#Iranian #APT #MuddyWater Target #Turkish
اخیرا تیم MuddyWater که منتصب به دستگاه نظارتی ایران است، اقدام به هدف قرار دادن کاربران ترکیه کرده است، این نفوذ مبتنی بر فایل فرمت PDF بوده که قربانیان رو مجاب به کلیک بر پیام مهندسی اجتماعی خود میکنه، و اینطور اولین مرحله زنجیره حمله رخ میده،
در اولین قدم بعد از کلیک بر گزینه دانلود، ارتباط با یک سرور اشتراک گذاری فایل، فایل هایی با فرمت XLS که از خانواده Excel هستند دریافت میشه این فایل ها دارای محتواهایی به زبان ترکی است که شبیه سازی اسناد مشروع وزارتخانه بهداشت است.
در قدم بعدی مایکروهایی که در XLS قرار داده شده به اجرا در آمده و کلید Reg برای ماندگاری در سیستم تنظیم میگردد و بعد از آن یک درخواست به canarytokens.com زده میشود بواسطه توکن از قبل تعریف شده ای Stage های بعدی زنجیره حمله دانلود میشود که فایل های مبهم سازی شده پاورشل پایه هستند.
اما در ادامه فایل VBS دانلود شده مامور اجرای فایل PS1 شده که خود فایل PS1 اقدام به دانلود دیگری که پیلود اصلی است خواهد کرد و بعد از دانلود آنرا اجرا میکند.
Reference
@Unk9vvN
اخیرا تیم MuddyWater که منتصب به دستگاه نظارتی ایران است، اقدام به هدف قرار دادن کاربران ترکیه کرده است، این نفوذ مبتنی بر فایل فرمت PDF بوده که قربانیان رو مجاب به کلیک بر پیام مهندسی اجتماعی خود میکنه، و اینطور اولین مرحله زنجیره حمله رخ میده،
در اولین قدم بعد از کلیک بر گزینه دانلود، ارتباط با یک سرور اشتراک گذاری فایل، فایل هایی با فرمت XLS که از خانواده Excel هستند دریافت میشه این فایل ها دارای محتواهایی به زبان ترکی است که شبیه سازی اسناد مشروع وزارتخانه بهداشت است.
در قدم بعدی مایکروهایی که در XLS قرار داده شده به اجرا در آمده و کلید Reg برای ماندگاری در سیستم تنظیم میگردد و بعد از آن یک درخواست به canarytokens.com زده میشود بواسطه توکن از قبل تعریف شده ای Stage های بعدی زنجیره حمله دانلود میشود که فایل های مبهم سازی شده پاورشل پایه هستند.
اما در ادامه فایل VBS دانلود شده مامور اجرای فایل PS1 شده که خود فایل PS1 اقدام به دانلود دیگری که پیلود اصلی است خواهد کرد و بعد از دانلود آنرا اجرا میکند.
Reference
@Unk9vvN
#IoB #APT #Iranian
شاخه رفتاری چیست؟ شاخصه رفتاری یا Indicator of Behavior به معنی رصد و شناسایی ای است که، مبتنی بر رفتار تاکتیکی و تکنیکی کد مندرج در فایل های مخرب (IoC) قرار دارد.
گاه مهاجمان #APT اقدام به رفتار غیر حرفه ای میکنند و کد های مورد استفاده در حملات خود را در فضاهای عمومی مثل gist یا pastebin و غیره، که با نام مستعار یا حساب کاربری اصلی خود فعال است، منتشر میسازند.
همین موضوع موجب شناسایی اونها بدست شرکت های فعال در حوزه جرم شناسی دیجیتال میشود، برای مثال در گزارش شرکت cybereason یکی از نام هاي کاربری مورد استفاده مهاجم را بررسی کرده و نمونه کد منتشر شده بدست وی را با معادل آن در فایل های مخرب استفاده شده در حمله تطبیق داده و از این روی منشع حمله و کشور آنرا شناسایی کرده است.
https://www.cybereason.com/blog/research/powerless-trojan-iranian-apt-phosphorus-adds-new-powershell-backdoor-for-espionage
@Unk9vvN
شاخه رفتاری چیست؟ شاخصه رفتاری یا Indicator of Behavior به معنی رصد و شناسایی ای است که، مبتنی بر رفتار تاکتیکی و تکنیکی کد مندرج در فایل های مخرب (IoC) قرار دارد.
گاه مهاجمان #APT اقدام به رفتار غیر حرفه ای میکنند و کد های مورد استفاده در حملات خود را در فضاهای عمومی مثل gist یا pastebin و غیره، که با نام مستعار یا حساب کاربری اصلی خود فعال است، منتشر میسازند.
همین موضوع موجب شناسایی اونها بدست شرکت های فعال در حوزه جرم شناسی دیجیتال میشود، برای مثال در گزارش شرکت cybereason یکی از نام هاي کاربری مورد استفاده مهاجم را بررسی کرده و نمونه کد منتشر شده بدست وی را با معادل آن در فایل های مخرب استفاده شده در حمله تطبیق داده و از این روی منشع حمله و کشور آنرا شناسایی کرده است.
https://www.cybereason.com/blog/research/powerless-trojan-iranian-apt-phosphorus-adds-new-powershell-backdoor-for-espionage
@Unk9vvN
#SharePoint #Deserialize #Vulnerability
نمونه ای از آسیب پذیری Deserialize در Functionality های پارس مقادیر sk یا Session Key که منجر به اجرای کد از راه دور میشود،
این آسیب پذیری روی نسخه های ۲۰۱۹ ، ۲۰۱۶ و ۲۰۱۳ وجود داشته و با شناسه CVE-2022-22005 ثبت شده است، فرایند اعمال وصله مایکروسافت در نسخه های قبلی دور زده شده و شروطی که برای تصدیق عدم وجود Object های خطرناک به درستی طراحی نشده است،
مدت دو ساله که محققین تست نفوذ وب تمرکز خودشون رو در خصوص دور زدن فیلترینگ ها و اعمال تصدیق های مایکروسافت بر روی آسیب پذیری هایی مانند Deserialization و SSRF و Directory Traversal گذاشته اند و اغلب موفق هم بوده اند،
یکی از عوامل موفقیت و جذابیت این آسیب پذیری ها، دسترسی به منابع کد سرویس های مایکروسافتی بوده و همچنین ماهیت این آسیب پذیری ها در حملات #APT بسیار مهم و نقش آفرین است...
https://hnd3884.github.io/posts/cve-2022-22005-microsoft-sharepoint-RCE/
@Unk9vvN
نمونه ای از آسیب پذیری Deserialize در Functionality های پارس مقادیر sk یا Session Key که منجر به اجرای کد از راه دور میشود،
این آسیب پذیری روی نسخه های ۲۰۱۹ ، ۲۰۱۶ و ۲۰۱۳ وجود داشته و با شناسه CVE-2022-22005 ثبت شده است، فرایند اعمال وصله مایکروسافت در نسخه های قبلی دور زده شده و شروطی که برای تصدیق عدم وجود Object های خطرناک به درستی طراحی نشده است،
مدت دو ساله که محققین تست نفوذ وب تمرکز خودشون رو در خصوص دور زدن فیلترینگ ها و اعمال تصدیق های مایکروسافت بر روی آسیب پذیری هایی مانند Deserialization و SSRF و Directory Traversal گذاشته اند و اغلب موفق هم بوده اند،
یکی از عوامل موفقیت و جذابیت این آسیب پذیری ها، دسترسی به منابع کد سرویس های مایکروسافتی بوده و همچنین ماهیت این آسیب پذیری ها در حملات #APT بسیار مهم و نقش آفرین است...
https://hnd3884.github.io/posts/cve-2022-22005-microsoft-sharepoint-RCE/
@Unk9vvN
#VECTR #PurpleTeam #Simulation
همونطور که میدونید، تیم های بنفش، به تیم هایی گفته میشه که در اصل مختصص تیم قرمز هستند و همچنین تخصص های تیم آبی رو هم فرا گرفته اند برای عملیات شکار تهدید، بازبینی مکانیزم های دفاعی و تحلیل رفتار های تکنیکی تاکتیکی مهاجمان.
در این خصوص یه پلتفرمی وجود داره با نام VECTR که میتونه با استفاده از پتانسیل شبیه سازانی همچون Atomic-RedTeam ، این امکان رو فراهم کنه که متخصصین امنیت دفاعی سعی در شبیه سازی رفتار تکنیکی تاکتیکی مهاجمین #APT کنند، البته طبق مستندات MITRE ATT&CK و با استفاده از این شبیه سازی، بیان ببینن مکانیزم های دفاعی سیستم عامل میتونه نواقصی رو در فرایند تشخیص و محافظت داشته باشه یا نه.
همچنین در کنار این شبیه سازی شما میتونید پایش شاخصه های حمله رو هم در سیستم عامل داشته و چارت آماری دقیق و کاملی رو از این پلتفرم دریافت نمایید.
https://docs.vectr.io/Installation/
https://github.com/SecurityRiskAdvisors/VECTR
@Unk9vvN
همونطور که میدونید، تیم های بنفش، به تیم هایی گفته میشه که در اصل مختصص تیم قرمز هستند و همچنین تخصص های تیم آبی رو هم فرا گرفته اند برای عملیات شکار تهدید، بازبینی مکانیزم های دفاعی و تحلیل رفتار های تکنیکی تاکتیکی مهاجمان.
در این خصوص یه پلتفرمی وجود داره با نام VECTR که میتونه با استفاده از پتانسیل شبیه سازانی همچون Atomic-RedTeam ، این امکان رو فراهم کنه که متخصصین امنیت دفاعی سعی در شبیه سازی رفتار تکنیکی تاکتیکی مهاجمین #APT کنند، البته طبق مستندات MITRE ATT&CK و با استفاده از این شبیه سازی، بیان ببینن مکانیزم های دفاعی سیستم عامل میتونه نواقصی رو در فرایند تشخیص و محافظت داشته باشه یا نه.
همچنین در کنار این شبیه سازی شما میتونید پایش شاخصه های حمله رو هم در سیستم عامل داشته و چارت آماری دقیق و کاملی رو از این پلتفرم دریافت نمایید.
https://docs.vectr.io/Installation/
https://github.com/SecurityRiskAdvisors/VECTR
@Unk9vvN
Media is too big
VIEW IN TELEGRAM
#MITRE_ATTCK #Evaluation 2022
گزارشی از شرکت SentinelOne در خصوص کسب مقام اول بهترین سامانه XDR در خصوص شبیه سازی حملات Wizard Spider و Sandworm که هر دو از جمله حملات #APT بوده
این شبیه سازی هر یک الی دو سال بین شرکت های فعال در حوزه تولید محصولات امنیت دفاعی بواسطه مجموعه MITRE ATT&CK Evaluations برگزار میشه که بهترین عملکرد ها رو برای عموم مخاطبین به نمایش میزاره
این ارزیابی کیفی محصولات موجب شده که محصولات فیک و غیر واقعی در رده محصولات بازار قرار نگیره و عملکرد هر محصولی در مقابل یک حمله مداوم پیشرفته بصورت واقعی ارزیابی بشه
موضوعی که در کشور ما به جد بهش نیازه و مراکزی مانند افتا میبایست در این خصوص تنظیم گیری هایی صورت میدادند...
https://www.sentinelone.com/blog/our-take-sentinelones-2022-mitre-attck-evaluation-results/
@Unk9vvN
گزارشی از شرکت SentinelOne در خصوص کسب مقام اول بهترین سامانه XDR در خصوص شبیه سازی حملات Wizard Spider و Sandworm که هر دو از جمله حملات #APT بوده
این شبیه سازی هر یک الی دو سال بین شرکت های فعال در حوزه تولید محصولات امنیت دفاعی بواسطه مجموعه MITRE ATT&CK Evaluations برگزار میشه که بهترین عملکرد ها رو برای عموم مخاطبین به نمایش میزاره
این ارزیابی کیفی محصولات موجب شده که محصولات فیک و غیر واقعی در رده محصولات بازار قرار نگیره و عملکرد هر محصولی در مقابل یک حمله مداوم پیشرفته بصورت واقعی ارزیابی بشه
موضوعی که در کشور ما به جد بهش نیازه و مراکزی مانند افتا میبایست در این خصوص تنظیم گیری هایی صورت میدادند...
https://www.sentinelone.com/blog/our-take-sentinelones-2022-mitre-attck-evaluation-results/
@Unk9vvN
#MERCURY #Log4j Targeting #Israel Organizations
در جریان پیدا شدن آسیب پذیری log4j تیم های تهاجمی در سراسر دنیا شروع به پایش محصولاتی کردند که از کتابخونه Log 4 Java که محصول Apache هست، پیدا کنند...
یکی از موارد معروفی که در اثر استفاده از این کتابخانه مورد حمله قرار گرفت محصولات VMware بود، اما در تهاجمی که اخیرا بر روی ارگان های دولتی کشور جعلی اسرائیل رخ داد، محصولی مورد حمله قرار گرفت با نام SysAid که بر بستر های این کشور مورد استفاده قرار میگرفته و دارای کتابخونه آسیب پذیری Log4j بوده...
اما نکات جالبی راجب خود #APT اتفاق افتاده. اول اینکه بعد از ایجاد دسترسی بواسطه آسیب پذیری، مهاجمان اقدام به اجرای کد مبتنی بر Webshell کردند و بواسطه cmd.exe و net.exe فرمان هایی رو برای ایجاد یک کاربر در localgroup انجام دادند.
مورد بعدی که جالبه، استفاده از Mimikatz برای دزدیدن Credentials بوده برای Lateral Movement و دسترسی به DC و SQL Server، همچنین به وسیله سرویسی در خود سیستم عامل که با نام vpnui.exe موجوده، یک دسترسی Remote Desktop Management بواسطه محصولی تجاری زده شده با نام eHorus !
@Unk9vvN
در جریان پیدا شدن آسیب پذیری log4j تیم های تهاجمی در سراسر دنیا شروع به پایش محصولاتی کردند که از کتابخونه Log 4 Java که محصول Apache هست، پیدا کنند...
یکی از موارد معروفی که در اثر استفاده از این کتابخانه مورد حمله قرار گرفت محصولات VMware بود، اما در تهاجمی که اخیرا بر روی ارگان های دولتی کشور جعلی اسرائیل رخ داد، محصولی مورد حمله قرار گرفت با نام SysAid که بر بستر های این کشور مورد استفاده قرار میگرفته و دارای کتابخونه آسیب پذیری Log4j بوده...
اما نکات جالبی راجب خود #APT اتفاق افتاده. اول اینکه بعد از ایجاد دسترسی بواسطه آسیب پذیری، مهاجمان اقدام به اجرای کد مبتنی بر Webshell کردند و بواسطه cmd.exe و net.exe فرمان هایی رو برای ایجاد یک کاربر در localgroup انجام دادند.
مورد بعدی که جالبه، استفاده از Mimikatz برای دزدیدن Credentials بوده برای Lateral Movement و دسترسی به DC و SQL Server، همچنین به وسیله سرویسی در خود سیستم عامل که با نام vpnui.exe موجوده، یک دسترسی Remote Desktop Management بواسطه محصولی تجاری زده شده با نام eHorus !
@Unk9vvN
#Mosesstaff #Iranian #APT #Ransomware
دو گزارش از شرکت های CheckPoint و Cybereason در خصوص TTP حملات تیم ایرانی عصای موسی به قربانیان خود منتشر شده که دارای نکات جالبی هستش، در گزارش مطرح شده که این تیم برای ایجاد دسترسی، از آسیب پذیری ناشناخته ای که در خصوص سرورهای ME Exchange استفاده کرده.
اما رفتار تکنیکی تاکتیکی دیگری که در تیم عصای موسی مطرح بوده، استفاده از ابزارهای PsExec، WMIC و Powershell در خصوص جا به جایی در سیستم ها بوده، همچنین در مرحله Impact حمله این تیم از ابزار عمومی DiskCryptor استفاده کرده در راستای رمزنگاری فایل ها و قفل گذاری بر روی Bootloader سیستم قربانی. مورد بعد استفاده از Webshell مبهم سازی شده که با رمزی Hash شده محافظت می شده و مهاجم میبایست رمز رو بصورت MD5 وارد میکرده تا وارد Webshell بشه.
اما نکته مهم استفاده از درایور
@Unk9vvN
دو گزارش از شرکت های CheckPoint و Cybereason در خصوص TTP حملات تیم ایرانی عصای موسی به قربانیان خود منتشر شده که دارای نکات جالبی هستش، در گزارش مطرح شده که این تیم برای ایجاد دسترسی، از آسیب پذیری ناشناخته ای که در خصوص سرورهای ME Exchange استفاده کرده.
اما رفتار تکنیکی تاکتیکی دیگری که در تیم عصای موسی مطرح بوده، استفاده از ابزارهای PsExec، WMIC و Powershell در خصوص جا به جایی در سیستم ها بوده، همچنین در مرحله Impact حمله این تیم از ابزار عمومی DiskCryptor استفاده کرده در راستای رمزنگاری فایل ها و قفل گذاری بر روی Bootloader سیستم قربانی. مورد بعد استفاده از Webshell مبهم سازی شده که با رمزی Hash شده محافظت می شده و مهاجم میبایست رمز رو بصورت MD5 وارد میکرده تا وارد Webshell بشه.
اما نکته مهم استفاده از درایور
DCSrv.sys به عنوان یک Rootkit و PyDCrypt به عنوان بستر ساز کل عملیات و تعامل با C2 که به زبان Python و با PyInstaller اون رو Compile و با سوئیچ key— براش رمزی قرار داده میشه و نهایتا اون رو اجرا میکنه...@Unk9vvN
#MITRE_Engenuity #Attack_Flow
ابزاری وجود داره با نام Attack Flow که محصول ارگان تحقیقاتی MITRE Engenuity است که در موضوعات امنیت دفاعی فعال است.
این ابزار میتواند به شما یک فضای شبیه سازی و ترسیم جریان اجرایی یک حمله APT را دهد تا مبتنی بر تکنیک و تاکتیک های مستند شده در MITRE ATT&CK ، شمای کلی حمله رو ترسیم نماید.
این ترسیم میتواند مبتنی بر فرمت های afb - dot - json و mmd خروجی دهد، طراحی این گراف میتواند بر پایه مدل STIX هم باشد تا #TTP حمله قابلیت استفاده در #CTI یا اشتراک گذاری اطلاعات تهدیدات سایبری باشد، همچنین استفاده در مکانیزم های رفتار شناسی را نیز دارا باشد.
این ویژگی مهم، میتواند به متخصصین شکار تهدید و کارشناسان #SOC امکان خوبی برای کشف و آشکار سازی جریان اجرایی حملات #APT را بدهد. برای نمونه میتوانید موارد زیر را مشاهده نماید:
Iranian APT exploited Log4Shell and deployed XMRig crypto mining software
A financial crime involving the SWIFT banking network
A breach at Uber by the Lapsus$ group
A Russian state-sponsored malware campaign targeting Ukraine
@Unk9vvN
ابزاری وجود داره با نام Attack Flow که محصول ارگان تحقیقاتی MITRE Engenuity است که در موضوعات امنیت دفاعی فعال است.
این ابزار میتواند به شما یک فضای شبیه سازی و ترسیم جریان اجرایی یک حمله APT را دهد تا مبتنی بر تکنیک و تاکتیک های مستند شده در MITRE ATT&CK ، شمای کلی حمله رو ترسیم نماید.
این ترسیم میتواند مبتنی بر فرمت های afb - dot - json و mmd خروجی دهد، طراحی این گراف میتواند بر پایه مدل STIX هم باشد تا #TTP حمله قابلیت استفاده در #CTI یا اشتراک گذاری اطلاعات تهدیدات سایبری باشد، همچنین استفاده در مکانیزم های رفتار شناسی را نیز دارا باشد.
این ویژگی مهم، میتواند به متخصصین شکار تهدید و کارشناسان #SOC امکان خوبی برای کشف و آشکار سازی جریان اجرایی حملات #APT را بدهد. برای نمونه میتوانید موارد زیر را مشاهده نماید:
Iranian APT exploited Log4Shell and deployed XMRig crypto mining software
A financial crime involving the SWIFT banking network
A breach at Uber by the Lapsus$ group
A Russian state-sponsored malware campaign targeting Ukraine
@Unk9vvN
#Cyberespionage #Gamaredon #APT on #Ukraine
اخیرا یک حمله از یک کمپین روسی شناسایی شده که هدفش سازمان های اکراینی و کشور های هم پیمان ناتو بوده است.
حمله به این صورت بوده یک فایل فرمت LNK به ایمیل های فیشینگ Attachment بوده که به محض دانلود و اجرا، Stage بعدی دانلود می شده است.
فایل LNK از بستر اینترنت یک فایل HTA رو بصورت از راه دور اجرا میکنه که اون فایل در حالت
فایل اجرایی HTA دارای یک ActiveX Object بوده که میاد
به
در فایل دریافتی یک کد JS وجود داره که میاد یک مقدار Base64 رو بصورت مبهم سازی هست رو دانلود میکنه که در اصل یک فایل rar هستش.
گزارش مفصل هست اما یک نکته جالب دیگه داره، اونم اینکه استفاده از تکنیک Fast Flux DNS که برای گم کردن رد C&C استفاده شده و مدام IP پشت دامنه ها در حال تغییر بوده.
@Unk9vvN
اخیرا یک حمله از یک کمپین روسی شناسایی شده که هدفش سازمان های اکراینی و کشور های هم پیمان ناتو بوده است.
حمله به این صورت بوده یک فایل فرمت LNK به ایمیل های فیشینگ Attachment بوده که به محض دانلود و اجرا، Stage بعدی دانلود می شده است.
فایل LNK از بستر اینترنت یک فایل HTA رو بصورت از راه دور اجرا میکنه که اون فایل در حالت
minimize بوده و پنجره ای نیز باز نخواهد کرد.فایل اجرایی HTA دارای یک ActiveX Object بوده که میاد
Wscript.Shell رو Object میکنه که اجازه دسترسی به خط فرمان رو خواهد داد.به
registered یک فرمان داده میشه برای اجرا که باز میاد mshta.exe رو بکار میگیره برای اجرای یک فایل دیگه با نام rejoined.jpeg که بظاهر فرمت jpeg دارد.در فایل دریافتی یک کد JS وجود داره که میاد یک مقدار Base64 رو بصورت مبهم سازی هست رو دانلود میکنه که در اصل یک فایل rar هستش.
گزارش مفصل هست اما یک نکته جالب دیگه داره، اونم اینکه استفاده از تکنیک Fast Flux DNS که برای گم کردن رد C&C استفاده شده و مدام IP پشت دامنه ها در حال تغییر بوده.
@Unk9vvN
#APT #Lazarus #Python
در سال گذشته تیم Lazarus منتسب به کره شمالی، اقدام به پیاده سازی یک حمله مبتنی بر یک مهندسی اجتماعی جالب کرده و قربانیانی را مورد حمله قرار داده است.
ماجرا از این قرار که یک برنامه کنفرانس ویدیویی تقلبی متفاوت با نام FCCCall که یک برنامه کنفرانس قانونی رو تقلیب میکنه به عنوان بخشی از زنجیره حمله استفاده شده.
تیم مهاجم بواسطه شبکه های اجتماعی و آگهی های کاریابی که مشخصا متخصصان بلاک چین هستند، با قربانیان تماس گرفته و ادامه گفتگو را در تلگرام ادامه داده اند.
در تلگرام پروژه ای Node.js داده شده تا ارزیابی فنی انجام شود و همچنین از یک نرم افزار کنفرانس تقلبی نیز استفاده کرده و قربانی را سعی در دانلود و نصب نرم افزار کنفرانس تقلبی از دامنه به ظاهر مشروع لازاروس میکند.
قربانیان ویندوزی و مک بواسطه BeaverTail که Trojan شده است، قربانی را بواسطه یک نصب کننده MSI یا DMG آلوده میکند، در کنار این دو یک پروژه مخرب Node.js نیز که بصورت مبهم سازی شده است نیز به قربانی داده میشود.
در صورت اجرای پروژه یک کد مخرب پایتونی را دانلود کرده و آن نیز نرم افزار anydesk را نامحسوس اجرا میکند.
@Unk9vvN
در سال گذشته تیم Lazarus منتسب به کره شمالی، اقدام به پیاده سازی یک حمله مبتنی بر یک مهندسی اجتماعی جالب کرده و قربانیانی را مورد حمله قرار داده است.
ماجرا از این قرار که یک برنامه کنفرانس ویدیویی تقلبی متفاوت با نام FCCCall که یک برنامه کنفرانس قانونی رو تقلیب میکنه به عنوان بخشی از زنجیره حمله استفاده شده.
تیم مهاجم بواسطه شبکه های اجتماعی و آگهی های کاریابی که مشخصا متخصصان بلاک چین هستند، با قربانیان تماس گرفته و ادامه گفتگو را در تلگرام ادامه داده اند.
در تلگرام پروژه ای Node.js داده شده تا ارزیابی فنی انجام شود و همچنین از یک نرم افزار کنفرانس تقلبی نیز استفاده کرده و قربانی را سعی در دانلود و نصب نرم افزار کنفرانس تقلبی از دامنه به ظاهر مشروع لازاروس میکند.
قربانیان ویندوزی و مک بواسطه BeaverTail که Trojan شده است، قربانی را بواسطه یک نصب کننده MSI یا DMG آلوده میکند، در کنار این دو یک پروژه مخرب Node.js نیز که بصورت مبهم سازی شده است نیز به قربانی داده میشود.
در صورت اجرای پروژه یک کد مخرب پایتونی را دانلود کرده و آن نیز نرم افزار anydesk را نامحسوس اجرا میکند.
@Unk9vvN
#ClickFix #Proofpoint #APT
در April 2024 شرکت Proofpoint یک روشی برای ایجاد دسترسی اولیه معرفی کرد با نام ClickFix، این روش به این صورت بوده که مهاجمین اقدام به ایجاد یک پیام در مرورگر Chrome کرده مبتنی بر مشکل بروز رسانی مرورگر که در صورت اجرای خطا، اولین فاز حمله اجرا میشده است.
تیمی از کره جنوبی بواسطه ایمیل فیشینگ، اقدام به معرفی یک فایل RAR بر بستر pCloud قرار داده که بعد از اجرای فایل PDF مخرب، قربانی را راهنمایی میکند تا پاورشل را باز کرده و کد داخل Code.txt را کپی و بر روی پاورشل اجرا نماید.
اینجا یک Padding باینری برای مبهم سازی قرار داده شد و یک کد VBS را به اجرا در آورده که آن نیز یک شناسایی داخلی انجام میدهد.
یک Schtasks اجرا میشود برای اجرای RAT اصلی و ایجاد دسترسی C2 انجام شده است.
نوع صحبت با یک نقطه انتهایی demo.php را بواسطه یک curl انجام شده و Whoami را به نقطه انتهایی ارسال میکند.
نکته این محله آنجاست که مهاجم سعی داشته کد درون Code.txt را مبهم سازی معکوس انجام داده تا قربانی متوجه مخرب بودن کد نشده و اقدام به اجرا کد نماید.
@Unk9vvN
در April 2024 شرکت Proofpoint یک روشی برای ایجاد دسترسی اولیه معرفی کرد با نام ClickFix، این روش به این صورت بوده که مهاجمین اقدام به ایجاد یک پیام در مرورگر Chrome کرده مبتنی بر مشکل بروز رسانی مرورگر که در صورت اجرای خطا، اولین فاز حمله اجرا میشده است.
تیمی از کره جنوبی بواسطه ایمیل فیشینگ، اقدام به معرفی یک فایل RAR بر بستر pCloud قرار داده که بعد از اجرای فایل PDF مخرب، قربانی را راهنمایی میکند تا پاورشل را باز کرده و کد داخل Code.txt را کپی و بر روی پاورشل اجرا نماید.
اینجا یک Padding باینری برای مبهم سازی قرار داده شد و یک کد VBS را به اجرا در آورده که آن نیز یک شناسایی داخلی انجام میدهد.
یک Schtasks اجرا میشود برای اجرای RAT اصلی و ایجاد دسترسی C2 انجام شده است.
نوع صحبت با یک نقطه انتهایی demo.php را بواسطه یک curl انجام شده و Whoami را به نقطه انتهایی ارسال میکند.
نکته این محله آنجاست که مهاجم سعی داشته کد درون Code.txt را مبهم سازی معکوس انجام داده تا قربانی متوجه مخرب بودن کد نشده و اقدام به اجرا کد نماید.
@Unk9vvN