One Article Review
| Source |  Anomali |
|---|---|
| Identifiant | 8326770 |
| Date de publication | 2023-04-11 19:00:00 (vue: 2023-04-11 19:08:27) |
| Titre | Anomali Cyber Watch: Backdoors de mante agressive cibler la Palestine, fauxPackages fissurés inondé NPM, Rorschach Ransomware est nettement plus rapide que Lockbit v.3 Anomali Cyber Watch: Aggressively-Mutating Mantis Backdoors Target Palestine, Fake Cracked Packages Flood NPM, Rorschach Ransomware Is Significantly Faster Than LockBit v.3 |
| Texte | Les différentes histoires de l'intelligence des menaces dans cette itération de l'anomali cyber watch discutent des sujets suivants: apt, crypto-monnaie, fuite de données, malvertising, packers, palestine, phishing, ransomware, et logicielchaîne d'approvisionnement .Les CIO liés à ces histoires sont attachés à Anomali Cyber Watch et peuvent être utilisés pour vérifier vos journaux pour une activité malveillante potentielle.
Figure 1 - Diagrammes de résumé du CIO.Ces graphiques résument les CIO attachés à ce magazine et donnent un aperçu des menaces discutées.
Cyber News et Intelligence des menaces
cryptoclippie parle portugais
(Publié: 5 avril 2023)
Depuis au moins au début de 2022, une campagne de clipper de crypto-monnaie opportuniste cible des conférenciers portugais en invitant un téléchargement à partir d'un site Web contrôlé par l'acteur promu via un empoisonnement SEO et malvertiser abusant Google Ads.Le fichier imite WhatsApp Web et fournit des cryptoclippages doublés de logiciels malveillants dans le but de remplacer les adresses de crypto-monnaie dans le presse-papiers Target & Acirc; & euro; & Trade.Les deux premiers fichiers de la chaîne d'infection sont EXE et BAT ou ZIP et LNK.Les acteurs utilisent des techniques d'obscurcissement et de cryptage étendues (RC4 et XOR), la compensation des journaux et des fichiers, et un profilage approfondi des utilisateurs pour un ciblage étroit et une évasion de défense.L'utilisation du type d'obscuscation invoqué-obfuscation peut indiquer un attaquant brésilien.
Commentaire de l'analyste: Les portefeuilles contrôlés par l'acteur observés ont gagné un peu plus de 1 000 dollars américains, mais leurs logiciels malveillants complexes à plusieurs étages peuvent les aider à étendre ces dégâts.Il est conseillé aux utilisateurs de vérifier les informations du destinataire avant d'envoyer une transaction financière.Des indicateurs liés à la cryptoclippie sont disponibles dans la plate-forme Anomali.Les organisations qui publient des applications pour leurs clients sont invitées à utiliser une protection contre les risques numériques anomalie premium pour découvrir des applications malveillantes et malveillantes imitant votre marque que les équipes de sécurité ne recherchent généralement ni ne surveillent.
mitre att & amp; ck: [mitre att & amp; ck] t1204 - exécution de l'utilisateur | [mitre att & amp; ck] t1027 - fichiers obscurcissantsOu des informations | [mitre att & amp; ck] t1059.001: powershell | [mitre att & amp; ck] t1105 - transfert d'outils d'entrée | [mitre att & amp; ck] t1140 - déobfuscate / décode les fichiers ou informations | [mitre att & amp; ck] t1620 - chargement de code réfléchissant | [mitreAtt & amp; ck] T1547.001 - Exécution de démarrage ou de connexion Autostart: Registry Run Keys / Startup Folder | [mitre att & amp; ck] t1112: modifier le registre | [mitre att & amp; ck] t1136.001 - Crée |
| Envoyé | Oui |
| Condensat | 000 001 001: 002 003 004 005 128 2011 2022 2023 4444 800 Att Capture Code Deobfuscate/Decode Files Information Infrastructure Ingress Loading Mitre Monitor PowerShell Reflective Registry Screen Search T1059 T1105 T1113 T1140 T1620 THEir Tool Transfer ability about abuse abusing account account: achieves activity actor actor:apt actor:arid actor:desert actor:gulantin actor:mantis actors additional additions addresses admin ads advanced advertising advised affected against aggressively aim aliexpress all allows alto amp; analyst anomali any apis applications apps april apt archive are arid associated att&ck att&ck: attached attack attacker attacks attention attractive aurora authentication authorization authorized automated automatic automatically autonomous autostart available avoid awareness babuk backdoors background backup based basic bat been being between binary bitcoin block boot borrowed brand brave brazilian broke browser browsers but campaign campaigns can capabilities capture capture: cases causing cdn chain chains chains: character charts check chrome chromium cipher ck: clear clearing client clipboard clipper code collect collected comes comment: commodity commonwealth company; compiler completion complex compromise confirmation connections consider constantly constrain continue controlled controller copied cortex country:br country:brazil country:ru country:russia country:usa county:us course cracked create creating creation credentials cryptoclippy cryptocurrencies cryptocurrency cryptography curve25519 custom customers cyber cyberespionage damage darkside data data: decrypt defenders defense defenses: deletion delivered delivering delivers delphi denial deobfuscate/decode descriptions desert detection detection:xmrig device devices dialogs digital direct disable disabling discord discover discuss discussed distribution dll does dollars domain dos down download downloads drive dubbed due dump early edge editing educate effective either ekipa emails employees encrypted encryption endpoint engaged engines environment estream ethereum evasion event evolving exe execute execution execution: executions exemption exfiltration extend extension extensions extensive extremely eye factor fake falcon families family fast faster featured february figure file files finally financial finding firewalls first flood flow: fly folder following forged formatted found fraud from functionality fund fundamental gained glimpse glupteba going golang google gopher group groups has have having help hijack hijacking historically honeypot/canary host: hybrid hygiene i/o impact impair impersonates impersonating implemented important includes including increasingly independent indicator indicators individuals industry:cryptocurrency infection inflated information information: infrastructure ingress inhibit injection inlined input inspired intelligence invited invoke ioc iocs iteration its javascript keep keylogging keys known leading leak leaked least legitimate libraries library like likely links little lnk loader loading loads local lockbit locked log logic logo logon logs long look loss macros magazine make making malicious malvertising malware malware:arid malware:aurora malware:cryptoclippy malware:ekipa malware:glupteba malware:micropsia malware:redline malware:rilide malware:rorschach malware:smoke manipulation manipulation: mantis mantis: many march may method micro micropsia microsoft million mine mitre modification modification: modify monetization monthly more most much multi mutating nOT narrow need network networks new news not notes npm number numbers obfuscated obfuscation observed ongoing online open opera operated opportunistic optimization organizations origin other others over overall package packages packers packing padded padding palestine palestinian palo partial password pay payload persistence persistent phishing place platform point poisoning policies policy port port:4444 ports portuguese possible potential powershell premium prior privileges process processes product profiling promote promoted prompting |
| Tags | Ransomware Malware Tool Threat |
| Stories | APT-C-23 |
| Notes | ★★ |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.