One Article Review
| Source |  Anomali |
|---|---|
| Identifiant | 8337033 |
| Date de publication | 2023-05-16 18:03:00 (vue: 2023-05-16 18:06:41) |
| Titre | Anomali Cyber Watch: Lancefly APT adopte des alternatives au phishing, BPFDoor a supprimé les indicateurs codés en dur, le FBI a ordonné aux logiciels malveillants russes de s'auto-destruction Anomali Cyber Watch: Lancefly APT Adopts Alternatives to Phishing, BPFdoor Removed Hardcoded Indicators, FBI Ordered Russian Malware to Self-Destruct |
| Texte |
Les diverses histoires de l'intelligence des menaces dans cette itération de la cyber surveillance de l'anomali discutent des sujets suivants: apt, bourse, vol d'identification, Chine, exploits, phishing, ransomware, et Russie .Les CIO liés à ces histoires sont attachés à Anomali Cyber Watch et peuvent être utilisés pour vérifier vos journaux pour une activité malveillante potentielle.
Figure 1 - Diagrammes de résumé du CIO.Ces graphiques résument les CIO attachés à ce magazine et donnent un aperçu des menaces discutées.
Cyber News et Intelligence des menaces
lancefly: Le groupe utilise la porte dérobée personnalisée pour cibler les orgs au gouvernement, l'aviation, d'autres secteurs
(Publié: 15 mai 2023)
Les chercheurs de Symantec ont détecté une nouvelle campagne de cyberespionnage par le groupe parrainé par Lancefly Chine ciblant les organisations en Asie du Sud et du Sud-Est.De la mi-2022 à 2023, le groupe a ciblé les secteurs de l'aviation, du gouvernement, de l'éducation et des télécommunications.Les indications des vecteurs d'intrusion montrent que Lancefly est peut-être passé des attaques de phishing à la force brute SSH et en exploitant des dispositifs accessibles au public tels que les équilibreurs de charge.Un petit nombre de machines ont été infectées de manière très ciblée pour déployer la porte dérobée Merdoor personnalisée et une modification de la ZXShell Rootkit open source.Lancefly abuse d'un certain nombre de binaires légitimes pour le chargement latéral DLL, le vol d'identification et d'autres activités de vie (lolbin).
Commentaire des analystes: Les organisations sont conseillées de surveiller l'activité suspecte des PME et les activités LOLBIN indiquant une éventuelle injection de processus ou un dumping de la mémoire LSASS.Les hachages de fichiers associés à la dernière campagne Lancefly sont disponibles dans la plate-forme Anomali et il est conseillé aux clients de les bloquer sur leur infrastructure.
mitre att & amp; ck: [mitre att & amp; ck] t1190 - exploiter l'application de formation publique | [mitreAtt & amp; ck] t1078 - comptes valides | [mitre att & amp; ck] t1056.001 - Capture d'entrée: keylogging | [mitre att & amp; ck] t1569 - services système | [mitre att & amp; ck] t1071.001 - couche d'applicationProtocole: protocoles Web | [mitre att & amp; ck] t1071.004 - protocole de couche d'application: DNS | [mitre att & amp; ck] t1095 - couche non applicationProtocole | [mitre att & amp; ck] t1574.002 - flux d'exécution de hijack: chargement secondaire dll | [mitre att & amp; ck] T1003.001 - Dumping des informations d'identification du système d'exploitation: mémoire lsass | [mitre att & amp; ck] T1003.002 - Dumping des informations d'identification du système d'exploitation: gestionnaire de compte de s |
| Envoyé | Oui |
| Condensat | bpfdoor 001 001: 002 003 004 005 2004 2022 2023 27350 365 443 APT APector: Account Actor: Admin Application Archive Att Australia Backdoor Bear Collected Configuration Country: Credential DLL Data: Delion Discovery Dumping Dumping: Execution File Flow: Hijack Host: Identity: Indicator Ingress LOADING Lancefly Layer Lsass Malware Malware: Manager Memory Merdoor Microsoft Mitre Modify Network Non Owner/User Protocol Registry Remote Removal Rootkit SIDE SMB/Windows Scanning Scheduled Sector:government Security Service Services: Shares Sniffing Source System T1003 T1016 T1018 T1021 T1033 T1040 T1046 T1053 T1070 T1095 T1105 T1112: T1489 T1560 T1574 TAGS: Target Task Task/Job: Tool Transfer Turla Type: Uroburos Users Utility Venomous Zxshell able abused:atera abused:berkley abused:http abused:https abused:javascript abused:libtomcrypt abused:popen abused:sctp abused:ssh abused:tcp abused:telegram abused:tor abused:tox abused:udp abuses access accessible accompanied accomplish accounts accounts: across active activities activity actor actor:bl00dy actor:red actors additional address addresses administrators adopts advanced advised advisory affecting africa against agency all allows almost already also alternatives amp; analysis analyst and/or anomali another any api app application applications applied apply appropriate approximately apt are asia associated atera atop att&ck att&ck: attached attachment attack attacks attributed australia authentication available aviation avoid back backdoor backdoors bad balancers based beacon beacons bear became been being between binaries bind bl00dy block blocks blurry bot bpfdoor brute built bureau businesses but bypass byte called campaign campaigns can canada capabilities capture: care cautious center centralized certain change channel charts check child china cisa ck: clean clients cloud cobalt code coming commands comment: common commonly communication companies company company’s company:dragos compilation components components: compromise compromised compromising computer computers configured confirms consists constituting contacts contract control convincing coordinated could countries country:canada country:china country:russia country:south country:us court creating credential credentials custom customers customized cve cyber cybercriminal cyberespionage cybersecurity data date days deconstructing deep defense delaying deploy depth designed destruct detect detected detection:linux/bpfdoor dev developed devices diceloader disable discovered discovery discuss discussed display displaying disrupt dll dns domains downloads dragos dumping duties early education effective effort efforts eight elementary email emailaccounts emails employee enables encrypted encryption end engage engineering enterprise especially event evolves exclusively exe execute execution exercises exfiltrate exfiltration explicit exploit exploitation exploiting exploits exposed extortion facilities facing factor family family:turla fashion fbi february federal federation figure file filenames files filter filtering filters firewall first following force fragmented from fsb fully gained game gang gather general generation glimpse global government greatness group groups guiding hacking hard hardcoded harden has hashes have health help highly hints hop html http identified identify identity identity:center identity:fsb image immediately impact impersonate impersonation implement important include including incoming indicating indications indicators industrial industry:611110 industry:defense industry:education industry:health industry:information industry:manufacturing industry:media industry:realEstate industry:technology infected infections information information: infrastructure initial injection input installation instead instinct instrumental intel intelligence intrusion investigation involves ioc iocs iptabes iteration its joint jurisdictions keep kernel keylogging kit known lancefly lancefly: land latest layer layering lead leak least legitimate level library linux living load loading |
| Tags | Ransomware Malware Tool Vulnerability Threat Cloud |
| Stories | |
| Notes | ★★ |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.