CTT Report Hub
#ParsedReport #CompletenessLow 14-05-2024 GitCaught: Threat Actor Leverages GitHub Repository for Malicious Infrastructure https://www.recordedfuture.com/gitcaught-threat-actor-leverages-github-repository-for-malicious-infrastructure Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в изощренной киберпреступной кампании, организованной русскоязычными злоумышленниками из Содружества Независимых Государств, использующими GitHub для выдачи себя за известные программные приложения и распространения вредоносных программ для кражи личной информации. В тексте подчеркивается мастерство участников в создании поддельных профилей, разработке вариантов вредоносного ПО, использовании общей инфраструктуры командования и контроля, а также проблемы, связанные с традиционными средствами защиты от кибербезопасности. В нем подчеркивается важность упреждающих и адаптируемых мер кибербезопасности, включая строгие протоколы безопасности, процессы проверки кода в масштабах всей организации и сотрудничество в рамках сообщества кибербезопасности для борьбы с развивающимися киберугрозами.
-----
Группа Insikt из Recorded Future недавно обнаружила сложную кампанию киберпреступников, организованную русскоязычными злоумышленниками из Содружества Независимых Государств (СНГ). Эти злоумышленники использовали профиль на GitHub, чтобы выдавать себя за хорошо известные программные приложения, такие как 1Password, Bartender 5 и Pixelmator Pro, для распространения вредоносных программ, таких как Atomic macOS Stealer (AMOS) и Vidar. Такое использование надежных интернет-сервисов демонстрирует способность участников угроз осуществлять кибератаки, направленные на кражу личной информации.
Злоумышленники проявили значительное мастерство в создании поддельных профилей и репозиториев на GitHub, предлагая поддельные версии популярных пакетов программного обеспечения. Варианты вредоносного ПО, размещенные в этих хранилищах, были специально созданы для проникновения в системы пользователей и извлечения конфиденциальных данных, демонстрируя опыт участников в разработке программного обеспечения и повышая доверие пользователей к таким платформам. Примечательно, что такие вредоносные программы, как AMOS, Vidar, Lumma и Octo, имели общую инфраструктуру управления (C2), что свидетельствует о сплоченных усилиях по усилению воздействия их атак. Такое скоординированное использование инфраструктуры C2 предполагает наличие хорошо организованной группы с надежными ресурсами, способной осуществлять устойчивые кибератаки с использованием различных операционных систем и устройств.
Эволюционирующий характер этих разновидностей вредоносных программ представляет собой серьезную проблему для традиционных средств защиты от кибербезопасности, которые часто оказываются недостаточными для защиты от сложных и постоянно меняющихся угроз. Сложность кампании и постоянное развитие тактики вредоносных программ подчеркивают необходимость упреждающего и адаптируемого подхода к кибербезопасности. В ближайшей перспективе организациям рекомендуется внедрять строгие протоколы безопасности, особенно при внедрении внешнего кода в свои системы. Чтобы обнаружить потенциальное вредоносное ПО или подозрительные шаблоны в коде, организациям следует внедрить процессы проверки кода в масштабах всей организации и использовать автоматизированные средства сканирования, такие как GitGuardian, Checkmarx или GitHub Advanced Security.
Заглядывая в среднесрочную перспективу, компании должны укрепить свои позиции в области кибербезопасности, разработав стратегии мониторинга и блокирования несанкционированных приложений и сторонних скриптов, которые могут служить точками входа для вредоносных программ. Сотрудничество и обмен информацией в рамках сообщества кибербезопасности имеют решающее значение для эффективной борьбы со сложными кампаниями, подобными той, о которой стало известно в ходе этого расследования. Укрепляя совместные усилия и проявляя бдительность в отношении возникающих киберугроз, организации могут лучше защитить свои системы и данные от злоумышленников, стремящихся использовать уязвимости в надежных платформах.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в изощренной киберпреступной кампании, организованной русскоязычными злоумышленниками из Содружества Независимых Государств, использующими GitHub для выдачи себя за известные программные приложения и распространения вредоносных программ для кражи личной информации. В тексте подчеркивается мастерство участников в создании поддельных профилей, разработке вариантов вредоносного ПО, использовании общей инфраструктуры командования и контроля, а также проблемы, связанные с традиционными средствами защиты от кибербезопасности. В нем подчеркивается важность упреждающих и адаптируемых мер кибербезопасности, включая строгие протоколы безопасности, процессы проверки кода в масштабах всей организации и сотрудничество в рамках сообщества кибербезопасности для борьбы с развивающимися киберугрозами.
-----
Группа Insikt из Recorded Future недавно обнаружила сложную кампанию киберпреступников, организованную русскоязычными злоумышленниками из Содружества Независимых Государств (СНГ). Эти злоумышленники использовали профиль на GitHub, чтобы выдавать себя за хорошо известные программные приложения, такие как 1Password, Bartender 5 и Pixelmator Pro, для распространения вредоносных программ, таких как Atomic macOS Stealer (AMOS) и Vidar. Такое использование надежных интернет-сервисов демонстрирует способность участников угроз осуществлять кибератаки, направленные на кражу личной информации.
Злоумышленники проявили значительное мастерство в создании поддельных профилей и репозиториев на GitHub, предлагая поддельные версии популярных пакетов программного обеспечения. Варианты вредоносного ПО, размещенные в этих хранилищах, были специально созданы для проникновения в системы пользователей и извлечения конфиденциальных данных, демонстрируя опыт участников в разработке программного обеспечения и повышая доверие пользователей к таким платформам. Примечательно, что такие вредоносные программы, как AMOS, Vidar, Lumma и Octo, имели общую инфраструктуру управления (C2), что свидетельствует о сплоченных усилиях по усилению воздействия их атак. Такое скоординированное использование инфраструктуры C2 предполагает наличие хорошо организованной группы с надежными ресурсами, способной осуществлять устойчивые кибератаки с использованием различных операционных систем и устройств.
Эволюционирующий характер этих разновидностей вредоносных программ представляет собой серьезную проблему для традиционных средств защиты от кибербезопасности, которые часто оказываются недостаточными для защиты от сложных и постоянно меняющихся угроз. Сложность кампании и постоянное развитие тактики вредоносных программ подчеркивают необходимость упреждающего и адаптируемого подхода к кибербезопасности. В ближайшей перспективе организациям рекомендуется внедрять строгие протоколы безопасности, особенно при внедрении внешнего кода в свои системы. Чтобы обнаружить потенциальное вредоносное ПО или подозрительные шаблоны в коде, организациям следует внедрить процессы проверки кода в масштабах всей организации и использовать автоматизированные средства сканирования, такие как GitGuardian, Checkmarx или GitHub Advanced Security.
Заглядывая в среднесрочную перспективу, компании должны укрепить свои позиции в области кибербезопасности, разработав стратегии мониторинга и блокирования несанкционированных приложений и сторонних скриптов, которые могут служить точками входа для вредоносных программ. Сотрудничество и обмен информацией в рамках сообщества кибербезопасности имеют решающее значение для эффективной борьбы со сложными кампаниями, подобными той, о которой стало известно в ходе этого расследования. Укрепляя совместные усилия и проявляя бдительность в отношении возникающих киберугроз, организации могут лучше защитить свои системы и данные от злоумышленников, стремящихся использовать уязвимости в надежных платформах.
#ParsedReport #CompletenessHigh
14-05-2024
The Overlapping Cyber Strategies of Transparent Tribe and SideCopy Against India
https://cyble.com/blog/the-overlapping-cyber-strategies-of-transparent-tribe-and-sidecopy-against-india
Report completeness: High
Actors/Campaigns:
Transparenttribe
Sidecopy
Sidewinder
Threats:
Dll_sideloading_technique
Reverserat_rat
Victims:
University students
Industry:
Military, Government, Education
Geo:
Asian, India, Indian
TTPs:
Tactics: 6
Technics: 13
IOCs:
File: 47
Path: 2
Url: 7
IP: 3
Domain: 2
Hash: 7
Soft:
Windows registry
Algorithms:
base64, sha1, sha256, md5, exhibit, zip
Functions:
DoMainWork, DoUSBWork, Work, IsInternetAvailableV2, IsConnectionAvailable, RecoverFile, copyNewFile, AVGCopyDLL, doitReg, It, have more...
Win API:
CreateDirectory
Win Services:
webClient
Languages:
swift, php
Platforms:
intel
14-05-2024
The Overlapping Cyber Strategies of Transparent Tribe and SideCopy Against India
https://cyble.com/blog/the-overlapping-cyber-strategies-of-transparent-tribe-and-sidecopy-against-india
Report completeness: High
Actors/Campaigns:
Transparenttribe
Sidecopy
Sidewinder
Threats:
Dll_sideloading_technique
Reverserat_rat
Victims:
University students
Industry:
Military, Government, Education
Geo:
Asian, India, Indian
TTPs:
Tactics: 6
Technics: 13
IOCs:
File: 47
Path: 2
Url: 7
IP: 3
Domain: 2
Hash: 7
Soft:
Windows registry
Algorithms:
base64, sha1, sha256, md5, exhibit, zip
Functions:
DoMainWork, DoUSBWork, Work, IsInternetAvailableV2, IsConnectionAvailable, RecoverFile, copyNewFile, AVGCopyDLL, doitReg, It, have more...
Win API:
CreateDirectory
Win Services:
webClient
Languages:
swift, php
Platforms:
intel
Cyble
Cyber Strategies Of Transparent Tribe & SideCopy Vs India
Explore Cyble's insights on the Babylon RAT campaign targeting Malaysian politicians and government officials through malicious ISO files.
CTT Report Hub
#ParsedReport #CompletenessHigh 14-05-2024 The Overlapping Cyber Strategies of Transparent Tribe and SideCopy Against India https://cyble.com/blog/the-overlapping-cyber-strategies-of-transparent-tribe-and-sidecopy-against-india Report completeness: High…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея:.
Анализ, проведенный Cyble Research and Intelligence Labs (CRIL), раскрывает киберстратегии, применяемые группой SideCopy APT group в отношении Индии, в частности студентов университетов, посредством сложной кампании с использованием вредоносных веб-сайтов, спам-рассылок по электронной почте и вредоносных программ, таких как Reverse RAT и Action RAT. Расследование также выявляет потенциальную связь между SideCopy и Transparent Tribe, подчеркивая необходимость понимания скоординированных стратегий защиты от развивающихся киберугроз.
-----
В недавнем анализе, проведенном Cyble Research and Intelligence Labs (CRIL), было выявлено тщательное изучение киберстратегий, используемых группами Transparent Tribe и SideCopy APT, нацеленными на Индию. С 2019 года SideCopy APT group активно работает в странах Южной Азии, уделяя особое внимание Индии. В ходе расследования был обнаружен вредоносный веб-сайт, связанный с SideCopy group, который выявил сложную кампанию с использованием различных файлов, предназначенных для запуска вредоносного ПО. Судя по всему, группа была нацелена на студентов университетов, о чем свидетельствует документ-приманка, использованный в кампании.
Вектор атаки, используемый SideCopy, включал спам-рассылки, содержащие гиперссылки на вредоносный веб-сайт, на котором размещен архивный файл с ярлыком (LNK), запускающий процесс заражения. Файлы LNK инициировали серию действий по заражению с использованием HTAS и библиотек-загрузчиков DLL, что привело к развертыванию полезных программ, таких как Reverse RAT и Action RAT. Эти вредоносные программы подключались к серверу управления для выполнения вредоносных действий на устройстве жертвы. Анализ также показал потенциальную связь между SideCopy и Transparent Tribe, которые известны своей ориентацией на университеты и государственные учреждения, соответственно.
В ходе расследования CRIL выявила вредоносный веб-сайт, на котором размещались файлы, связанные с кампанией SideCopy. Веб-сайт содержал каталоги с надписями "экономика", "информационные технологии" и "опрос", причем каталог "опрос" ранее использовался для привлечения клиентов. Подробный анализ показал, как группа SideCopy APT использовала файлы быстрого доступа LNK в своей кампании. Взаимосвязь между SideCopy и Transparent Tribe, когда SideCopy была идентифицирована как подгруппа Transparent Tribe, еще раз подчеркнула необходимость понимания их скоординированных стратегий.
Процесс заражения обычно начинался со спам-рассылки, которая приводила к появлению вредоносного архивного файла, содержащего LNK-файл с именем "IT Trends.docx.lnk". Выполнение HTA-файлов приводило к развертыванию вредоносных DLL-файлов, инициирующих цепочку заражения. Дальнейшие действия включали создание пакетных файлов и ярлыков, запускающих выполнение вредоносных программ для сохранения данных, таких как MSFTEDIT.dll и Action RAT. Также были выявлены возможности мониторинга USB, позволяющие группе автоматически копировать определенные типы файлов с подключенных USB-устройств для передачи на удаленный сервер.
В ходе анализа были выявлены PHP-файлы, размещенные на вредоносном веб-сайте, который перенаправлял пользователей в зависимости от их операционных систем для загрузки вредоносных HTA-файлов. Сходство SideCopy с тактикой Sidewinder представляло серьезную угрозу для Индии, что требовало принятия надежных мер кибербезопасности. Использование ими сложных цепочек заражения и разнообразных средств атаки подчеркнуло необходимость в адаптируемых стратегиях защиты. Понимание новых технологий SideCopy и потенциального сотрудничества с Transparent Tribe имеет решающее значение для эффективной защиты и реагирования на инциденты, чтобы защитить критически важную инфраструктуру и данные от постоянных угроз.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея:.
Анализ, проведенный Cyble Research and Intelligence Labs (CRIL), раскрывает киберстратегии, применяемые группой SideCopy APT group в отношении Индии, в частности студентов университетов, посредством сложной кампании с использованием вредоносных веб-сайтов, спам-рассылок по электронной почте и вредоносных программ, таких как Reverse RAT и Action RAT. Расследование также выявляет потенциальную связь между SideCopy и Transparent Tribe, подчеркивая необходимость понимания скоординированных стратегий защиты от развивающихся киберугроз.
-----
В недавнем анализе, проведенном Cyble Research and Intelligence Labs (CRIL), было выявлено тщательное изучение киберстратегий, используемых группами Transparent Tribe и SideCopy APT, нацеленными на Индию. С 2019 года SideCopy APT group активно работает в странах Южной Азии, уделяя особое внимание Индии. В ходе расследования был обнаружен вредоносный веб-сайт, связанный с SideCopy group, который выявил сложную кампанию с использованием различных файлов, предназначенных для запуска вредоносного ПО. Судя по всему, группа была нацелена на студентов университетов, о чем свидетельствует документ-приманка, использованный в кампании.
Вектор атаки, используемый SideCopy, включал спам-рассылки, содержащие гиперссылки на вредоносный веб-сайт, на котором размещен архивный файл с ярлыком (LNK), запускающий процесс заражения. Файлы LNK инициировали серию действий по заражению с использованием HTAS и библиотек-загрузчиков DLL, что привело к развертыванию полезных программ, таких как Reverse RAT и Action RAT. Эти вредоносные программы подключались к серверу управления для выполнения вредоносных действий на устройстве жертвы. Анализ также показал потенциальную связь между SideCopy и Transparent Tribe, которые известны своей ориентацией на университеты и государственные учреждения, соответственно.
В ходе расследования CRIL выявила вредоносный веб-сайт, на котором размещались файлы, связанные с кампанией SideCopy. Веб-сайт содержал каталоги с надписями "экономика", "информационные технологии" и "опрос", причем каталог "опрос" ранее использовался для привлечения клиентов. Подробный анализ показал, как группа SideCopy APT использовала файлы быстрого доступа LNK в своей кампании. Взаимосвязь между SideCopy и Transparent Tribe, когда SideCopy была идентифицирована как подгруппа Transparent Tribe, еще раз подчеркнула необходимость понимания их скоординированных стратегий.
Процесс заражения обычно начинался со спам-рассылки, которая приводила к появлению вредоносного архивного файла, содержащего LNK-файл с именем "IT Trends.docx.lnk". Выполнение HTA-файлов приводило к развертыванию вредоносных DLL-файлов, инициирующих цепочку заражения. Дальнейшие действия включали создание пакетных файлов и ярлыков, запускающих выполнение вредоносных программ для сохранения данных, таких как MSFTEDIT.dll и Action RAT. Также были выявлены возможности мониторинга USB, позволяющие группе автоматически копировать определенные типы файлов с подключенных USB-устройств для передачи на удаленный сервер.
В ходе анализа были выявлены PHP-файлы, размещенные на вредоносном веб-сайте, который перенаправлял пользователей в зависимости от их операционных систем для загрузки вредоносных HTA-файлов. Сходство SideCopy с тактикой Sidewinder представляло серьезную угрозу для Индии, что требовало принятия надежных мер кибербезопасности. Использование ими сложных цепочек заражения и разнообразных средств атаки подчеркнуло необходимость в адаптируемых стратегиях защиты. Понимание новых технологий SideCopy и потенциального сотрудничества с Transparent Tribe имеет решающее значение для эффективной защиты и реагирования на инциденты, чтобы защитить критически важную инфраструктуру и данные от постоянных угроз.
#ParsedReport #CompletenessLow
16-05-2024
Ebury is alive but unseen: 400k Linux servers compromised for cryptocurrency theft and financial gain
https://www.welivesecurity.com/en/eset-research/ebury-alive-unseen-400k-linux-servers-compromised-cryptotheft-financial-gain
Report completeness: Low
Threats:
Ebury
Windigo
Aitm_technique
Victims:
Hosting providers
Geo:
Ukraine, Dutch
ChatGPT TTPs:
T1071, T1557, T1552, T1547, T1068, T1070, T1047
IOCs:
File: 1
Soft:
OpenSSH
Crypto:
bitcoin, ethereum
Links:
16-05-2024
Ebury is alive but unseen: 400k Linux servers compromised for cryptocurrency theft and financial gain
https://www.welivesecurity.com/en/eset-research/ebury-alive-unseen-400k-linux-servers-compromised-cryptotheft-financial-gain
Report completeness: Low
Threats:
Ebury
Windigo
Aitm_technique
Victims:
Hosting providers
Geo:
Ukraine, Dutch
ChatGPT TTPs:
do not use without manual checkT1071, T1557, T1552, T1547, T1068, T1070, T1047
IOCs:
File: 1
Soft:
OpenSSH
Crypto:
bitcoin, ethereum
Links:
https://github.com/eset/malware-research/tree/master/eburyhttps://github.com/eset/malware-ioc/tree/master/windigoWelivesecurity
Ebury is alive but unseen: 400k Linux servers compromised for cryptotheft and financial gain
One of the most advanced server-side malware campaigns is still growing, with hundreds of thousands of compromised servers, and it has diversified to include credit card and cryptocurrency theft.
CTT Report Hub
#ParsedReport #CompletenessLow 16-05-2024 Ebury is alive but unseen: 400k Linux servers compromised for cryptocurrency theft and financial gain https://www.welivesecurity.com/en/eset-research/ebury-alive-unseen-400k-linux-servers-compromised-cryptotheft…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в обсуждении эволюции и деятельности кампании по борьбе с вредоносным ПО Ebury, освещении ее роста и сложности, сотрудничестве между ESET и Национальным подразделением по борьбе с преступностью в сфере высоких технологий Нидерландов, тактике, используемой Ebury group для распространения вредоносного ПО на новые серверы, а также постоянной угрозе, исходящей от Ebury, включая кражу финансовых данных и внедрение новых семейств вредоносных программ.
-----
В тексте рассказывается об эволюции и деятельности вредоносной кампании Ebury, которая является одной из самых продвинутых серверных вредоносных кампаний, число которых продолжает расти. Десять лет назад компания Ebury, впервые упомянутая в официальном документе под названием Operation Windigo, с тех пор диверсифицировалась, включив кражу кредитных карт и криптовалют. Несмотря на арест и осуждение одного из злоумышленников Ebury после операции Windigo, ботнет продолжал расширяться, используя бэкдор OpenSSH и программу для кражи учетных данных. ESET отслеживает действия Ebury с помощью honeypots, но вредоносное ПО становится все более изощренным, что затрудняет наблюдение за ним.
Сотрудничество между ESET и Национальным подразделением Нидерландов по борьбе с преступностью в сфере высоких технологий (NHTCU) в 2021 году позволило получить представление о недавней деятельности Ebury group и используемом ими вредоносном ПО. В документе раскрываются новые методы, используемые группой для распространения Ebury на новые серверы, с акцентом на хостинг-провайдеров. Подвергая риску инфраструктуру хостинг-провайдеров, группа устанавливает Ebury на серверы, арендуемые провайдерами. Эта тактика была продемонстрирована, когда ESET арендовала виртуальный сервер и установила Ebury в течение семи дней. Кроме того, группа использует злоумышленника в центре для перехвата SSH-трафика в центрах обработки данных и кражи учетных данных, в частности, для узлов Bitcoin и Ethereum.
Об эффективности кампании свидетельствует компрометация примерно 400 000 серверов с 2009 года, причем по состоянию на конец 2023 года более 100 000 серверов все еще были скомпрометированы. Временная шкала серверов, добавляемых в ботнет каждый месяц, показывает крупные инциденты, когда десятки тысяч серверов были одновременно скомпрометированы. В документе также раскрываются новые семейства вредоносных программ, используемых для использования ботнета Ebury, позволяющего красть финансовые данные с веб-сайтов, связанных с транзакциями, с помощью спама, перенаправления веб-трафика и HTTP POST-запросов.
Кроме того, само семейство вредоносных программ Ebury было обновлено до новой основной версии 1.8, представленной в конце 2023 года. Это обновление включает в себя новые методы обфускации, алгоритм генерации домена (DGA) и улучшения в рутките userland, используемом для сокрытия Ebury от системных администраторов. Вредоносная программа предназначена для сокрытия своих процессов, файлов, сокетов и подключенной памяти, когда она активна.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в обсуждении эволюции и деятельности кампании по борьбе с вредоносным ПО Ebury, освещении ее роста и сложности, сотрудничестве между ESET и Национальным подразделением по борьбе с преступностью в сфере высоких технологий Нидерландов, тактике, используемой Ebury group для распространения вредоносного ПО на новые серверы, а также постоянной угрозе, исходящей от Ebury, включая кражу финансовых данных и внедрение новых семейств вредоносных программ.
-----
В тексте рассказывается об эволюции и деятельности вредоносной кампании Ebury, которая является одной из самых продвинутых серверных вредоносных кампаний, число которых продолжает расти. Десять лет назад компания Ebury, впервые упомянутая в официальном документе под названием Operation Windigo, с тех пор диверсифицировалась, включив кражу кредитных карт и криптовалют. Несмотря на арест и осуждение одного из злоумышленников Ebury после операции Windigo, ботнет продолжал расширяться, используя бэкдор OpenSSH и программу для кражи учетных данных. ESET отслеживает действия Ebury с помощью honeypots, но вредоносное ПО становится все более изощренным, что затрудняет наблюдение за ним.
Сотрудничество между ESET и Национальным подразделением Нидерландов по борьбе с преступностью в сфере высоких технологий (NHTCU) в 2021 году позволило получить представление о недавней деятельности Ebury group и используемом ими вредоносном ПО. В документе раскрываются новые методы, используемые группой для распространения Ebury на новые серверы, с акцентом на хостинг-провайдеров. Подвергая риску инфраструктуру хостинг-провайдеров, группа устанавливает Ebury на серверы, арендуемые провайдерами. Эта тактика была продемонстрирована, когда ESET арендовала виртуальный сервер и установила Ebury в течение семи дней. Кроме того, группа использует злоумышленника в центре для перехвата SSH-трафика в центрах обработки данных и кражи учетных данных, в частности, для узлов Bitcoin и Ethereum.
Об эффективности кампании свидетельствует компрометация примерно 400 000 серверов с 2009 года, причем по состоянию на конец 2023 года более 100 000 серверов все еще были скомпрометированы. Временная шкала серверов, добавляемых в ботнет каждый месяц, показывает крупные инциденты, когда десятки тысяч серверов были одновременно скомпрометированы. В документе также раскрываются новые семейства вредоносных программ, используемых для использования ботнета Ebury, позволяющего красть финансовые данные с веб-сайтов, связанных с транзакциями, с помощью спама, перенаправления веб-трафика и HTTP POST-запросов.
Кроме того, само семейство вредоносных программ Ebury было обновлено до новой основной версии 1.8, представленной в конце 2023 года. Это обновление включает в себя новые методы обфускации, алгоритм генерации домена (DGA) и улучшения в рутките userland, используемом для сокрытия Ebury от системных администраторов. Вредоносная программа предназначена для сокрытия своих процессов, файлов, сокетов и подключенной памяти, когда она активна.
#ParsedReport #CompletenessLow
16-05-2024
APT41s concealment and hiding methods
https://www.ctfiot.com/181184.html
Report completeness: Low
Actors/Campaigns:
Winnti
ChatGPT TTPs:
T1564.004, T1574.002, T1112, T1053.005, T1027
IOCs:
File: 2
Soft:
Windows Installer, Component Object Model
16-05-2024
APT41s concealment and hiding methods
https://www.ctfiot.com/181184.html
Report completeness: Low
Actors/Campaigns:
Winnti
ChatGPT TTPs:
do not use without manual checkT1564.004, T1574.002, T1112, T1053.005, T1027
IOCs:
File: 2
Soft:
Windows Installer, Component Object Model
CTF导航
APT41的隐蔽潜藏手法 | CTF导航
APT41利用了一个批处理文件来植入恶意代码。这个批处理文件位于共享网络驱动器的游戏开发文件夹中,原本用于将更新上传到游戏服务器。攻击者在这个文件中添加了恶意代码,然后等待开发人员运行它。当一名开发人员打...
CTT Report Hub
#ParsedReport #CompletenessLow 16-05-2024 APT41s concealment and hiding methods https://www.ctfiot.com/181184.html Report completeness: Low Actors/Campaigns: Winnti ChatGPT TTPs: do not use without manual check T1564.004, T1574.002, T1112, T1053.005,…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что APT41, опытный злоумышленник, использует передовые и запутанные методы, такие как манипулирование COM-объектами, хранение рекламы и шифрование, для сокрытия и выполнения своих вредоносных действий, что затрудняет специалистам по кибербезопасности обнаружение и устранение угроз.
-----
APT41, опытный злоумышленник, использует скрытый метод для внедрения вредоносного кода, подделывая пакетный файл, расположенный в папке разработки игры на общем сетевом диске. Первоначальной целью этого пакетного файла было облегчить обновление игрового сервера. Когда разработчик по незнанию запускает измененный пакетный файл, он запускает загрузку вредоносного установочного файла MSI с помощью средства установки Microsoft Windows (MSIExec). Этот вредоносный MSI-файл состоит из вредоносной библиотеки DLL и скрипта, который обеспечивает сохранение библиотеки DLL в системе.
В отличие от обычных методов, при которых злоумышленники захватывают законные объекты компонентной объектной модели (COM), APT41 использует более сложный подход. Они генерируют два COM-объекта, один из которых указывает на подлинную библиотеку Windows DLL (AppLockerCSP.dll), а другой - на вредоносную библиотеку DLL. Настроив первый объект для перенаправления на второй, они гарантируют, что когда другие приложения будут запрашивать первый объект, вредоносный код из второго объекта будет выполнен. Этот метод в сочетании с созданием запланированной задачи, которая ежедневно вызывает кажущийся безобидным COM-объект, позволяет незаметно выполнить вредоносный код.
В описании запланированной задачи не указан путь к вредоносной библиотеке DLL, что затрудняет обнаружение аномалий с помощью рутинных проверок. Программное обеспечение для обеспечения безопасности должно уметь привязывать идентификатор GUID COM-объекта к фактическому пути к библиотеке DLL и понимать механизм перенаправления COM для эффективного выявления вредоносной активности. Использование APT41 скрытности посредством манипулирования COM-объектами и перенаправления значительно усложняет процесс обнаружения.
Дальнейший анализ показывает, что вредоносная библиотека DLL скрыта в системе с помощью функции переменного потока данных (ADS) NTFS, которая хранится в зоне с именем ADS.Идентификатор. Чтобы избежать использования обычных методов сканирования файлов, содержимое PE-файла в ADS шифруется с использованием алгоритма RC6. Исследователи приложили усилия к выявлению библиотеки шифрования CryptoCycle, используемой загрузчиком, и разработали сценарий для расшифровки конечного вредоносного кода — бэкдора.
Таким образом, APT41 демонстрирует высокий уровень сложности, используя сложные методы, такие как манипулирование COM-объектами, хранение рекламы и шифрование, для сокрытия и выполнения своих вредоносных действий. Их способность обходить обычные механизмы обнаружения подчеркивает постоянную проблему, с которой сталкивается сообщество кибербезопасности при выявлении и устранении продвинутых угроз.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что APT41, опытный злоумышленник, использует передовые и запутанные методы, такие как манипулирование COM-объектами, хранение рекламы и шифрование, для сокрытия и выполнения своих вредоносных действий, что затрудняет специалистам по кибербезопасности обнаружение и устранение угроз.
-----
APT41, опытный злоумышленник, использует скрытый метод для внедрения вредоносного кода, подделывая пакетный файл, расположенный в папке разработки игры на общем сетевом диске. Первоначальной целью этого пакетного файла было облегчить обновление игрового сервера. Когда разработчик по незнанию запускает измененный пакетный файл, он запускает загрузку вредоносного установочного файла MSI с помощью средства установки Microsoft Windows (MSIExec). Этот вредоносный MSI-файл состоит из вредоносной библиотеки DLL и скрипта, который обеспечивает сохранение библиотеки DLL в системе.
В отличие от обычных методов, при которых злоумышленники захватывают законные объекты компонентной объектной модели (COM), APT41 использует более сложный подход. Они генерируют два COM-объекта, один из которых указывает на подлинную библиотеку Windows DLL (AppLockerCSP.dll), а другой - на вредоносную библиотеку DLL. Настроив первый объект для перенаправления на второй, они гарантируют, что когда другие приложения будут запрашивать первый объект, вредоносный код из второго объекта будет выполнен. Этот метод в сочетании с созданием запланированной задачи, которая ежедневно вызывает кажущийся безобидным COM-объект, позволяет незаметно выполнить вредоносный код.
В описании запланированной задачи не указан путь к вредоносной библиотеке DLL, что затрудняет обнаружение аномалий с помощью рутинных проверок. Программное обеспечение для обеспечения безопасности должно уметь привязывать идентификатор GUID COM-объекта к фактическому пути к библиотеке DLL и понимать механизм перенаправления COM для эффективного выявления вредоносной активности. Использование APT41 скрытности посредством манипулирования COM-объектами и перенаправления значительно усложняет процесс обнаружения.
Дальнейший анализ показывает, что вредоносная библиотека DLL скрыта в системе с помощью функции переменного потока данных (ADS) NTFS, которая хранится в зоне с именем ADS.Идентификатор. Чтобы избежать использования обычных методов сканирования файлов, содержимое PE-файла в ADS шифруется с использованием алгоритма RC6. Исследователи приложили усилия к выявлению библиотеки шифрования CryptoCycle, используемой загрузчиком, и разработали сценарий для расшифровки конечного вредоносного кода — бэкдора.
Таким образом, APT41 демонстрирует высокий уровень сложности, используя сложные методы, такие как манипулирование COM-объектами, хранение рекламы и шифрование, для сокрытия и выполнения своих вредоносных действий. Их способность обходить обычные механизмы обнаружения подчеркивает постоянную проблему, с которой сталкивается сообщество кибербезопасности при выявлении и устранении продвинутых угроз.
#ParsedReport #CompletenessLow
16-05-2024
APT-C-08Replit. Analysis of attack activities by APT-C-08 (Manlinghua) organization using Replit platform
https://www.ctfiot.com/181253.html
Report completeness: Low
Actors/Campaigns:
Bitter
Dropping_elephant
Threats:
Harpoon_technique
Victims:
Governments, Military industries, Universities, Overseas institutions
Industry:
Government, Military, Education
Geo:
Asia
ChatGPT TTPs:
T1566.002, T1552.001, T1587.001, T1583.001
IOCs:
File: 4
Soft:
WeChat
Languages:
php
16-05-2024
APT-C-08Replit. Analysis of attack activities by APT-C-08 (Manlinghua) organization using Replit platform
https://www.ctfiot.com/181253.html
Report completeness: Low
Actors/Campaigns:
Bitter
Dropping_elephant
Threats:
Harpoon_technique
Victims:
Governments, Military industries, Universities, Overseas institutions
Industry:
Government, Military, Education
Geo:
Asia
ChatGPT TTPs:
do not use without manual checkT1566.002, T1552.001, T1587.001, T1583.001
IOCs:
File: 4
Soft:
Languages:
php
CTF导航
APT-C-08(蔓灵花)组织利用Replit平台攻击活动分析 | CTF导航
APT-C-08 蔓灵花APT-C-08(蔓灵花)是一个拥有南亚地区政府背景的APT组织,近几年来持续对南亚周边国家进行APT攻击,攻击目标涉及政府、军工、高校和驻外机构等企事业单位组织。我们监测到多起由蔓灵花组织...
CTT Report Hub
#ParsedReport #CompletenessLow 16-05-2024 APT-C-08Replit. Analysis of attack activities by APT-C-08 (Manlinghua) organization using Replit platform https://www.ctfiot.com/181253.html Report completeness: Low Actors/Campaigns: Bitter Dropping_elephant …
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что APT-C-08, также известная как Manlinghua, является группой, действующей в Южной Азии при поддержке правительства. Группа осуществляет APT-атаки, нацеленные на различные организации, используя тактику фишинга, и в 2023 году в их методах произошли последние изменения. В тексте освещается эволюция организаций APT из Южной Азии в адаптации их методов для успешных атак, в частности, подчеркивается продолжающаяся и совершенствующаяся фишинговая деятельность Manlinghua и важность усиления мер безопасности аналитиками в ответ на эти атаки с использованием гарпуна.
-----
APT-C-08, также известная как Manlinghua, действует в Южной Азии при поддержке правительства. На протяжении многих лет эта группа проводила атаки APT на различные организации, такие как правительства, военные предприятия, университеты и зарубежные учреждения в соседних странах Южной Азии. Их тактика в основном заключается в фишинговых атаках, направленных на получение учетных данных пользователей через сайты загрузки вложений электронной почты.
В ходе недавней атаки 2023 года было замечено, что Manlinghua использовала онлайн-платформу Replit для создания фишингового веб-сайта, что ознаменовало изменение их методов фишинга. Это свидетельствует о том, что организации APT из Южной Азии адаптируют и развивают свои методы для проведения успешных атак. Ранее они использовали платформы, подобные GitHub-страницам, для аналогичных целей. Несмотря на изменение платформы, другие сторонние веб-сервисы, такие как netlify.app, остаются последовательными в своих действиях по атакам.
Фишинговая деятельность Manlinghua продолжается уже много лет и постоянно совершенствуется, что свидетельствует о том, что организация отдает предпочтение недорогим методам атаки с высокой вероятностью успеха. Аналитикам по безопасности крайне важно сохранять бдительность и усиливать меры безопасности в ответ на подобные атаки с использованием гарпуна. В операциях APT-атак все чаще используются общедоступные хостинговые платформы для сокрытия сетевых ресурсов, что подчеркивает важность проверки безопасности ссылок на ресурсы с общедоступных платформ.
В 2023 году не произошло существенных изменений в процедурах гарпунной атаки, организованных компанией Manlinghua. Организация использовала функциональные возможности онлайн-платформы Replit IDE для создания среды PHP для своего фишингового веб-сайта, специально предназначенной для проверки учетных данных электронной почты пользователей, имитируя знакомую страницу загрузки вложений электронной почты. Злоумышленники использовали такую тактику, как перенаправление с одного PHP-файла на HTML-файл и изменение адреса отправки формы, чтобы продолжить сбор информации о пользователях.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что APT-C-08, также известная как Manlinghua, является группой, действующей в Южной Азии при поддержке правительства. Группа осуществляет APT-атаки, нацеленные на различные организации, используя тактику фишинга, и в 2023 году в их методах произошли последние изменения. В тексте освещается эволюция организаций APT из Южной Азии в адаптации их методов для успешных атак, в частности, подчеркивается продолжающаяся и совершенствующаяся фишинговая деятельность Manlinghua и важность усиления мер безопасности аналитиками в ответ на эти атаки с использованием гарпуна.
-----
APT-C-08, также известная как Manlinghua, действует в Южной Азии при поддержке правительства. На протяжении многих лет эта группа проводила атаки APT на различные организации, такие как правительства, военные предприятия, университеты и зарубежные учреждения в соседних странах Южной Азии. Их тактика в основном заключается в фишинговых атаках, направленных на получение учетных данных пользователей через сайты загрузки вложений электронной почты.
В ходе недавней атаки 2023 года было замечено, что Manlinghua использовала онлайн-платформу Replit для создания фишингового веб-сайта, что ознаменовало изменение их методов фишинга. Это свидетельствует о том, что организации APT из Южной Азии адаптируют и развивают свои методы для проведения успешных атак. Ранее они использовали платформы, подобные GitHub-страницам, для аналогичных целей. Несмотря на изменение платформы, другие сторонние веб-сервисы, такие как netlify.app, остаются последовательными в своих действиях по атакам.
Фишинговая деятельность Manlinghua продолжается уже много лет и постоянно совершенствуется, что свидетельствует о том, что организация отдает предпочтение недорогим методам атаки с высокой вероятностью успеха. Аналитикам по безопасности крайне важно сохранять бдительность и усиливать меры безопасности в ответ на подобные атаки с использованием гарпуна. В операциях APT-атак все чаще используются общедоступные хостинговые платформы для сокрытия сетевых ресурсов, что подчеркивает важность проверки безопасности ссылок на ресурсы с общедоступных платформ.
В 2023 году не произошло существенных изменений в процедурах гарпунной атаки, организованных компанией Manlinghua. Организация использовала функциональные возможности онлайн-платформы Replit IDE для создания среды PHP для своего фишингового веб-сайта, специально предназначенной для проверки учетных данных электронной почты пользователей, имитируя знакомую страницу загрузки вложений электронной почты. Злоумышленники использовали такую тактику, как перенаправление с одного PHP-файла на HTML-файл и изменение адреса отправки формы, чтобы продолжить сбор информации о пользователях.
#ParsedReport #CompletenessLow
16-05-2024
QakBot attacks with Windows zero-day (CVE-2024-30051)
https://securelist.com/cve-2024-30051/112618
Report completeness: Low
Threats:
Qakbot
Trojan.win32.generic;
Trojan.win32.agent.gen
Cobalt_strike
CVEs:
CVE-2023-36033 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows 10 1809 (<10.0.17763.5122, 10.0.17763.529, 10.0.17763.404, 10.0.17763.1432, 10.0.17763.557)
- microsoft windows 10 21h2 (<10.0.19041.3693, 10.0.19041.3570, -)
- microsoft windows 10 22h2 (<10.0.19045.3693, 10.0.19045.3516, 10.0.19045.2311, 10.0.19045.3155, 10.0.19045.3086)
- microsoft windows 11 21h2 (<10.0.22000.2600, 10.0.22000.493, 10.0.22000.1880, 10.0.22000.258, 10.0.22000.318)
- microsoft windows 11 22h2 (<10.0.22621.2715, 10.0.22621.2134, 10.0.22621.1485, -, 10.0.22621.1194)
have more...
CVE-2024-30051 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
ChatGPT TTPs:
T1068, T1190, T1210, T1566
Soft:
Windows DWM Core Library
16-05-2024
QakBot attacks with Windows zero-day (CVE-2024-30051)
https://securelist.com/cve-2024-30051/112618
Report completeness: Low
Threats:
Qakbot
Trojan.win32.generic;
Trojan.win32.agent.gen
Cobalt_strike
CVEs:
CVE-2023-36033 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows 10 1809 (<10.0.17763.5122, 10.0.17763.529, 10.0.17763.404, 10.0.17763.1432, 10.0.17763.557)
- microsoft windows 10 21h2 (<10.0.19041.3693, 10.0.19041.3570, -)
- microsoft windows 10 22h2 (<10.0.19045.3693, 10.0.19045.3516, 10.0.19045.2311, 10.0.19045.3155, 10.0.19045.3086)
- microsoft windows 11 21h2 (<10.0.22000.2600, 10.0.22000.493, 10.0.22000.1880, 10.0.22000.258, 10.0.22000.318)
- microsoft windows 11 22h2 (<10.0.22621.2715, 10.0.22621.2134, 10.0.22621.1485, -, 10.0.22621.1194)
have more...
CVE-2024-30051 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
ChatGPT TTPs:
do not use without manual checkT1068, T1190, T1210, T1566
Soft:
Windows DWM Core Library
Securelist
QakBot attacks with Windows zero-day (CVE-2024-30051)
In April 2024, while researching CVE-2023-36033, we discovered another zero-day elevation-of-privilege vulnerability, which was assigned CVE-2024-30051 identifier and patched on May, 14 as part of Microsoft's patch Tuesday. We have seen it exploited by QakBot…
CTT Report Hub
#ParsedReport #CompletenessLow 16-05-2024 QakBot attacks with Windows zero-day (CVE-2024-30051) https://securelist.com/cve-2024-30051/112618 Report completeness: Low Threats: Qakbot Trojan.win32.generic; Trojan.win32.agent.gen Cobalt_strike CVEs: CVE…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея: Команда специалистов по кибербезопасности исследует уязвимость нулевого дня в базовой библиотеке Windows DWM, выявляет новый эксплойт для повышения привилегий, сообщает об этом корпорации Майкрософт, отслеживает атаки и планирует опубликовать технические подробности после того, как пользователи обновят свои системы. Продукты Kaspersky были обновлены для обнаружения использования этой уязвимости и связанных с ней вредоносных программ.
-----
В начале апреля 2024 года команда специалистов по кибербезопасности исследовала уязвимость CVE-2023-36033, связанную с повышением прав доступа к базовой библиотеке Windows DWM, - эксплойт нулевого дня, обнаруженный в открытом доступе. Изучая соответствующие образцы, они наткнулись на подозрительный документ на сайте VirusTotal с подробным названием файла, указывающим на то, что в нем содержится информация об уязвимости операционной системы Windows. В документе описывалась другая уязвимость Windows Desktop Window Manager (DWM), которая позволяла повысить привилегии, но качество написания и отсутствующие детали вызывали сомнения в его достоверности.
Несмотря на первоначальный скептицизм, команда подтвердила существование новой уязвимости нулевого дня, способной к повышению привилегий. Они незамедлительно сообщили об этом как о CVE-2024-30051 в Microsoft, которая выпустила исправление 14 мая 2024 года, во вторник обновления. После этого команда провела мониторинг на предмет эксплойтов и атак, использующих эту уязвимость, и в середине апреля обнаружила эксплойт. Эксплойт был обнаружен в сочетании с QakBot и другими вредоносными программами, что позволяет предположить, что доступ к нему имели несколько участников угроз.
Команда намерена опубликовать технические подробности о CVE-2024-30051, как только у пользователей будет достаточно времени для обновления своих систем Windows. Продукты Kaspersky были обновлены для обнаружения использования этой уязвимости и связанных с ней вредоносных программ.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея: Команда специалистов по кибербезопасности исследует уязвимость нулевого дня в базовой библиотеке Windows DWM, выявляет новый эксплойт для повышения привилегий, сообщает об этом корпорации Майкрософт, отслеживает атаки и планирует опубликовать технические подробности после того, как пользователи обновят свои системы. Продукты Kaspersky были обновлены для обнаружения использования этой уязвимости и связанных с ней вредоносных программ.
-----
В начале апреля 2024 года команда специалистов по кибербезопасности исследовала уязвимость CVE-2023-36033, связанную с повышением прав доступа к базовой библиотеке Windows DWM, - эксплойт нулевого дня, обнаруженный в открытом доступе. Изучая соответствующие образцы, они наткнулись на подозрительный документ на сайте VirusTotal с подробным названием файла, указывающим на то, что в нем содержится информация об уязвимости операционной системы Windows. В документе описывалась другая уязвимость Windows Desktop Window Manager (DWM), которая позволяла повысить привилегии, но качество написания и отсутствующие детали вызывали сомнения в его достоверности.
Несмотря на первоначальный скептицизм, команда подтвердила существование новой уязвимости нулевого дня, способной к повышению привилегий. Они незамедлительно сообщили об этом как о CVE-2024-30051 в Microsoft, которая выпустила исправление 14 мая 2024 года, во вторник обновления. После этого команда провела мониторинг на предмет эксплойтов и атак, использующих эту уязвимость, и в середине апреля обнаружила эксплойт. Эксплойт был обнаружен в сочетании с QakBot и другими вредоносными программами, что позволяет предположить, что доступ к нему имели несколько участников угроз.
Команда намерена опубликовать технические подробности о CVE-2024-30051, как только у пользователей будет достаточно времени для обновления своих систем Windows. Продукты Kaspersky были обновлены для обнаружения использования этой уязвимости и связанных с ней вредоносных программ.