One Article Review
| Source |  Anomali |
|---|---|
| Identifiant | 8338812 |
| Date de publication | 2023-05-23 17:42:00 (vue: 2023-05-23 18:06:26) |
| Titre | Anomali Cyber Watch: CloudWizard cible les deux côtés en Ukraine, le firmware TP-Link TP-Link Camaro Dragon, RA Group Ransomware a copié Babuk Anomali Cyber Watch: CloudWizard Targets Both Sides in Ukraine, Camaro Dragon Trojanized TP-Link Firmware, RA Group Ransomware Copied Babuk |
| Texte |
Les diverses histoires de l'intelligence de la menace dans cette itération de la cyber-montre anomali de discuter des sujets suivants: apt, Chine, fuite de données, infostelleurs, nom de package de package, phishing, et Ukraine .Les CIO liés à ces histoires sont attachés à Anomali Cyber Watch et peuvent être utilisés pour vérifier vos journaux pour une activité malveillante potentielle.
Figure 1 - Diagrammes de résumé du CIO.Ces graphiques résument les CIO attachés à ce magazine et donnent un aperçu des menaces discutées.
Cyber News et Intelligence des menaces
CloudWizard APT: La mauvaise histoire magique continue
(Publié: 19 mai 2023)
Un cadre de logiciel malveillant modulaire nouvellement découvert surnommé CloudWizard est actif depuis 2016. Les chercheurs de Kaspersky ont pu le connecter à des activités de menace persistante avancées précédemment enregistrées: Operation Groundbait et le Prikormka Malware (2008-2016), Operation Bugdrop (2017), PowerMagic (2020-2022) et Common Magic (2022).Semblable à ces campagnes précédentes, CloudWizard cible des individus, des organisations diplomatiques et des organisations de recherche dans les régions de Donetsk, de Lugansk, de Crimée, du centre et de l'ouest de l'Ukraine.Les deux modules principaux de CloudWizard effectuent le chiffrement et le décryptage de toutes les communications et relayez les données cryptées au cloud ou au C2 basé sur le Web.Les modules supplémentaires permettent de prendre des captures d'écran, un enregistrement de microphone, un keylogging et plus encore.
Commentaire des analystes: Auparavant, les chercheurs de l'ESET ont conclu que les acteurs derrière l'opération Groundbait opérent très probablement à partir de l'Ukraine, mais que les chercheurs de Kaspersky ne partaient pas s'ils sont d'accord avec cette attribution.Les guerres et les conflits militaires attirent une cyber-activité supplémentaire.Tous les indicateurs CloudWizard connus sont disponibles dans la plate-forme Anomali et il est conseillé aux clients de les bloquerleur infrastructure.
mitre att & amp; ck: [mitre att & amp; ck] T1027 - Obfuscated Files ou informations | [mitre att & amp; ck] t1140 - désobfuscate / décode ou informations | [mitre att & amp; ck] T1555 - Contaliens de compétenceDes magasins de mot de passe | [mitreAtt & amp; ck] t1056.001 - Capture d'entrée: keylogging | [mitre att & amp; ck] t1573 - canal chiffré
Tags: Actor: CloudWizard, Apt, Target-Country: Ukraine, Target-Region: Donetsk, Target-Region: Lugansk, Target-Region: Crimea, Target-Region: Central Ukraine, Target-Région: Western Ukraine, Campagne: Operation Bugdrop, Campagne: Opération Boulot, logiciels malveillants: Prikormka, Malware: CloudWizard, Malware: PowerMagic, Malware: CommonMagic, Target-Industry: Diplomatic,Industrie cible: recherche, abusé: OneDrive, type de fichier: DLL, type de fichier: VFS, type de fichier: LRC, système cible: Windows
utilisateurs de capcut sous le feu
(Publié: 19 mai 2023)
Plusieurs campagnes ciblent les utilisateurs du logiciel d'édition vidéo Capcut avec des sites Web typosqua |
| Envoyé | Oui |
| Condensat | tp 001 001: 002 005 128 2008 2016 2017 2020 2022 2023 Actor: Amp; Apt Att Capture: Central Channel Cloudwizard Country: Crimea DLL Donetsk Encrypted Execution Flow: Hijack Input Keylogging LOADING Lugansk Mitre Region: Region:western SIDE T1056 T1573 T1574 Tags: Target Ukraine able abused:npm abused:onedrive abused:powershell abused:qtox abused:tor access accounts active actively activities activities: activity actor:alitefeli02 actor:camaro actor:mustang actor:ra actors adding additional addresses advanced advised affected after agree aiming algorithm all allows altered amp; amsi analyst analyzing anomali anonymize another antimalware antivirus any appears application april apt apt: are associated att& att&ck att&ck: attached attack attackers attacks attempts attention attic attract attribution autoit available avoid babuk backdoor backup bad banned based batloader been behavior behaviors behind being between block both brand bugdrop but bypass bytedance c++ camaro camaro: camarodragon campaign campaign:operation campaigns can capcut capture central chain channel charts check china cipher ck: cloud cloudwizard cloudwizard’s code coded combinations commands comment: commonmagic communication communications companies company components compromise compromise: compromises concluded conducted configuration conflicts connect constantly contact containable contains cookie copied countries country:china country:india country:south country:taiwan country:us credentials crimea crypto cryptography curve25519 custom customers cyber cyberattacks cyble data days decrypt decryption defense delivering delivers deobfuscate/decode dependencies detected detecting detection:backdoor detection:horseshell detection:ransomware/win detection:trojan detection:trojan:win32/korplug detection:win detections determined development device:tp devices did diplomatic disable discovered discovery discrepancies discuss discussed donetsk double downloading downloads dragon dubbed earlier easier editing educated email emails employees enable enables encrypted encrypting encryption engine enter eset especially established estream eventually evolving exact executing execution exfiltration expected explained exposed exposing extortion families features figure file files fire firmware first follow following formbook found four framework from fundamental generic geopolitical github glimpse goal goes groundbait group group’s had hard harvesting has have having hiding his historical horse horseshell host how identified identify images impact impacted impersonated:capcut impersonating impersonation implant important include included including increase india indicative indicators individuals industries industry:cryptocurrency industry:diplomatic industry:insurance industry:logistics industry:manufacturing industry:networking industry:pharmaceuticals industry:research industry:software industry:wealth infected infections information infostealer infostealers infrastructure inhibit intelligence interface intrusion ioc iocs iteration jurisdictions kaspersky keep keylogging known korea kryptik latest layer leading leak leaked legitimate likely limiting link links local location login logistics logs lugansk magazine magic main making malicious malware malware:babuk malware:batloader malware:cloudwizard malware:commonmagic malware:formbook malware:horse malware:kryptik malware:offx malware:plugx malware:powermagic malware:prikormka malware:ra malware:redline malware:turkorat malware:zmutzy management manufacturing masquerading masquerading: match may microphone military mistakes mitre modified modify modifying modular modules months more most multi mustang name naming need network networking/it new newly news nodes non not npm obfuscated offx one ongoing open operate operation organizations other over package packages pages panda password patched pay peaked perform persistent personal phishing phishing: picus: pirated place platform plugx point popular potential powermagic powershell previous previously prikormka processes product pro |
| Tags | Ransomware Malware Threat Cloud |
| Stories | |
| Notes | ★★ |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.