One Article Review
| Source |  ProofPoint |
|---|---|
| Identifiant | 8411685 |
| Date de publication | 2023-11-14 05:00:49 (vue: 2023-11-14 10:09:46) |
| Titre | TA402 utilise des chaînes d'infection Ironwind complexes pour cibler les entités gouvernementales à base de Moyen-Orient TA402 Uses Complex IronWind Infection Chains to Target Middle East-Based Government Entities |
| Texte | Points clés à retenir De juillet à octobre 2023, des chercheurs de PROVELPOINT ont observé que TA402 s'engage dans des campagnes de phishing qui ont livré un nouveau téléchargeur d'accès initial surnommé Ironwind.Le téléchargeur a été suivi par des étapes supplémentaires qui consistaient à ShellCode téléchargé. Au cours de la même période, TA402 a ajusté ses méthodes de livraison, passant de l'utilisation de liens Dropbox à l'utilisation des pièces jointes XLL et RAR, susceptibles d'échapper aux efforts de détection. Cet acteur de menace s'est toujours engagé dans une activité extrêmement ciblée, poursuivant moins de cinq organisations avec une seule campagne.Ils ont également maintenu un fort accent sur les entités gouvernementales basées au Moyen-Orient et en Afrique du Nord. Proofpoint a suivi TA402 depuis 2020. Nos chercheurs évaluent l'acteur de menace est un groupe de menace persistante avancée (APT) du Moyen-Orient qui a historiquement opéré dans l'intérêt des territoires palestiniens et chevauche des rapports publics sur MoleratS, Gaza Cybergang, Frankenstein et Wirte. Aperçu À la mi-2023, les chercheurs de la preuve ont d'abord identifié TA402 (Molerats, Gaza CyberActivité Gang, Frankenstein, Wirte) Utilisant une chaîne d'infection labyrinthique pour cibler les gouvernements du Moyen-Orient avec un nouveau point de téléchargeur d'accès initial surnommé Ironwind.De juillet à octobre 2023, TA402 a utilisé trois variations de cette infection des liens de chair de chaîne, des pièces jointes de fichiers XLL et des pièces jointes RAR-avec chaque variante conduisant constamment au téléchargement d'une DLL contenant les logiciels malveillants multifonctionnels.Dans ces campagnes, TA402 a également été éloigné de son utilisation de services cloud comme l'API Dropbox, que les chercheurs à preuves ont observés dans l'activité de 2021 et 2022, à l'utilisation d'infrastructures contrôlées par acteur pour la communication C2. Fin octobre 2023, les chercheurs de PEOTPOINT n'avaient observé aucun changement dans le ciblage par TA402, un groupe APT qui a historiquement opéré dans l'intérêt des territoires palestiniens, ni identifié aucune indication d'un mandat modifié malgré le conflit actuel dans la région.Il reste possible que cet acteur de menace redirige ses ressources à mesure que les événements continuent de se dérouler. Détails de la campagne et Ironwind Activité de juillet 2023: En juillet 2023, des chercheurs de Pointpoint ont observé le premier de la nouvelle chaîne d'infection plus compliquée de TA402 \\ par rapport à l'activité de la campagne antérieure de 2021 et 2022 (figures 1 et 2). Figure 1. Chaîne d'infection TA402 utilisée de novembre 2021 à janvier 2022. Figure 2. Chaîne d'infection TA402 utilisée dans la campagne de juillet 2023. TA402 s'est engagé dans une campagne de phishing en utilisant un compte de messagerie compromis du ministère des Affaires étrangères pour cibler les entités gouvernementales du Moyen-Orient.Les e-mails ont utilisé un leurre d'ingénierie sociale sur le thème économique ("برنامج التعاون الإقتصاDE avec les pays du Golfe Cooperation Council 2023-2024ies of the Gulf Cooperation Council 2023-2024 "]) Pour livrer un lien drobox qui a téléchargé un fichier Microsoft Powerpoint Microsoft Powerpoint (PPAM)..exe, et GathernetworkInfo.vbs. timeout.exe a été utilisé pour la localisation de Sideload Ironwind.Au moment de l'analyse en août 2023. Les chercheurs de points de preuve ont observé TA402 en train de tirer parti de Dropbox pour la livraison de logiciels malveillants depuis au moins décembre 2021. Après avoir reçu la demande HTTP GET, le C2 a répondu avec Shellcode qui représentait la troisième étape de la chaîne d'infection.Pendant l'analyse de Proofpoint \\, le shellcode a utilisé des chargeurs .net réfléchissants pour mener des requêtes WMI.Le Shellcode a également servi de chargeur polyvalent, téléchargeant l'exécutable .NET de |
| Envoyé | Oui |
| Condensat | $pdb1 $pdb2 $pdb3 $pdb4 101 110 110th 189 191 19f452239dadcd7544f05d26199cb482c1f6ae5486309BDE1526174E926146A 2020 2021 2022 2023 2024 2024ies 2049153 2049154 2049155 2049158 2049159 2049160 2049161 2049162 2049163 2049164 2049165 26cB6055be1ee03f87d040c84c0a7cacb245b4182445e3ee47ed6e073ECA47 27” 3B2A6c7a39f49E790286185f2D078E17844df1349B713f278ECEF1DEFB4D6B04 3d80EA70B0c00D12F2BA2C7B1541f7D0F80005A38a173E6962B24f01D4A2DE 4018B462fcf1B0452ECD88Ab64DDC5647d1857481F5FA915070f5F1858115 4B0a48d698240504c4f6275DC735c8162E57f92224fb1d2d6393890B82A4206 5d773e734290b93649a41ccda63772560B4fa25BA715B17DF7B9F18883679160 6ab5a0B7080E783BBA9B3EC53889E82CA4F2D304E67BD139aa267c22C281A368 7BDDEDE9708118f70B063da526640a4132718d3d638505Aafce5a20D404B2761 81FC4A5B1D22EFBA961BAAA695AA53201397505E2A66024743ed58da7bff4a97f 883e035f893483B921D054B3fa014CEF90D90B10DCba7d342def8Be2E98CE3C 9b2a16cbe5af12b486d31b68ef397d6bc48b2736e6b388ad8895b588f1831f47 A4BF96aee628EFBB4C4FE0CFEE7B32D497E45408E253FB8E1199454E5C65A3 AC227dd5c97a36f54E4fa02df4E4C0339B513E4f8049616e2a815a108E34552f ACTIVITY Activity AdditionLly Agent App Author C98DC0B930EA67992921D9F0848713deaaaaa5BBA8B4BA2EFD0B00B00595DD9ed28C CBB89AAC5A2C93a02305846F9353B013E6703813D6BAFF8EB8B89386AAF3 CNC Checkin Com Conflict Continues Cooperation Council D8CDE28cf2a584dddf6e3bc26c80f6bc3737e426B4BA747d49D1549999FBC1 DNS Delivered Domain Drobox Entities File Get Gulf HealthCAption Inclusive Instead Lookup Lure Machine Malicious Malware Meta: Net Observed Only PDB PPAM Persons Phish Post ProofPointinc Purposes RespOONSE Rule SNI Sha256 Signatures TA402 TLS Ta402 The Theconomics Translation USer Using Via Win32/TA402 Yara access account accounts activity activity: actor actors add additional additionally adjust adjusted adjustments advanced affairs africa african after again almost also altered analysis analysis anti any api apt arabic ascii aspect assess attached attachment attachments attack attributed attribution attribution august authentication authority away bar base64 based blog broken but bypassed by campaign campaigns certainly chain chains changes check client cloud cluster code collection com communication compared complex compromise compromised conclusion condition: conduct confidence conflict conomy consisted consistent consistently contained containing continue continued continues contributed controlled convoluted cooperation could council countries creating current currently custom cyber cybergang date december decoy deliver delivered delivery description designated desktop despite details detection development did difficult direction disrupted divided dll document documents domain domains download downloaded downloader downloading drobox dropbox dropped dropper dubbed during e2Ba2d3d2c1f0b5143d1cd291f6a09abe1c53e570800d8ae43622426c1C43343c each east eastern economic economy efforts elaborate email emails employs encoded end endpoints engage engaged engineering enough entities espionage evade evasion even events exe executable exfiltrate exploitation extremely failed fifth figure figures file files: financing find finds firefox/3 first five focus focused followed following follows: foreign fourth frankenstein from function further gathernetworkinfo gaza gecko/ geofencing geofencing get gets going government governments group gulf had hamas has have historical historically hosted hosting http https hunting identified include including inclusive independently indicating indications indicators indicator infection information infrastructure initial innovative inspector instead intelligence interest interests internal investigations iocs ironwind ironwind: ironwind israel its itself january json july kalv key kil known labyrinthine last late laundering leading least less leverage leveraging library like likely link links load loader loaders located lure lures macro maintained make making malicious malware mandate may methods microsoft mid middle ministry moderate molerats money more moving mozilla/5 multifunctional multiple multipurpose name net new newia newt |
| Tags | Malware Threat Cloud |
| Stories | |
| Notes | ★★ |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.