One Article Review
| Source |  Anomali |
|---|---|
| Identifiant | 8322667 |
| Date de publication | 2023-03-28 21:28:00 (vue: 2023-03-28 22:07:01) |
| Titre | Anomali Cyber Watch: Takeover comptable, APT, Banking Trojans, Chine, Cyberespionage, Inde, Malspam, Corée du Nord, Phishing, Skimmers, Ukraine et Vulnérabilités [Anomali Cyber Watch: Account takeover, APT, Banking trojans, China, Cyberespionage, India, Malspam, North Korea, Phishing, Skimmers, Ukraine, and Vulnerabilities] |
| Texte | Aucun Sélectionné Sauter vers le contenu à l'aide d'Anomali Inc Mail avec les lecteurs d'écran Yury 1 sur 52 ACW CONSEIL POLOZOV ACCORDS MAR 27 MAR, 2023, 10: 11 & # 8239; AM (1 jour) pour moi, marketing, recherche Cher Jarom etMarketing, ACW est prêt https://ui.thereatstream.com/tip/6397663 - Yury Polozov |Analyste de renseignement sur la menace de Sr. |ATR |www.anomali.com Téléphone: + 1-347-276-5554 3 pièces jointes et taureau;Scanné par gmail
& nbsp;
Anomali Cyber Watch: Spies amer sur l'énergie nucléaire chinoise, Kimsuky prend le contrôle de Google pour infecter les appareils Android connectés, les mauvaises cibles magiques occupées des parties de l'Ukraine, et plus encore.
Les diverses histoires de l'intelligence des menaces dans cette itération de l'anomali cyber watch discutent des sujets suivants: Takeover, APT, Banking Trojans, China, Cyberspionage, Inde, Malspam, North Corée, Phishing, Skimmers, Ukraine, et vulnérabilités .Les CIO liés à ces histoires sont attachés à Anomali Cyber Watch et peuvent être utilisés pour vérifier vos journaux pour une activité malveillante potentielle.
Figure 1 - Diagrammes de résumé du CIO.Ces graphiques résument les CIO attachés à ce magazine et donnent un aperçu des menaces discutées.
Cyber News et Intelligence des menaces
campagne de phishingCible l'industrie chinoise de l'énergie nucléaire
(Publié: 24 mars 2023)
Actif Depuis 2013, le groupe amer (T-APT-17) est soupçonné d'être parrainé par le gouvernement indien.Des chercheurs Intezer ont découvert une nouvelle campagne amère ciblant les universitaires, le gouvernement et d'autres organisations de l'industrie de l'énergie nucléaire en Chine.Les techniques sont cohérentes avec les campagnes amères observées précédemment.L'intrusion commence par un e-mail de phishing censé provenir d'un véritable employé de l'ambassade du Kirghizistan.Les pièces jointes malveillantes observées étaient soit des fichiers HTML (CHM) compilés à Microsoft, soit des fichiers Microsoft Excel avec des exploits d'éditeur d'équation.L'objectif des charges utiles est de créer de la persistance via des tâches planifiées et de télécharger d'autres charges utiles de logiciels malveillants (les campagnes amères précédentes ont utilisé le voleur d'identification du navigateur, le voleur de fichiers, le keylogger et les plugins d'outils d'accès à distance).Les attaquants se sont appuyés sur la compression LZX et la concaténation des cordes pour l'évasion de détection.
Commentaire de l'analyste: De nombreuses attaques avancées commencent par des techniques de base telles que des e-mails injustifiés avec une pièce jointe qui oblige l'utilisateur à l'ouvrir.Il est important d'enseigner l'hygiène de base en ligne à vos utilisateurs et la sensibilisation au phishing.Il est sûr de recommander de ne jamais ouvrir de fichiers CHM joints et de garder votre bureau MS Office entièrement mis à jour.Tous les indicateurs connus associés à cette campagne amère sont disponibles dans la plate-forme Anomali et il est conseillé aux clients de les bloquer sur leur infrastructure.
mitre att & amp; ck: [mitre att & amp; ck] t1589.002 - rassembler l'identité des victimesInformations: Adresses e-mail | [mitre att & amp; ck] t1566.001 -Phishing: attachement de espionnage | [mitre at |
| Envoyé | Oui |
| Condensat | 001 001: 002 003 004 005 007 10:11 am 2013 2022 2023 276 347 450 5554 6397663 China Country: Crimea Energy Industry: Industry:government Lugansk Nuclear Region: Research Target Targets able abuse abusing academic access account activate active activity actor:bad actor:bitter actor:thallium actor:velvet actors actual actually acw added additions addresses administrator administrators advanced advised ago agriculture all also america amount analyst analyzed android anomali antivirus any api app application applications apps apt archive are area associated atr att&ck att&ck: attached attachment attachments attack attackers attacks august authentication avail available avoid awareness backdoor bad banking base64 based basic basis been behind being binary bitter block botnet breach browser but call calls camera campaign campaigns can capture capture: chaining channel charts check china chinese chm chollima chrome chromium cleafy client cloudflare code collecting collection com com/tip/6397663 comment: commonmagic communicating compiled completely compression compromise computers concatenation conflict connected consistent contact containing content control controlled core countries country:in country:india country:kp country:kr country:north country:south create credential credentials crimea cryptocurrency currently custom customers cyber cyberespionage data data: day dear decoy delete deletion deobfuscate/decode deployed description desktop desktop/notebook detect detected detection detection:boogr detection:sova devices devtools dex discovered discovery discuss discussed displaying document does domain donetsk double download drives drop dropper dubbed edge editor either email emails embassy embedded employee encoded encrypted encryption energy entities equation europe evasion excel execution execution: exfiltration expand experts explained exploit exploitation exploits exposure extension extensions facing factor fastfire fastspy fastviewer feature figure file files financial first focus folder folders follow following found framework from fully further gather get gets glimpse gmail good google government graph group group:kimsuky gui hackers has have heavily help hidden host: html https://ui hundreds hygiene identify identity important inbox inc india indian indicator indicators indonesia industry industry:agriculture industry:cryptocurrency industry:financial industry:government industry:transportation infect infected infections information information: infrastructure ingress injected injection injections input install installed integrity intelligence interception internal intezer intrusion ioc iocs issues iteration its itself january jarom keep keeping keylogger keylogging kimsuki kimsuky known korea korean kritec kyrgyzstan layer library likely limit limited linked list lists lnk local location logs lugansk lzx magazine magecart magento magic magic: mail main malicious malspam malware malware:af malware:commonmagic malware:fastfire malware:fastspy malware:fastviewer malware:kritec malware:nexus malware:powermagic malwarebytes manager many mar march marketing marks masquerading media messages methods microsoft mitre mobile modified module modules monitor more msi msiexec named narrowly naver near need network networking never new news nexus nexus: none north not nuclear number oauth obfuscated obfuscator observed occupied october offered offering office official onedrive ones online only open opening organizations originally other out over overlaps package panel parse parts payloads pdf peninsula perform persistence persistent phishing phishing: phone phone: picus: pipes pipes: place platform play plugins pointing polozov portals possible potential powermagic powershell precautions previous previously price prompted protected protection protocol: protocols provide proxy public published: purported purpose query rapidjson rat rc5simple readers ready real receiving recently recommend refresh region: region:donetsk regions regular related relied remaining remote removable removal reported requires research res |
| Tags | Malware Tool Threat Cloud |
| Stories | APT 37 APT 43 |
| Notes | ★★ |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.