для запуска вредоносных действий и попыток создания механизмов сохранения. Несмотря на выявление уязвимости, механизм сохранения не сработал, что привело к сбоям в работе программы и пролило свет на тактику злоумышленников по внедрению инфокрадов.
-----
В тексте обсуждается процесс идентификации и анализа страницы с рекламой инфостилера Wave Stealer, получения образца и изучения методов его использования и сохранения. Автор использовал инструмент InfraHunter, чтобы найти веб-сайт, рекламирующий инфостилера, с помощью специального запроса на Shodan. Затем полученный образец загружался в FLARE VM для анализа с использованием различных инструментов, таких как Wireshark, ProcMon, ProcessExplorer, FakeNet-NG и других.
Анализ показал, что в образце была предпринята попытка использовать уязвимость при внедрении библиотеки DLL, связанную с ffmpeg.dll в программе Unity. Поместив вредоносную библиотеку DLL в ту же папку, что и уязвимая программа, образец вызвал обратный вызов домена. Наличие строк, связанных с играми, и ссылок на Unity, указывало на то, что infostealer нацелился на продукт, связанный с Unity. Однако время компиляции программы Unity совпало со временем компиляции программы Unity из ffmpeg.dll, что вызвало подозрения относительно возможной пользовательской компиляции. Вредоносная активность основывалась на ffmpeg.dll, которая не имела отношения к законному проекту FFmpeg.
В тексте также упоминалось сообщение, указывающее на наличие уязвимости при внедрении библиотеки DLL и сбой механизма сохранения в образце, что привело к сбою программы при запуске. Wave Stealer был идентифицирован как infostealer, использующий уязвимость при внедрении библиотеки DLL в ffmpeg.dll в продукте, связанном с Unity, для сохранения сохранности в папке запуска.
Таким образом, анализ выявил использование Wave Stealer уязвимости при внедрении библиотеки DLL для компрометации продукта, связанного с Unity, а также неудачный механизм сохранения данных в проанализированном примере, приводящий к сбоям программы. Исследование пролило свет на тактику и методы, используемые злоумышленниками для внедрения инфостилеров и уклонения от обнаружения.
#ParsedReport #CompletenessMedium
08-05-2024
zEus Stealer Distributed via Crafted Minecraft Source Pack
https://www.fortinet.com/blog/threat-research/zeus-stealer-distributed-via-crafted-minecraft-source-pack
Report completeness: Medium
Threats:
Zeus
Process_hacker_tool
Ollydbg_tool
Industry:
Financial
Geo:
French
ChatGPT TTPs:
T1566, T1204, T1059, T1056, T1049, T1552, T1496, T1053, T1114, T1090, have more...
IOCs:
Hash: 23
File: 16
Path: 5
Registry: 1
Domain: 2
Url: 8
Soft:
Discord, Chrome, Opera, Vivaldi, Roblox, Telegram
Wallets:
zcash, jaxx, exodus_wallet, atomicwallet, coinomi, metamask
Crypto:
ethereum
Algorithms:
zip
Win Services:
vgauthservice
Languages:
powershell
08-05-2024
zEus Stealer Distributed via Crafted Minecraft Source Pack
https://www.fortinet.com/blog/threat-research/zeus-stealer-distributed-via-crafted-minecraft-source-pack
Report completeness: Medium
Threats:
Zeus
Process_hacker_tool
Ollydbg_tool
Industry:
Financial
Geo:
French
ChatGPT TTPs:
do not use without manual checkT1566, T1204, T1059, T1056, T1049, T1552, T1496, T1053, T1114, T1090, have more...
IOCs:
Hash: 23
File: 16
Path: 5
Registry: 1
Domain: 2
Url: 8
Soft:
Discord, Chrome, Opera, Vivaldi, Roblox, Telegram
Wallets:
zcash, jaxx, exodus_wallet, atomicwallet, coinomi, metamask
Crypto:
ethereum
Algorithms:
zip
Win Services:
vgauthservice
Languages:
powershell
Fortinet Blog
zEus Stealer Distributed via Crafted Minecraft Source Pack
FortiGuard Labs analysis of a zEus batch stealer distributed via a crafted Minecraft source pack. Learn more.…
🔥1