One Article Review
| Source |  Anomali |
|---|---|
| Identifiant | 8342695 |
| Date de publication | 2023-06-06 19:11:00 (vue: 2023-06-06 20:06:33) |
| Titre | Anomali Cyber Watch: LemurLoot sur les transferts Moveit exploités, exploite iOS zéro-clic ciblée Kaspersky, Qakbot transforme les bots en proxys Anomali Cyber Watch: LEMURLOOT on Exploited MOVEit Transfers, Zero-Click iOS Exploit Targeted Kaspersky, Qakbot Turns Bots into Proxies |
| Texte |
Les diverses histoires de l'intelligence de la menace dans cette itération de la cyber montre anomali discutent des sujets suivants: Adware, botnets, fuite de données, obscurcissement, phishing, vulnérabilités zéro-jour, et Exploits zéro cliquez en clic .Les CIO liés à ces histoires sont attachés à Anomali Cyber Watch et peuvent être utilisés pour vérifier vos journaux pour une activité malveillante potentielle.
Figure 1 - Diagrammes de résumé du CIO.Ces graphiques résument les CIO attachés à ce magazine et donnent un aperçu des menaces discutées.
Cyber News et Intelligence des menaces
vulnérabilité de la journée zéro dansTransfert Moveit exploité pour le vol de données
(Publié: 2 juin 2023)
Une vulnérabilité du zéro-day dans le logiciel de transfert de fichiers géré de transfert Moveit (CVE-2023-34362) a été annoncée par Progress Software Corporation le 31 mai 2023. Les chercheurs mandiants ont observé une large exploitation qui avait déjà commencé le 27 mai le 27 mai, 2023. Cette campagne opportuniste a affecté le Canada, l'Allemagne, l'Inde, l'Italie, le Pakistan, les États-Unis et d'autres pays.Les attaquants ont utilisé le shell Web LemurLoot personnalisé se faisant passer pour un composant légitime du transfert Moveit.Il est utilisé pour exfiltrater les données précédemment téléchargées par les utilisateurs de systèmes de transfert Moveit individuels.Cette activité d'acteur est surnommée UNC4857 et elle a une faible similitude de confiance avec l'extorsion de vol de données attribuée à FIN11 via le site de fuite de données de ransomware CL0P.
Commentaire des analystes: L'agence américaine de sécurité de cybersécurité et d'infrastructure a ajouté le CVE-2023-34362 du CVE-2023-34362 à sa liste de vulnérabilités exploitées connues, ordonnant aux agences fédérales américaines de corriger leurs systèmes d'ici le 23 juin 2023.Progress Software Corporation STAPES RESTATIONS, notamment le durcissement, la détection, le nettoyage et l'installation des récentes correctifs de sécurité de transfert Moveit.Les règles YARA et les indicateurs basés sur l'hôte associés à la coque en ligne Lemurloot sont disponibles dans la plate-forme Anomali pour la détection et la référence historique.
mitre att & amp; ck: [mitre att & amp; ck] t1587.003 - développer des capacités:Certificats numériques | [mitre att & amp; ck] t1190 - exploiter la demande publique | [mitre att & amp; ck] t1036 - masquée | [mitre att & amp; ck] t1136 - créer un compte | [mitre att & amp; ck] t1083 - Discovery de dossier et d'annuaire | [mitre att & amp; ck] t1560.001 -Données collectées des archives: Archive via l'utilitaire
Signatures: LEMURLOOT WEBSHELL DLL TARDS - YARA BY BYMandiant | scénarisation de la webshell lemurloot ASP.net - yara par mandiant | Moveit Exploitation - Yara par Florian Roth .
Tags: Malware: LemurLoot, |
| Envoyé | Oui |
| Condensat | 000 001 003 005 006 2007 2019 2022 2023 34362 abused:c# abused:gzip abused:onenote abused:pypi abused:python account acquire active activity actor actor:unc4857 actor:clop actor:fin11 actors added additional address advanced advised adware affected against agencies agency all already although analysis analyst announced anomali another application april apt archive are artificially asp associated att&ck att&ck: attached attachment attack attackers attributed available avast avoid back backconnect backupagent backups banking based been behaviors being bites: black blob block blocking bolster botnet botnets bots browser but byte campaign campaign:operation can canada capabilities: capture: certificates chain change charts check checks chrome cl0p clean click code collected collects combined command comment: communicate company:kaspersky compiled component compromise conceal conducting confidence connected contain containing contents continue control copy corporate corporation countries country:canada country:germany country:india country:italy country:pakistan country:us counts create creation cron cronjob csv custom customers cve cyber cybersecurity cycle data data: day decompiled defenders defenses deleted delivering depending detect detected detection detects develop devices digital directive directory discovered discovery discuss discussed distribution dll dns does domains downloads dubbed email employed employees enable encrypted engineering ensuring escalation evade evasion evidence evolved examined executes execution exfiltrate exploit exploitation exploited exploits extension extensions extensions: extortion facing feasible federal figure file files filetype:dll filetype:html filetype:one fin11 final florian follow following found from fully functionalities functionality gathering germany glimpse google had hardening has have higher hijacker hijacking historical host hosted hostnames hosts html imessage impact implementation import importlib include including index india indicator indicators individual industry:cybersecurity industry:software infect infected infection infections inflated information information: infrastructure infrastructure: ingress initial input inspection install installing installs instead intelligence ioc iocs ios iphones italy iteration its june kaspersky keylogging known labs layer leak legitimate lemurloot leverage lines list listings load logs long look lotus low lumen’s magazine malicious malware malware/ransomware malware:lemurloot malware:pinkslipbot malware:qakbot malware:qbot managed management mandiant mark masquerading may mentioning message methods million mitre module modules monitoring most moveit named net network new news not novel obfuscated obfuscation observed onenote ongoing operation opportunistic ordering organizations other outputs own owner/user package pakistan palant part patch patches payload payloads persistence phishing phishing: pinkslipbot places platform plugin potential potentially presence previously primarily private privilege privileges process progress proper protocol: protocols provide providers proxies proxies: proxy public published: pyc pypi python qakbot qakbot: qbot random ransomware recent recycle redirects reference reinfect reinfected related released reliable remediation remote removal repurposed researchers residential resources result results retool reversinglabs root roth rules runs scheduled script scripts search secure security sensitive september server servers services shell should sign signatures: similarity since single site smuggling social software software:azure software:chrome software:moveit space spamming spearphishing spreads stages standing started starts static steps storage store stories subsequent successful successfully summarize summary supply suspicious system system:ios system:linux system:macos system:mobile system:windows systems t1027 t1033 t1036 t1053 t1056 t1083 t1090 t1105 t1136 t1190 t1204 t1426 t1437 t1486: t1544 t1560 t1566 t1583 t1584 t1587 t1630 tactics tags: takes target targeted task/ |
| Tags | Threat Ransomware Malware Tool Vulnerability |
| Stories | |
| Notes | ★★ |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.