#ParsedReport #CompletenessLow
06-05-2024

Blogs. Pouring Acid Rain

https://www.trellix.com/blogs/research/pouring-acid-rain

Report completeness: Low

Threats:
Acidrain
Acidpour
Acidwiper
Wannacry
Eternal_petya
Disttrack
Eternalblue_vuln
Whispergate
Hermeticwiper
Isaacwiper
Killdisk
Doublezero
Industoyer2
Ransomboggs
Swiftslicer
Zerowipe
Bidswipe
Bibi-wiper
Bfg_agonizer
Partialwasher
Samecoin
Vpnfilter
Smokeloader

Victims:
Viasat ka-sat, Ukrainian-based entities

Industry:
Military, Entertainment, Telco

Geo:
Saudi, Ukrainian, Israel, Ukraine

ChatGPT TTPs:
do not use without manual check
T1485, T1565, T1070, T1490, T1107

IOCs:
Hash: 2

Soft:
OpenWRT

Algorithms:
md5, sha256, sha1

Functions:
IOCTL

Links:
https://github.com/mirror/dd-wrt/blob/master/src/router/rc/mtd.c#L159
https://github.com/threatrack/ghidra-fidb-repo
https://github.com/knight0x07/BiBi-Windows-Wiper-Analysis
https://github.com/kraj/uClibc/blob/ca1c74d67dd115d059a875150e10b8560a9c35a8/libc/string/generic/strncpy.c#L21

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обсуждении деструктивной природы wipers, особенно с акцентом на двух конкретных wipers, названных AcidRain и AcidPour, их возможностях, предыстории и потенциальной причастности к недавним крупным геополитическим конфликтам в Украине и Израиле. В тексте подчеркивается рост использования wiper в конфликтах, сходство между AcidRain и AcidPour в поведении и исполнении, потенциальное дублирование кода, проблемы с атрибуцией и неоднозначность, связанная с анализом вредоносных программ.
-----

В тексте обсуждается использование wipers в недавних крупных геополитических конфликтах в Украине и Израиле, подчеркивается их деструктивный характер в отношении цифровой инфраструктуры. В частности, основное внимание уделяется двум wipers, названным AcidRain и AcidPour, что проливает свет на их происхождение, возможности и потенциальную причастность.

AcidRain был впервые обнаружен в связи с российско-украинским конфликтом и был нацелен на модемы Viasat KA-SAT. Этот стеклоочиститель является частью тенденции, когда стеклоочистители все чаще используются в международных конфликтах и активизме, в частности, в таких известных проектах, как WannaCry, NotPetya и Shamoon. Влияние AcidRain на устройства Viasat KA-SAT и последующее появление нескольких стеклоочистителей после атаки сигнализируют о растущем использовании стеклоочистителей, особенно во время конфликтов.

С технической точки зрения AcidRain и AcidPour демонстрируют сходство в поведении и процессе выполнения, причем AcidPour является более новым вариантом. Оба очистителя используют 256-килобайтный буфер для перезаписи файлов, используя возрастающие значения в AcidPour и убывающие значения в AcidRain. Они оба используют функции библиотеки uClibc, печать сообщений, возможности очистки каталогов и вызовы перезагрузки устройства, что позволяет избежать дублирования кода или репликации.

Хотя нет однозначных доказательств того, что оба wiper используют один и тот же исходный код, текст предполагает среднюю степень уверенности в том, что AcidPour основывается на базе кода AcidRain из-за сходства зависимостей и структуры кода. Примечательно, что AcidPour претерпевает изменения, которые повышают его универсальность и потенциальное влияние на более широкий спектр систем.

Установить причину этих атак непросто, но, основываясь на географическом таргетинге и группах жертв, можно предположить, что атаки были совершены пророссийски настроенными лицами. Однако важно отметить, что сравнение совпадений кода может не дать окончательной информации, поскольку вредоносное ПО может быть воссоздано с помощью обратного проектирования. Эта двусмысленность может быть использована злоумышленниками для введения в заблуждение аналитиков или создания путаницы.

Пожалуйста, дайте мне знать, если вам понадобятся более подробные сведения или конкретная информация из текста.

#ParsedReport #CompletenessLow
06-05-2024

FIN7 Abusing Malicious MSIX Packages To Deliver NetSupport RAT. Who is FIN7?

https://rewscel.medium.com/fin7-abusing-malicious-msix-packages-to-deliver-netsupport-rat-09962fdf33ef

Report completeness: Low

Actors/Campaigns:
Carbanak

Threats:
Netsupportmanager_rat
Seo_poisoning_technique
Spear-phishing_technique

Geo:
Russian

ChatGPT TTPs:
do not use without manual check
T1566, T1027, T1568, T1219

IOCs:
Domain: 7
IP: 2
Url: 1
File: 1

Soft:
discord

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в расследовании аналитиком по кибербезопасности деятельности российской группы передовых стойких угроз FIN7, в котором основное внимание уделяется недавно обнаруженному вредоносному домену и связанной с ним тактике действий злоумышленников, такой как использование запутанного сценария PowerShell для загрузки NetSupport RAT. Сотрудничество с сообществом специалистов по кибербезопасности и использование инструментов для отслеживания новых доменов, созданных участниками угроз, играют ключевую роль в повышении эффективности сбора оперативной информации об угрозах и их устранении.
-----

FIN7 - российская группа, занимающаяся распространением продвинутых устойчивых угроз (APT), известная своими финансовыми мотивами. В ходе недавнего расследования аналитик начал с проверки потенциально вредоносного домена, webex-install.com, на VirusTotal. Дата создания домена была указана за 23 дня до этого, что указывает на недавнюю активность. Однако при попытке получить доступ к сайту была обнаружена только страница "Ошибка 404", что является обычной тактикой, используемой злоумышленниками.

Дальнейшее изучение связей между доменами привело к обнаружению других доменов, связанных с активностью FIN7. Аналитик идентифицировал запутанный сценарий PowerShell как ключевой файл, представляющий интерес. Используя такой инструмент, как AnyRun, аналитик проследил цепочку заражения, инициированную сценарием PowerShell. Этот анализ показал, что скрипт в конечном итоге загрузил NetSupport RAT, троянскую программу удаленного доступа, которая была запущена как client32.exe.

Сотрудничество с сообществом кибербезопасности в Twitter, включая таких пользователей, как NDA0E, RussianPanda9xx, g0njxa, 500mk500 и ValidinLLC, позволило получить ценную информацию. Благодаря этому взаимодействию были обнаружены дополнительные домены, связанные с тем же IP-адресом (94.131.101.65), что расширило рамки расследования.

Чтобы отслеживать новые домены, созданные злоумышленниками, такими как FIN7, можно использовать инструменты для запроса IP-адресов и отслеживания истории DNS. Было замечено, что FIN7 использует похожие домены для проведения SEO-атак или фишинговых кампаний, направленных на распространение NetSupport RAT. Используя информацию, которой обмениваются в сообществе, аналитики могут эффективно профилировать и объединять усилия для повышения эффективности сбора разведывательной информации об угрозах и смягчения их последствий.

20 апреля в Москве состоялся первый CTI meetup, который совместно организовали Инсека и Технологии киберугроз (RST Cloud Russia).

CTI meetup в цифрах:
-собрали 50+ специалистов ИБ из более чем 30 организаций
-с докладами выступили 7 топовых экспертов отрасли
-5 часов концентрированной пользы по теме CTI

Доступны презентации и записи выступлений первого CTI meetup, посмотреть и скачать можно по ссылке

Спасибо всем, кто был с нами на митапе, обещаем повторить!🔥

Чтобы попасть на следующую встречу добавляйтесь в лист ожидания.

Когда будет следующая встреча? - по мере формирования программы митапа. Сбор докладов уже открыт, присылайте информацию о себе и свою тему доклада на @insecatech, мы с вами обязательно свяжемся!

20 апреля в Москве состоялся первый CTI meetup, который совместно организовали Инсека и Технологии киберугроз (RST Cloud Russia).

CTI meetup в цифрах:
-собрали 50+ специалистов ИБ из более чем 30 организаций
-с докладами выступили 7 топовых экспертов отрасли
-5 часов концентрированной пользы по теме CTI

Доступны презентации и записи выступлений первого CTI meetup, посмотреть и скачать можно по ссылке

Спасибо всем, кто был с нами на митапе, обещаем повторить!🔥

Чтобы попасть на следующую встречу добавляйтесь в лист ожидания.

Когда будет следующая встреча? - по мере формирования программы митапа. Сбор докладов уже открыт, присылайте информацию о себе и свою тему доклада на @insecatech, мы с вами обязательно свяжемся!

#technique

Sharp post-exploitation toolkit providing modular access to the Microsoft Graph API (graph.microsoft.com) for cloud and red team operations.

https://github.com/mlcsec/SharpGraphView

#ParsedReport #CompletenessMedium
06-05-2024

HijackLoader Updates

https://www.zscaler.com/blogs/security-research/hijackloader-updates

Report completeness: Medium

Threats:
Hijackloader
Idat_loader
Process_hollowing_technique
Lumma_stealer
Raccoon_stealer
Remcos_rat
Amadey
Heavens_gate_technique
Uac_bypass_technique
Meta_stealer
Redline_stealer
Rhadamanthys
Process_injection_technique

TTPs:
Tactics: 2
Technics: 8

IOCs:
File: 3
Hash: 10
Url: 1

Soft:
Windows Defender, KeePass

Algorithms:
lznt1, xor, sha256, crc-32

Win API:
decompress, VirtualProtect, RtlGetNativeSystemInfo, NtDelayExecution, GlobalAlloc, ReadFile, WriteFile, pie

Languages:
powershell, python

Platforms:
x64

Links:
https://github.com/threatlabz/tools/tree/main/hijackloader

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - о HijackLoader, сложном загрузчике вредоносных программ, который включает в себя передовые методы обхода и модульную архитектуру для распространения различных семейств вредоносных программ, расширяет свои возможности скрытности и использует такие методы, как разрушение процессов и Небесные врата, для вредоносных операций. ThreatLabZ проанализировал новый образец HijackLoader в 2024 году, отметив его постоянное развитие, методы распространения и использование изображений в формате PNG для инициирования атак. Сложность и эволюционирующий характер загрузчика вредоносных программ создают серьезную киберугрозу, требующую детального анализа и использования таких инструментов, как скрипт ThreatLabZ на Python для расшифровки и проверки.
-----

HijackLoader, также известный как IDAT Loader, представляет собой сложный загрузчик вредоносных программ с модульной архитектурой, которая позволяет использовать различные модули для внедрения и выполнения кода.

Новый образец HijackLoader, проанализированный ThreatLabZ, выявил обновленные методы уклонения, направленные на улучшение скрытности.

Последняя версия включает в себя модули для добавления исключений для антивируса Windows Defender, обхода контроля учетных записей пользователей (UAC), обхода встроенного подключения к API и использования блокировки процессов.

Было замечено, что HijackLoader распространяет различные семейства вредоносных программ, включая Amadey, Lumma Stealer, Racoon Stealer v2 и Remcos RAT.

Примечательные особенности HijackLoader включают динамическое разрешение API, проверку процесса блокировки и уклонение от перехвата в пользовательском режиме с использованием таких методов, как Heaven's Gate.

Загрузчик вредоносных программ использует скрипт на Python, разработанный ThreatLabZ для извлечения конфигурации и модулей из образцов.

Процесс выполнения HijackLoader включает в себя расшифровку и распаковку модулей на первом этапе перед установлением подключения к Интернету, а на втором этапе основное внимание уделяется внедрению в основной инструментальный модуль методов антианализа.

Загрузчик использует различные методы для загрузки второго этапа, включая процессы, включающие операции XOR и методы загрузки памяти.

Исследование, проведенное в марте 2024 года, выявило распространение семейств вредоносных программ с помощью HijackLoader, причем Amadey является наиболее распространенным. Среди других распространяемых вредоносных программ - Lumma Stealer, Racoon Stealer v2, Remcos RAT, Meta Stealer и Rhadamanthys.

Использование множества модулей, продвинутые методы уклонения, сложные способы доставки и постоянное развитие делают HijackLoader серьезной киберугрозой.

Через нас каждый день проходит много отчетов.
В них содержится описание и поведение разных угроз (малварь, рансомварь, группировки и т.д.). Мы извлекаем из отчетов названия этих угроз в привязке к предложениям из тела отчета.

На праздниках окончательно сформировалась идея: "А почему бы не сделать хранение <Угроза> - <Абзацы текста, где она фигурирует>?". На базе этих кусков и LLM можно сделать динамически перестраиваемое краткое описание каждой угрозы.
Да, описание не будет детальное, но про основную идею о том, что же эта за угроза и что она делает - будет понятно.

Т.о. можно сделать API, куда на вход подавать название угрозы, а на выходе получать саммари по ней, автоматически построенное по всем TI-отчетам, где она была упомянута.

Надеюсь, что к PhD допилю этот сервис, благо 70% уже запилено )))
Будет ли он общедоступный? Скорее всего - да, основную часть как-то сделаю открытой.

Осталось перезачитать системные json-чики по всем отчеты с 2022 года и надеяться, что LLM-ка не убьет 3090.

#ParsedReport #CompletenessMedium
08-05-2024

From OSINT to Disk: Wave Stealer Analysis. Introduction

https://montysecurity.medium.com/from-osint-to-disk-wave-stealer-analysis-2010d2e340f0?source=rss-9369a68f4b09------2

Report completeness: Medium

Threats:
Wave_stealer
Privateloader
Procmon_tool
Dll_injection_technique
Dll_hijacking_technique

Victims:
Unity llc

Industry:
Entertainment

ChatGPT TTPs:
do not use without manual check
T1055, T1574.001, T1547.001

IOCs:
Hash: 3
Path: 1
File: 5
Domain: 1

Soft:
Discord

Algorithms:
sha256

Functions:
CreateFile

Links:
https://github.com/montysecurity/InfraHunter
https://github.com/mandiant/flare-vm

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте обсуждается анализ Wave Stealer infostealer, в котором основное внимание уделяется использованию уязвимости при внедрении библиотеки DLL в продукт, связанный с Unity, для запуска вредоносных действий и попыток создания механизмов сохранения. Несмотря на выявление уязвимости, механизм сохранения не сработал, что привело к сбоям в работе программы и пролило свет на тактику злоумышленников по внедрению инфокрадов.
-----

В тексте обсуждается процесс идентификации и анализа страницы с рекламой инфостилера Wave Stealer, получения образца и изучения методов его использования и сохранения. Автор использовал инструмент InfraHunter, чтобы найти веб-сайт, рекламирующий инфостилера, с помощью специального запроса на Shodan. Затем полученный образец загружался в FLARE VM для анализа с использованием различных инструментов, таких как Wireshark, ProcMon, ProcessExplorer, FakeNet-NG и других.

Анализ показал, что в образце была предпринята попытка использовать уязвимость при внедрении библиотеки DLL, связанную с ffmpeg.dll в программе Unity. Поместив вредоносную библиотеку DLL в ту же папку, что и уязвимая программа, образец вызвал обратный вызов домена. Наличие строк, связанных с играми, и ссылок на Unity, указывало на то, что infostealer нацелился на продукт, связанный с Unity. Однако время компиляции программы Unity совпало со временем компиляции программы Unity из ffmpeg.dll, что вызвало подозрения относительно возможной пользовательской компиляции. Вредоносная активность основывалась на ffmpeg.dll, которая не имела отношения к законному проекту FFmpeg.

В тексте также упоминалось сообщение, указывающее на наличие уязвимости при внедрении библиотеки DLL и сбой механизма сохранения в образце, что привело к сбою программы при запуске. Wave Stealer был идентифицирован как infostealer, использующий уязвимость при внедрении библиотеки DLL в ffmpeg.dll в продукте, связанном с Unity, для сохранения сохранности в папке запуска.

Таким образом, анализ выявил использование Wave Stealer уязвимости при внедрении библиотеки DLL для компрометации продукта, связанного с Unity, а также неудачный механизм сохранения данных в проанализированном примере, приводящий к сбоям программы. Исследование пролило свет на тактику и методы, используемые злоумышленниками для внедрения инфостилеров и уклонения от обнаружения.

#ParsedReport #CompletenessMedium
08-05-2024

zEus Stealer Distributed via Crafted Minecraft Source Pack

https://www.fortinet.com/blog/threat-research/zeus-stealer-distributed-via-crafted-minecraft-source-pack

Report completeness: Medium

Threats:
Zeus
Process_hacker_tool
Ollydbg_tool

Industry:
Financial

Geo:
French

ChatGPT TTPs:
do not use without manual check
T1566, T1204, T1059, T1056, T1049, T1552, T1496, T1053, T1114, T1090, have more...

IOCs:
Hash: 23
File: 16
Path: 5
Registry: 1
Domain: 2
Url: 8

Soft:
Discord, Chrome, Opera, Vivaldi, Roblox, Telegram

Wallets:
zcash, jaxx, exodus_wallet, atomicwallet, coinomi, metamask

Crypto:
ethereum

Algorithms:
zip

Win Services:
vgauthservice

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в киберугрозе, связанной с распространением вредоносного ПО под названием zEus stealer через созданный пакет исходных текстов Minecraft. Вредоносная программа предназначена для кражи широкого спектра конфиденциальной информации с компьютеров жертв с помощью обманной тактики, включая маскировку под безобидные файлы и использование различных методов для сбора данных и поддержания контроля над зараженными системами. В статье подчеркивается важность соблюдения осторожности при загрузке файлов из неизвестных источников, риски, связанные с киберугрозами, такими как zEus stealer, и даются рекомендации по наилучшей практике кибербезопасности для снижения таких рисков.
-----

Вредоносная программа под названием zEus stealer распространяется с помощью пакета исходных текстов Minecraft.

Замаскированный под файл заставки Windows в самораспаковывающемся файле WinRAR.

Собирает широкий спектр данных из системы жертвы, включая информацию о компьютере, IP-адрес, информацию об оборудовании, данные браузера, учетные данные для входа в систему.

Создает папки в каталоге C:\ProgramData для хранения украденных данных.

Проверяет на предмет анализа, сравнивая имена компьютеров и процессы с черными списками.

Использует онлайн-инструменты для сбора информации об IP-адресе жертвы, ее местоположении, использовании прокси-сервера и мобильной сети.

Использует утилиты командной строки и PowerShell для извлечения информации об оборудовании и данных браузера.

Использует данные популярных игровых компаний, чтобы понять интересы жертвы.

Удаляет дополнительные файлы, которые помогают в сборе данных, мониторинге экрана и блокировке системы.

Поддерживает контроль, отключая диспетчер задач, отправляя скриншоты, отображая поддельные системные сообщения и позволяя общаться в чате.

Устанавливает связь C2 для непрерывного контроля над системой жертвы.

Рекомендуется соблюдать осторожность при загрузке файлов, включать многофакторную аутентификацию (MFA) и использовать инструменты мониторинга, такие как FortiRecon, для снижения рисков.