One Article Review
| Source |  Anomali |
|---|---|
| Identifiant | 8332656 |
| Date de publication | 2023-05-01 23:16:00 (vue: 2023-05-02 00:06:20) |
| Titre | Anomali Cyber Watch: APT37 adopte les fichiers LNK, Charming Kitten utilise le bordereau d'implant Bellaciao, le cryptage de remappage d'octet unique Vipersoftx InfostEaler Anomali Cyber Watch: APT37 Adopts LNK Files, Charming Kitten Uses BellaCiao Implant-Dropper, ViperSoftX Infostealer Unique Byte Remapping Encryption |
| Texte |
Les diverses histoires de l'intelligence des menaces dans cette itération de l'anomali cyber watch discutent les sujets suivants: apt, Remapping, Cloud C2s, Infostalers, Iran, Corée du Nord, Rats, et vulnérabilités .Les CIO liés à ces histoires sont attachés à Anomali Cyber Watch et peuvent être utilisés pour vérifier vos journaux pour une activité malveillante potentielle.
Figure 1 - Diagrammes de résumé du CIO.Ces graphiques résument les CIO attachés à ce magazine et donnent un aperçu des menaces discutées.
Cyber News et Intelligence des menaces
Réaction en chaîne: Rokrat & rsquo; s.Lien manquant
(Publié: 1er mai 2023)
Depuis 2022, le groupe parrainé par le Nord-Korea APT37 (Group123, Ricochet Chollima) a principalement changé ses méthodes de livraison de Maldocs pour cacher des charges utiles à l'intérieur des fichiers LNK surdimensionnés.Vérifier les chercheurs a identifié plusieurs chaînes d'infection utilisées par le groupe de juillet 2022 à avril 2023. Celles-ci ont été utilisées pour livrer l'un des outils personnalisés de l'APT37 (Goldbackdoor et Rokrat), ou le malware de marchandises Amadey.Tous les leurres étudiés semblent cibler des personnes coréennes avec des sujets liés à la Corée du Sud.
Commentaire de l'analyste: Le passage aux chaînes d'infection basées sur LNK permet à APT37 de l'interaction utilisateur moins requise car la chaîne peut être déclenchée par un simple double clic.Le groupe continue l'utilisation de Rokrat bien triés qui reste un outil furtif avec ses couches supplémentaires de cryptage, le cloud C2 et l'exécution en mémoire.Les indicateurs associés à cette campagne sont disponibles dans la plate-forme Anomali et il est conseillé aux clients de les bloquerleur infrastructure.
mitre att & amp; ck: [mitre att & amp; ck] t1059.001: Powershell | [mitre att & amp; ck] t1055 - injection de processus | [mitre att & amp; ck] t1027 - fichiers ou informations obscurcis | [mitre att & amp; ck] t1105 - transfert d'outils d'entrée | [mitre att & amp; ck] t1204.002 - Exécution des utilisateurs: fichier malveillant | [mitre att & amp; ck] t1059.005 - commande et script interprète: visuel basique | [mitre att & amp; ck] t1140 - désobfuscate / décode ou informations | [mitre att & amp; ck] T1218.011 - Exécution par proxy binaire signée: Rundll32
Tags: malware: Rokrat, mitre-software-id: s0240, malware-Type: Rat, acteur: Groupe123, mitre-groupe: APT37, acteur: Ricochet Chollima, Country source: Corée du Nord, Country source: KP, Cible-Country: Corée du Sud, Cible-Country: KR, Type de fichier: Zip, déposer-Type: Doc, Fichier-Type: ISO, Fichier-Type: LNK, File-Type: Bat, File-Type: EXE, Fichier-Type: VBS, malware: Amadey,MALWARE: Goldbackdoor, Type de logiciels malveillants: porte dérobée, abusée: Pcloud, abusé: Cloud Yandex, abusé: OneDrive, abusé: & # 8203; & # 8203; Processeur de mots Hangul, abusé: themida, système cible: Windows
|
| Envoyé | Oui |
| Condensat | 001 001: 002 003 004 005 011 1password 2022 2023 27532 500 9401 Att Country: Israel Mitre Platform PowerShell T1059 Target about abused:hangul abused:Plink abused:golang abused:iis abused:onedrive abused:pcloud abused:powershell abused:telegram abused:themida abused:yandex according action: activated activity actor actor:charming actor:fin7 actor:group123 actor:ricochet actors added additional address adopts advised affecting against algorithms all allows alone amadey america amos amp; analyst anomali anomaly any app appear apple application applications approximately april apt apt37 apt37’s archive are assets associated atomic att&ck att&ck: attached attacks attributed australia austria auto autostart available backdoor backdoors: backup based basic basis been behind being bellaciao bellaciao: binance binary block blocking boot browser browsers brute byte c2s called calls campaign campaigns can card chain chains channel charming charts check chollima chrome ck: click closer cloud code coinomi collected command commands comment: commodity company; components compromised concentrating concerned consumer continue continues controlled cookie cookies countries: country:at country:australia country:austria country:in country:india country:it country:italy country:japan country:kp country:kr country:north country:pakistan country:philippines country:south country:turkey country:united country:us cracked credential credentials credit critical crypto cryptocurrencies cryptocurrency custom customers cve cyber cyble data delete deletion deliver delivered delivering deobfuscate/decode designed desktop detected detection:trojan detection:trojanspy devices dga diceloader digital directory discovered discovery discuss discussed distribution dll dmg dns documented documents domain domains double download downloader downloads drop dropper drops dubloader dynamic east edge educate electrum employees encoding encoding: encryption enterprise establishing europe evasion exchange execution execution: exfiltration exodus exploit exploitation exploiting exposed extensions extract facing fact figure file files fills fin7 firefox first flow: folder following force from further generating generation glimpse global golang goldbackdoor google group group123 group:apt37 has have hiding high hijack host host: hosts id:s0240 identified iis implant included including incorporated india indicate indicator indicators individuals industry:cryptocurrency infection information infostealer infostealers infrastructure ingress injection injection: inside install installs intelligence interaction internet interpreter: intrusions ioc iocs iran iran’s israel italy iteration its japan july keep keepass keychain keys kitten korea korean latest layer layers lead legitimate less library likely link links lnk loader loading local logon logs long look lures macos made magazine major making maldocs malicious malware malware: malware:amadey malware:amos malware:atomic malware:bellaciao malware:diceloader malware:dubloader malware:goldbackdoor malware:powerhold malware:powertrash malware:rokrat malware:vipersoftx managers march may memory method methods micro microsoft middle missing mitre module monthly most mostly movement mozilla multiple native net network new news north november number obfuscated observed official one only open opening opera operating order organizations out over overall oversized pakistan password passwords patch patches path payloads persistence philippines platform plink point port port:9401 potential powerhold powershell powertrash premium previously procedures process processor protect protection protocol: provide proxy ps1 public publicly published: raid ransomware rats reaction: received recommend region:europe region:middle registry related remains remapping remote removal replication represent request required researchers resolution resolution: resolved restricted reverse ricochet risk risks rokrat rokrat’s rotating run rundll32 script scripting scripts second sector security seen self selling server s |
| Tags | Ransomware Malware Tool Vulnerability Threat Prediction Cloud |
| Stories | APT 37 APT 37 APT 35 |
| Notes | ★★ |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.