One Article Review
| Source |  Anomali |
|---|---|
| Identifiant | 8340962 |
| Date de publication | 2023-05-31 17:19:00 (vue: 2023-05-31 18:06:41) |
| Titre | Anomali Cyber Watch: Shadow Force cible les serveurs coréens, Volt Typhoon abuse des outils intégrés, Cosmicenergy Tests Electric Distribution Perturbation Anomali Cyber Watch: Shadow Force Targets Korean Servers, Volt Typhoon Abuses Built-in Tools, CosmicEnergy Tests Electric Distribution Disruption |
| Texte |
Les différentes histoires de l'intelligence des menaces dans cette itération de la cyber-montre anomali discutent des sujets suivants: Chine, chargement de DLL, vivant de la terre, technologie opérationnelle, ransomware, et Russie .Les CIO liés à ces histoires sont attachés à Anomali Cyber Watch et peuvent être utilisés pour vérifier vos journaux pour une activité malveillante potentielle.
Figure 1 - Diagrammes de résumé du CIO.Ces graphiques résument les CIO attachés à ce magazine et donnent un aperçu des menaces discutées.
Cyber News et Intelligence des menaces
shadowVictiticoor et Coinmin de Force Group \\
(Publié: 27 mai 2023)
Force Shadow est une menace qui cible les organisations sud-coréennes depuis 2013. Il cible principalement les serveurs Windows.Les chercheurs d'AHNLAB ont analysé l'activité du groupe en 2020-2022.Les activités de force fantôme sont relativement faciles à détecter car les acteurs ont tendance à réutiliser les mêmes noms de fichiers pour leurs logiciels malveillants.Dans le même temps, le groupe a évolué: après mars, ses fichiers dépassent souvent 10 Mo en raison de l'emballage binaire.Les acteurs ont également commencé à introduire divers mineurs de crypto-monnaie et une nouvelle porte dérobée surnommée Viticdoor.
Commentaire de l'analyste: Les organisations doivent garder leurs serveurs à jour et correctement configurés avec la sécurité à l'esprit.Une utilisation et une surchauffe du processeur inhabituellement élevées peuvent être un signe du détournement de ressources malveillantes pour l'exploitation de la crypto-monnaie.Les indicateurs basés sur le réseau et l'hôte associés à la force fantôme sont disponibles dans la plate-forme Anomali et il est conseillé aux clients de les bloquer sur leur infrastructure.
mitre att & amp; ck: [mitre att & amp; ck] t1588.003 - obtenir des capacités:Certificats de signature de code | [mitre att & amp; ck] t1105 - transfert d'outils d'entrée | [mitre att & amp; ck] t1027.002 - fichiers ou informations obscurcies: emballage logiciel | [mitre att & amp; ck] t1569.002: exécution du service | [mitre att & amp; ck] T1059.003 - Commande et script Interpréteur: Windows Command Shell | [mitre att & amp; ck] T1547.001 - Exécution de botter ou de connexion automatique: Registre Run Keys / Startup Folder | [mitre att & amp; ck] t1546.008 - Événement Exécution déclenchée: caractéristiques de l'accessibilité | [mitre att & amp; ck] t1543.003 - créer ou modifier le processus système: service Windows | [mitre att & amp; ck] t1554 - compromis le logiciel client binaire | [mitreAtt & amp; ck] t1078.001 - Comptes valides: comptes par défaut | [mitre att & amp; ck] t1140 - désobfuscate / décode ou infor |
| Notes | ★★ |
| Envoyé | Oui |
| Condensat | viticdoor 001 001: 002 002: 003 004 006 008 104 10mb 2013 2020 2022 2023 27350 3389 47986 60870 Access Account Accounts Accounts: Admin Att Binary Brute Capture Capture: Client Clipboard Code Compromise Credential Data Default Deobfuscate/Decode Discovery Discovery: Dumping: Execution Explained Files Flow Force Hijack Information Input Invalid Keylogging Local Lsass Manipulation Manipulation: Masquerade Masquerading: Memory Mitre Process Remote SMB/Windows Screen Service Services: Shares Signature Signing Software Stored T1003 T1021 T1036 T1056 T1057 T1078 T1082 T1087 T1110 T1113 T1115 T1140 T1219 T1496 T1554 T1565 T1574 Task Technique The Valid Windows abnormal about abused:iec abused:anydesk abused:c++ abused:connectwise abused:impacket abused:incontroller abused:irongate abused:netsh abused:ntdsutil abused:powershell abused:pyinstaller abused:python abused:salsa20 abused:triton abused:w3wp abused:wmic abuses abusing access accessibility achieving acquiring across active activities activity actor actor:blacktail actor:buhti actor:shadow actor:volt actors adapt additional addresses administration advised advisory after against ahnlab all allows also although amp; analyst analyzed anomali application applications are area asdu asia aspera associated att&ck att&ck: attached attackers attacks attributed australia authorities autostart available babuk backdoor based basis beacon been before behind being bihti binary blacktail blend block boot both brute buhti buhti: built but c++ called campaigns can canada capabilities: certificates charts check china clear clients code coinminer collecting color command commands comment: common commonly component: comprehensive compromised configurable configuration configured connects control controls: cosmicenergy cosmicenergy: country:china country:south country:us cpu crafting create creation credential credentials critical crypters cryptocurrency custom customers cve cyber cybersecurity dat data database datadestruction decodes defenders defendersshould defense deletion deobfuscate/decode derivative designed desktop detect detected detection detection:backdoor/win detection:coinminer/win detection:trojan/win developed development devices diagn directory discern discovered discovery discovery: discuss discussed disruption distribution dll domain double dubbed due dumping dumping: earthworm east easy electric emergency enablement encrypted encryptjsp enterprises europe evade event evolved: exceed exchange exe execution execution: exercises exfiltrating exfiltration explained exploit exploiting exploits extended external extortion facing families faspex fast features figure file files flow: folder following force force: found from frp frpclient geographic getting glimpse group group’s group:lazarus groups hacking hacktool has hashes have hiding high hijack hijacking historical host host: ibm iec iis impacket impact implementation includes including incontroller indicator indicators industroyer industry:food industry:government industry:it industry:outsourcing industry:politics infections information information:software infostealer infrastructure ingress initial instrumentation intelligence interacts interface internal international internet interpreter interpreter: introducing investigate ioc iocs irongate issue issued iteration its joint keep keeping keys korea korean land land: lateral latest lazarloader lazarus leaked legitimate libraries lightwork limited line linux living loading loads local lockbit logon logs look lsass magazine main make malicious malware malware:babuk malware:buhti malware:cobalt malware:cosmicenergy malware:earthworm malware:fast malware:frp malware:lightwork malware:lockbit malware:meterpreter malware:mimikatz malware:piehop malware:sliver malware:viticdoor management mandiant manipulation march may meipass” memory message messages middle mimikatz mind miners mining misconfigured mitre mitreatt&ck modify monitor most movement mssql names need netsh network new news non north not ntds ntdsutil obfuscated obje |
| Tags | Ransomware Malware Tool Vulnerability Threat |
| Stories | APT 38 Guam CosmicEnergy |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.