CTT Report Hub
3.39K subscribers
9.56K photos
6 videos
67 files
13.2K links
Threat Intelligence Report Hub
Download Telegram
#ParsedReport #CompletenessLow
13-05-2024

Darkness is coming: a new group of MorLock ransomware has increased the intensity of attacks on Russian businesses

https://www.facct.ru/blog/morlock-ransomware

Report completeness: Low

Actors/Campaigns:
Morlock (motivation: financially_motivated)

Threats:
Lockbit
Babuk
Sliver_c2_tool
Pingcastle_tool
Facefish
Godzilla_webshell
Anydesk_tool
Putty_tool
Nssm_tool

Victims:
Russian companies

Geo:
Ukraine, Russia, Russian

ChatGPT TTPs:
do not use without manual check
T1486, T1133, T1566, T1069, T1078, T1059, T1489, T1021, T1105

Soft:
Zimbra, SoftPerfect Network Scanner, PsExec, ESXi

Languages:
powershell

Links:
https://github.com/facct-ransomware/Ransomware/blob/main/MorLock
CTT Report Hub
#ParsedReport #CompletenessLow 13-05-2024 Darkness is coming: a new group of MorLock ransomware has increased the intensity of attacks on Russian businesses https://www.facct.ru/blog/morlock-ransomware Report completeness: Low Actors/Campaigns: Morlock…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в появлении и деятельности новой преступной группировки под названием MorLock ransomware, которая нацелилась на российские компании, используя сотрудничество с другими кибербандами, уникальные методы установления авторства, шифрование данных без эксфильтрации, использование специальных инструментов для атак и наличие индикаторов компрометации для обеспечения кибербезопасности профессионалы.
-----

В отчете F.A.C.C.T. сообщается о появлении новой преступной группы под названием MorLock ransomware, которая с начала 2024 года атаковала по меньшей мере 9 российских компаний. Эти атаки в основном затрагивают средний и крупный бизнес в России. Известно, что MorLock использует в своих операциях программы-вымогатели LockBit 3 (Black) и Babuk, что является частью более широкой тенденции, когда кибербандиты сотрудничают и делятся тактиками, методами и процедурами (TTP), а также инструментами. Несмотря на это сотрудничество, каждая группа придерживается уникального метода работы, который может быть использован для установления авторства.

MorLock действует скрытно, не позиционируя себя открыто, выдавая требования о выкупе через идентификатор сеансового мессенджера в качестве единственного способа связи с жертвами. На русскоязычном форуме произошел примечательный инцидент с участием MorLock XSS.is, когда администраторы форума заблокировали аккаунты, связанные с атаками на российские организации, выявив прямые ссылки на группу MorLock. Интересно, что значительное число заблокированных участников были из Украины.

Основной подход MorLock заключается в шифровании данных в ИТ-инфраструктуре жертвы без предварительной их фильтрации. Требуемые суммы выкупа могут достигать десятков или сотен миллионов рублей, что свидетельствует о существенном финансовом ущербе для жертв. Злоумышленники обычно используют уязвимости в общедоступных приложениях и доступе, полученном с закрытых торговых платформ, или скомпрометированные учетные данные партнеров, чтобы получить первоначальный доступ для своих атак.

Получив доступ, MorLock быстро переходит к шифрованию данных. Они используют такие инструменты, как Sliver для последующей эксплуатации, сетевой сканер SoftPerfect и PingCastle для сетевой разведки, часто используя команды PowerShell для сбора информации. Они используют популярное российское корпоративное антивирусное программное обеспечение, отключая его защиту с помощью административного доступа, тем самым облегчая распространение программ-вымогателей в сети жертвы. Кроме того, они используют такие инструменты, как PsExec, для содействия распространению программ-вымогателей и другого вредоносного программного обеспечения.

Примечательно, что злоумышленники загружают инструменты непосредственно на взломанные хосты с официальных веб-сайтов, используя веб-браузер жертвы. Полный список инструментов MorLock, включая программы-вымогатели, доступен для ознакомления. В заключении отчета упоминается о существовании списка MorLock-индикаторов компрометации в репозитории Github организации F.A.C.C.T., который предоставляет ценную информацию специалистам по кибербезопасности.
#ParsedReport #CompletenessMedium
13-05-2024

Leveraging DNS Tunneling for Tracking and Scanning

https://unit42.paloaltonetworks.com/three-dns-tunneling-campaigns

Report completeness: Medium

Actors/Campaigns:
Darkhydrus
Oilrig
Cobalt_katana

Threats:
Dns_tunneling_technique
Cobalt_strike
Decoy_dog
Sunburst
Dns_amplification_technique
Phoenix_keylogger

Victims:
Educational institutions, Network infrastructure, Cloud environments

Industry:
Government, Education

Geo:
Apac, America, Emea, Japan

CVEs:
CVE-2012-1033 [Vulners]
CVSS V3.1: 5.0,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- isc bind (9.8.1, 9.1.1, 9.1.3, 9.7.0, 9.7.2)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1071.004, T1568.002, T1001.001, T1048

IOCs:
Domain: 104
IP: 6
Email: 1
Hash: 1
File: 2

Soft:
spamtracker

Algorithms:
md5
CTT Report Hub
#ParsedReport #CompletenessMedium 13-05-2024 Leveraging DNS Tunneling for Tracking and Scanning https://unit42.paloaltonetworks.com/three-dns-tunneling-campaigns Report completeness: Medium Actors/Campaigns: Darkhydrus Oilrig Cobalt_katana Threats: D…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что туннелирование DNS вышло за рамки традиционного использования в целях C2 и VPN и теперь используется для сканирования, отслеживания и мониторинга действий злоумышленников. Благодаря своей скрытой природе туннелирование DNS позволяет злоумышленникам обходить сетевые брандмауэры и меры безопасности, создавая риски для организаций. В тексте также рассматриваются конкретные примеры, такие как "TrkCdn" и "SpamTracker", иллюстрирующие, как злоумышленники используют туннелирование DNS для отслеживания взаимодействия жертв с содержимым электронной почты и доставки спама. В нем подчеркивается важность повышения осведомленности и принятия упреждающих мер кибербезопасности, включая решения, предлагаемые Palo Alto Networks, для снижения рисков, связанных с развитием технологий туннелирования DNS.
-----

Туннелирование DNS вышло за рамки традиционных приложений для управления (C2) и виртуальной частной сети (VPN) и теперь распространяется на сканирование и отслеживание действий. Злоумышленники используют туннелирование DNS в качестве скрытого канала связи для обхода сетевых брандмауэров, что позволяет им осуществлять фильтрацию трафика C2 и данных, оставаясь незамеченными традиционными мерами безопасности.

Недавно были выявлены кампании, использующие туннелирование DNS для целей сканирования и отслеживания. При сканировании злоумышленники используют туннелирование DNS для изучения сетевой инфраструктуры жертвы, собирая информацию для будущих атак. При отслеживании используются методы туннелирования DNS для отслеживания доставки вредоносных электронных писем и отслеживания использования сетей доставки контента (CDN).

В одном из тематических исследований под названием "TrkCdn" показано, как злоумышленники используют туннелирование DNS для отслеживания взаимодействия жертв с содержимым электронной почты. Кампания была нацелена на 731 потенциальную жертву, использующую различные IP-адреса и домены для вредоносных действий. Преступники использовали уникальную стратегию использования поддоменов для кодирования данных жертв в DNS-запросах, что позволяло им эффективно отслеживать действия жертв.

Другая кампания, получившая название "SpamTracker", была направлена на отслеживание рассылки спама, используя тактику, аналогичную кампании TrkCdn. Злоумышленники использовали ссылки на электронную почту и веб-сайты для распространения спама и фишингового контента, предназначенного для образовательных учреждений.

Кроме того, было замечено, что злоумышленники используют туннелирование DNS для сканирования сети с целью выявления уязвимостей в целевых сетях. Подменяя IP-адреса и используя DNS-запросы, злоумышленники могут обнаруживать открытые распознаватели, что потенциально может привести к DNS-атакам, таким как отравление кэша или усиление.

Palo Alto Networks предлагает решения для снижения рисков, связанных с методами туннелирования DNS. Например, клиенты могут получить доступ к функциям обнаружения туннелирования DNS, встроенным в брандмауэр нового поколения Palo Alto Networks и инструменты Cortex XDR Analytics Engine. Расширенная фильтрация URL-адресов и услуги подписки на DNS Security обеспечивают защиту от выявленных вредоносных индикаторов, упомянутых в статье.

Предоставляя аналитическую информацию об угрозах членам Альянса по борьбе с киберугрозами (CTA), Palo Alto Networks стремится повысить уровень защиты от кибератак и пресекать вредоносные действия в киберпространстве. Осведомленность специалистов в области безопасности об этих новых вариантах использования туннелирования DNS имеет решающее значение для эффективной защиты своих сетей от возникающих угроз.
#ParsedReport #CompletenessHigh
13-05-2024

Kimsuky APT attack discovered using Facebook and MS management console

https://www-genians-co-kr.translate.goog/blog/threat_intelligence/facebook?_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=en-US&_x_tr_pto=wapp

Report completeness: High

Actors/Campaigns:
Kimsuky
Gorgon

Threats:
Reconshark
Spear-phishing_technique
Babyshark

Geo:
Japanese, Usa, Japan, Gyeonggi-do, German, Korea, India, American, Germany, Korean

ChatGPT TTPs:
do not use without manual check
T1566, T1102, T1547, T1204, T1071, T1560, T1027

IOCs:
File: 26
Domain: 6
IP: 6
Command: 1
Path: 1
Url: 4
Hash: 9

Soft:
Slack, task scheduler, WordPress, Microsoft OneDrive

Algorithms:
md5

Functions:
CreateObject, CreateTextFile

Win API:
gpath , bp, ( bpath ): E, GetObject, ExRuList

Languages:
php
CTT Report Hub
#ParsedReport #CompletenessHigh 13-05-2024 Kimsuky APT attack discovered using Facebook and MS management console https://www-genians-co-kr.translate.goog/blog/threat_intelligence/facebook?_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=en-US&_x_tr_pto=wapp Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - подробный анализ недавней кибератаки, проведенной группой Kimsuky APT, которая использовала сложные тактики, такие как социальная инженерия через Facebook, размещение вредоносных файлов, замаскированных под законные документы, и использование нетрадиционных методов, таких как файлы MSC. В анализе подчеркивается сотрудничество между Genius Security Center (GSC) и Корейским агентством интернета и безопасности (KISA) в области анализа угроз и реагирования на них, что подчеркивает необходимость использования организациями решений безопасности, основанных на поведении, в дополнение к традиционным антивирусным сканерам.
-----

Группа Kimsuky APT применила новую стратегию атаки с использованием Facebook и консоли управления Microsoft, чтобы атаковать лиц, занимающихся вопросами прав человека и безопасности в Северной Корее.

Злоумышленники маскировались под государственного служащего и использовали тактику социальной инженерии в Facebook Messenger для доставки вредоносной информации с помощью поддельных удостоверений личности и вредоносных URL-ссылок, замаскированных под файлы документов.

Вредоносный файл с именем "msc", выдаваемый за документ о функциях безопасности, был использован для подключения к командно-диспетчерскому узлу с именем "brandwizer.co.in", расположенному в Германии.

Атака продолжалась с помощью таких задач, как "OneDriveUpdate", повторяющихся каждые 41 минуту, и использовала документы-приманки с названиями, относящимися к сфере безопасности Японии, чтобы заманить жертв.

Злоумышленники также использовали документы-приманки, такие как "warm.vbs", и удаленный скрипт под названием "ttt.hta" для сбора и отправки информации на сервер C2.

GSC сотрудничала с KISA для анализа угрозы и реагирования на нее, подчеркивая необходимость в решениях безопасности, основанных на поведении, наряду с защитой на основе сигнатур.

Более широкая тенденция использования фишинга и комбинаций вредоносных файлов при APT-атаках в Корее подчеркивает меняющийся ландшафт угроз и необходимость использования передовых решений безопасности, таких как EDR, для противодействия таким угрозам.
#ParsedReport #CompletenessHigh
13-05-2024

Mallox affiliate leverages PureCrypter in MS-SQL exploitation campaigns

https://blog.sekoia.io/mallox-ransomware-affiliate-leverages-purecrypter-in-microsoft-sql-exploitation-campaigns

Report completeness: High

Actors/Campaigns:
8220_gang

Threats:
Targetcompany
Purecryptor
Xollam
Sqlshell_tool
Trigona
Crackmapexec_tool
Metasploit_tool
Purecoder_actor
Pureminer
Purelogs
Pure_clipper
Shadow_copies_delete_technique
Bcedit_tool

Victims:
High-revenue entities, Ms-sql servers

Industry:
Financial, E-commerce, Retail, Aerospace, Government

Geo:
Australia, Asian, Germany, Canada, Colombian, Seychelles, Qatar, Ukraine, Kazakhstan, London, Indian, Indonesia, England, Russia

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1110, T1486, T1490, T1218, T1553, T1041, T1071, T1105

IOCs:
File: 5
Command: 1
Url: 3
Domain: 1

Soft:
MS-SQL, Microsoft SQL, OneNote, Microsoft Defender, Ole Automation, Windows Defender, Telegram, bcdedit

Crypto:
bitcoin, tether

Algorithms:
cbc, aes

Win API:
EtwEventWrite, SeDebugPrivilege, SeTakeOwnershipPrivilege, Netbios

Languages:
powershell

Links:
https://github.com/sandboxie-plus/Sandboxie
https://github.com/protobuf-net/protobuf-net
CTT Report Hub
#ParsedReport #CompletenessHigh 13-05-2024 Mallox affiliate leverages PureCrypter in MS-SQL exploitation campaigns https://blog.sekoia.io/mallox-ransomware-affiliate-leverages-purecrypter-in-microsoft-sql-exploitation-campaigns Report completeness: High…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в анализе кибератаки с использованием программы-вымогателя Mallox, с подробным описанием тактики злоумышленника, эволюции операций программы-вымогателя, включая стратегии двойного вымогательства, схемы коммуникации, стратегии нацеливания, детали инфраструктуры и филиалы, вовлеченные во вредоносную деятельность. Анализ также вызывает обеспокоенность по поводу потенциального участия конкретной организации в деятельности по отмыванию денег, подчеркивая меняющийся характер киберугроз и необходимость принятия упреждающих мер кибербезопасности.
-----

Кибератака на MS-SQL honeypot.

Тактика грубой силы использовалась для развертывания программы-вымогателя Mallox с помощью PureCrypter и MS-SQL.

Были выявлены два различных филиала Mallox, специализирующихся на различных аспектах эксплуатации.

Инцидент произошел 15 апреля 2024 года и был направлен против уязвимых серверов MS-SQL.

Вредоносная сборка "shell", созданная для размещения вредоносного ПО CLR SqlShell для выполнения команд.

Скрипты PowerShell, используемые для загрузки и выполнения двоичных файлов с использованием методов обхода.

Загрузчик PureCrypter используется для загрузки и запуска программы-вымогателя Mallox, распространяемой компанией PureCoder.

Mallox использует стратегию двойного вымогательства, угрожая обнародовать украденные данные наряду с шифрованием.

Программы-вымогатели в первую очередь были нацелены на высокодоходные сектора в США, Великобритании, Канаде, Австралии и Германии.

Mallox демонстрирует деструктивное поведение в зараженных системах, такое как шифрование файлов, удаление теневых копий и т.д.

Методы коммуникации, требования выкупа, стратегии таргетинга и информация об инфраструктуре атак, полученная в результате анализа.

Указаны уникальные имена пользователей и фиксированная сумма выкупа (5000 долларов за каждый инцидент).

В Mallox были выявлены аффилированные лица с различными требованиями о выкупе и тактикой их применения.

Подключения к инфраструктуре выявляют связи с IP-адресами под номером AS208091, принадлежащими Xhost Internet Solutions LP.

Были высказаны опасения по поводу возможной деятельности по отмыванию денег, связанной с компанией Xhost Internet Solutions LP.

Методы Mallox, препятствующие восстановлению системы и маскирующие вредоносные файлы с целью их удаления.

Была освещена эволюция программ-вымогателей Mallox, включая модель "Программа-вымогатель как услуга" и стратегию двойного вымогательства.
#ParsedReport #CompletenessLow
13-05-2024

Smart-sex-toy users targeted by clicker trojan

https://news.drweb.com/show/?i=14860&lng=en&c=5

Report completeness: Low

Victims:
Users of love spouse app, Users of qrunning app, Users of v88mini tv box, Users of x96q tv box

Industry:
Media

Geo:
Chinese

ChatGPT TTPs:
do not use without manual check
T1475, T1406, T1518, T1557, T1444, T1496

IOCs:
File: 1
Hash: 8
Domain: 9
IP: 2

Soft:
Android, Love Spouse, QRunning

Languages:
javascript

Links:
https://github.com/DoctorWebLtd/malware-iocs/tree/master/Android.Click.414.origin
CTT Report Hub
#ParsedReport #CompletenessLow 13-05-2024 Smart-sex-toy users targeted by clicker trojan https://news.drweb.com/show/?i=14860&lng=en&c=5 Report completeness: Low Victims: Users of love spouse app, Users of qrunning app, Users of v88mini tv box, Users of…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении и анализе вирусными аналитиками "Доктор Веб" троянца Android clicker, подчеркивающих его возможности, распространение в популярных приложениях, а также важность сохранения бдительности и принятия строгих мер безопасности против появляющихся вредоносных программ, нацеленных на устройства Android.
-----

Вирусные аналитики "Доктор Веб" недавно обнаружили Android-приложение, содержащее троянскую программу clicker, предназначенную для подпольного открытия рекламных сайтов и перехода по веб-страницам. Эти трояны известны тем, что генерируют мошенничество с кликами, показывают рекламу, подписывают ничего не подозревающих жертв на платные подписки и запускают DDoS-атаки. Технология Origins Tracing, используемая антивирусом "Доктор Веб" для Android, сыграла решающую роль в обнаружении троянца Android.Click.414.origin clicker в приложении Love Party, которое обычно используется для управления игрушками для взрослых. Троянец был замаскирован в библиотеке com.android.logcatch и поначалу не был замечен пользователями. Кроме того, тот же троянец был обнаружен в приложении для отслеживания физической активности QRunning, разработанном китайскими разработчиками и в совокупности установленном на более чем 1,5 миллионах устройств.

Примечательно, что вредоносный код был представлен в последних версиях этих приложений, и хотя разработчик Love Cousse оперативно удалил троянца в версии 1.8.8 после его обнаружения, никаких корректирующих мер для приложения QRunning предпринято не было. Этот троян-кликер является усовершенствованной формой трояна Android.Click.410.origin, который привлек к себе внимание в апреле прошлого года, когда был обнаружен на телевизоре V88mini, а затем на телевизоре X96Q. В последнем случае троянец распространялся через приложение Desk Clock на устройстве.

Троянец имеет модульную структуру, в которой один модуль собирает информацию об устройстве, в то время как два других модуля автоматически выполняют такие действия, как загрузка веб-страниц, показ рекламы и выполнение кликов. Троянец может даже определить, работает ли он в контролируемой среде, и воздержаться от отправки рекламных заданий в таких сценариях. Кроме того, троянец имеет языковую защиту и позволяет избежать работы на устройствах с настройками интерфейса на китайском языке.

После запуска троянец передает подробную информацию об устройстве на свой управляющий сервер, активирует определенные стратегии, незаметно загружает веб-страницы, используя для взаимодействия компонент Android WebView, выполняет код JavaScript, полученный с сервера, и даже может захватывать и анализировать скриншоты веб-контента. Для решения определенных задач он использует поисковые системы, такие как Bing, Yahoo и Google, для предоставления настраиваемых рекламных ссылок на основе ключевых слов. Проникновение троянца в официальный магазин Google Play в феврале 2024 года, в частности, через скомпрометированное приложение Love Wife после версии 1.8.1, вызвало опасения по поводу безопасности широко используемых платформ, таких как Google Play.

В ответ на эти угрозы "Доктор Веб" подчеркивает важность соблюдения бдительности при установке программного обеспечения и подчеркивает защитные возможности Dr.Web Security Space для Android в выявлении и нейтрализации троянских программ Android.Click. Это расследование подчеркивает непрерывную эволюцию и изощренность вредоносных программ, нацеленных на устройства Android, что требует постоянной бдительности и надежных мер безопасности для защиты от подобных угроз.
#ParsedReport #CompletenessLow
13-05-2024

LNK File Disguised as Certificate Distributing RokRAT Malware

https://asec.ahnlab.com/en/65076

Report completeness: Low

Actors/Campaigns:
Scarcruft

Threats:
Rokrat
Dropper/lnk.s2343
Trojan/bat.runner
Infostealer/win.agent.r579429

Victims:
Individuals associated with korean unification, Military, Education

Industry:
Education, Military

Geo:
Korean, Korea

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1566.002, T1059.001, T1204.002, T1547.009, T1027, T1047, T1071.001, T1105

IOCs:
File: 5
Email: 4
Hash: 8

Languages:
powershell