One Article Review
| Source |  Anomali |
|---|---|
| Identifiant | 8328981 |
| Date de publication | 2023-04-18 17:14:00 (vue: 2023-04-18 18:06:24) |
| Titre | Anomali Cyber Watch: Cozy Bear utilise de nouveaux téléchargeurs, RTM Locker Ransomware cherche une vie privée, vice Society Automated Selective Exfiltration Anomali Cyber Watch: Cozy Bear Employs New Downloaders, RTM Locker Ransomware Seeks Privacy, Vice Society Automated Selective Exfiltration |
| Texte |
Les différentes histoires de l'intelligence des menaces dans cette itération de l'anomali cyber watch discutent les sujets suivants: apt, clicker, détournement de conversation, exfiltration de données, callpam, phishing, ransomware, russie, et chaîne d'approvisionnement .Les CIO liés à ces histoires sont attachés à Anomali Cyber Watch et peuvent être utilisés pour vérifier vos journaux pour une activité malveillante potentielle.
Figure 1 - Diagrammes de résumé du CIO.Ces graphiques résument les CIO attachés à ce magazine et donnent un aperçu des menaces discutées.
Cyber News et Intelligence des menaces
banquier QBOT livré par correspondance commerciale
(Publié: 17 avril 2023)
Début avril 2023, un volume accru de Malspam en utilisant le détournement de fil commercial-imail a été détecté pour fournir le troin bancaire QBOT (QAKBOT, Quackbot, Pinkslipbot).Les leurres observés en anglais, en allemand, en italien et en français visaient divers pays, les trois premiers étant l'Allemagne, l'Argentine et l'Italie, dans cet ordre.Les attaquants usurpaient un nom dans la conversation détournée pour inciter la cible à ouvrir un fichier PDF ci-joint.La cible est ensuite confrontée à un bouton, à un mot de passe et à une instruction pour télécharger, déballer et exécuter un fichier de script Windows malveillant (WSF) dans une archive protégée par mot de passe.L'exécution des utilisateurs est suivie d'une désobfuscation automatisée d'un JScript contenu produisant un script PowerShell codé visant à télécharger une DLL QBOT à partir d'un site Web compromis et à l'exécuter à l'aide de RunDLL32.QBOT vole les informations d'identification, profil les systèmes pour identifier les perspectives de ciblage supplémentaire de grande valeur et vole des e-mails stockés localement pour une prolifération supplémentaire via le détournement de fil calspam.
Commentaire de l'analyste: L'usurpation du nom de l'expéditeur des lettres précédentes du & lsquo; from & rsquo;Le champ peut être identifié dans cette campagne car il utilise une adresse e-mail frauduleuse de l'expéditeur différent de celle du véritable correspondant.Les utilisateurs doivent être prudents avec des archives protégées par mot de passe et des types de fichiers suspects tels que WSF.Les indicateurs de réseau et d'hôtes associés à cette campagne QBOT sont disponibles dans la plate-forme Anomali et il est conseillé aux clients de les bloquer sur leur infrastructure.
mitreAtt & amp; ck: [mitre att & amp; ck] t1566 - phishing | [mitre att & amp; ck] t1204 - exécution des utilisateurs | [mitre att & amp; ck] t1207 - contrôleur de domaine voyou | [mitre att & amp; ck] t1140 - déobfuscate /Décoder des fichiers ou des informations | [mitre att & amp; ck] t1059.001: powershell | [mitre att & amp; ck] t1218.011 - Exécution par proxy binaire signée: rundll32 | [mitre att & amp; ck] t1090 - proxy | [mitre att & amp; ck] t1114.001 - collection de courriels: collection de message |
| Envoyé | Oui |
| Condensat | envyscout halfrig identifying /upload 001 001: 002 003 004 005 006 011 100 2022 2023 400 4103 4104 600 800 Argentina Country: Italy Target abosed:powershell about abused:base64 abused:google abused:iocp abused:notion abused:one abused:powershell abused:rundll32 abused:tox access acquire activity actor’s actor:cozy actor:nobelium actor:rtm actor:vice additional additionally address addresses adhere administrative advanced advised adware affected affiliate affiliates africa after aimed all allow allows alto analyst android anomali any api app application applications apps april apt apt29 archive archives are argentina asks associated att&ck att&ck: attached attachment attack attackers attacks attention attributed automated automatically autostart available avoid avoids awareness backdoors backup banker banking based basic battery beacon bear because been being binaries binary block boot brute builds business button bypass campaign campaign: campaign:obama249 can cautious cert certpolska chain channel charts check clear clears clicker cobalt code collaboration collection collection: collects comment: commonwealth communication completion compromise compromise: compromised connection connections constantly containable contained controller controls: conversation cookie corporate correspondence correspondent countries country:Germany country:it country:kr country:ru country:russia country:south cozy create creates credentials custom customers customized cyber cyberespionage data days decrypt defenders defense deletion delivered delivering deobfuscate/decode deobfuscation dependencies deploy desired detect detected detection detection:rtmlocker detection:trojan development device different difficulties direct directories directory discourage discovery discuss discussed dll domain double download downloaded downloader downloaders downloading drain drive drives dubbed each early effect either email emails embassy employs enable encoded encrypted encrypting encryption endpoint endpoints english environments espionage european event events evolving execute execution execution: exfil exfiltrate exfiltration extent external extortion faced fast faster february field figure file files final flow: focus folder followed following found framework fraudulent french from functionality fundamental further generate german germany get gets glimpse goldoson goldoson: google government’s grant group group:apt29 halfrig has having help hidden high hijack hijacked hijacking history host host’s host: html http hygiene identified identify identifying ids ignore impact implements important inactivity increase increased independent indicator indicators information information: infrastructure infrastructure: ingress injecting input/output installed instruction instrumentation intelligence invasive ioc iocs italian italy iteration its jscript keys keywords know korea korean land leads leaks lesser letters library likely limiting link linked list living loading local locally location locations locker locker: log logon logs lolbas longer lures magazine malicious malspam malware malware:brute malware:cobalt malware:envyscout malware:halfrig malware:goldoson malware:pinkslipbot malware:qakbot malware:qbot malware:quackbot malware:quarterrig malware:rtm malware:snowyamber management manipulation: manual many march mark marks match mcafee member methods million mitre mitreatt&ck monitor more most mount mounted multi multiple name names native nato need needed network networks new news nobelium not obfuscated obfuscation observed october off official one online open operates order over overheating overwhelming palo paloaltonetworks parameter parameters partitions pass password pay payload pdf permission permissions personal phishing phishing: pinkslipbot place platform play policy polish polska popular ports post potential powershell predominantly premature previous privacy private privileges proceeds process processes produce produc |
| Tags | Ransomware Malware Tool Threat |
| Stories | APT 29 APT 29 |
| Notes | ★★ |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.