One Article Review
| Source |  ProofPoint |
|---|---|
| Identifiant | 8467970 |
| Date de publication | 2024-03-21 07:53:21 (vue: 2024-03-21 16:08:46) |
| Titre | Mémoire de sécurité: TA450 utilise des liens intégrés dans les pièces jointes PDF dans la dernière campagne Security Brief: TA450 Uses Embedded Links in PDF Attachments in Latest Campaign |
| Texte | Ce qui s'est passé Les chercheurs de ProofPoint ont récemment observé une nouvelle activité par l'acteur de menace aligné par l'Iran TA450 (également connu sous le nom de Muddywater, Mango Sandstorm et Static Kitten), dans lequel le groupe a utilisé un leurre d'ingénierie social lié aux salaires pour cibler les employés israéliens dans de grandes organisations multinationales.TA450 est connu pour cibler les entités israéliennes, en particulier depuis au moins octobre 2023 avec le début de la guerre des Israël-Hamas et cela se poursuit qui se concentre sur les sociétés mondiales de fabrication, de technologie et de sécurité de l'information. Dans la campagne de phishing, qui a commencé le 7 mars et s'est poursuivie tout au long de la semaine du 11 mars 2024, TA450 a envoyé des e-mails avec des pièces jointes PDF qui contenaient des liens malveillants.Bien que cette méthode ne soit pas étrangère à TA450, l'acteur de menace s'est récemment appuyé sur des liens malveillants directement dans les corps de messagerie électronique au lieu d'ajouter cette étape supplémentaire.Les chercheurs de ProofPoint ont observé que les mêmes cibles reçoivent plusieurs e-mails de phishing avec des pièces jointes PDF qui avaient des liens intégrés légèrement différents.Les liens étaient vers une variété de sites de partage de fichiers, notamment EGnyte, OneHub, Sync et Terabox.Les e-mails ont également utilisé un compte .il d'expéditeur probable compromis, ce qui est conforme à l'activité récente de cette menace. Comme le montre les figures 1 et 2, si une cible ouvrait la pièce jointe et cliquait sur le lien inclus, il conduirait au téléchargement d'une archive zip contenant un MSI compressé qui installerait finalement AteraAgent, logiciel d'administration à distance connue pour être abusépar TA450. Figure 1. Attachement PDF ouvert avec un lien malveillant (Traduction machine: Titre du document: Signon de paie; Body of PDF: Bonjour, à partir de maintenant, recevez votre bordereau de paie via le logiciel suivant). Figure 2. Zip Archive via OneHub qui mène au téléchargement du logiciel d'administration à distance. Attribution Les chercheurs de ProofPoint attribuent cette campagne à TA450 sur la base de tactiques, techniques et procédures connues de TA450, ciblage de la campagne et analyse de logiciels malveillants.En janvier 2022, les États-Unis ont cyber-commandant ce groupe au ministère de l'Iran \\ du renseignement et de la sécurité. Pourquoi est-ce important Cette activité est remarquable pour plusieurs raisons, notamment qu'elle marque un tour des tactiques de Ta450 \\.Bien que cette campagne ne soit pas la première instance observée de TA450 en utilisant des pièces jointes avec des liens malveillants dans le cadre de la chaîne d'attaque de l'acteur de menace, il est la première fois que les chercheurs ont observé que TA450 tentative de livrer une URL malveillante dans une attachement PDF plutôt plutôtque lier directement le fichier dans un e-mail.De plus, cette campagne est la première fois que Proofpoint a observé TA450 à l'aide d'un compte de messagerie d'expéditeur qui correspond au contenu de leurre.Par exemple, cette campagne a utilisé un compte de messagerie de salaire [@] co [.] Il, qui est aligné sur les différentes lignes d'objet sur le thème de la rémunération. Enfin, cette activité continue la tendance de Ta450 \\ de tirer parti des leurres de langue hébraïque et de compromis compromis. Signatures de menace émergente (ET) Sid Nom de règle 2051743 ET ouvre la requête DNS au domaine de partage de fichiers (EGNYTE .com) 2051745 ET Open 2051745 - DNS Query to File Share Domain (Sync .Com) 2051749 ET ouvre la requête DNS au domaine de partage de fichiers (Terabox .com) 2051750 ET Open Domaine de partage de fichiers observé (Terabox .com dans TLS SNI) 2051746 ET Open Domaine de partage de fichiers observé (EGNYTE .com dans TLS SNI) 2051748 ET Open Domaine de partage de fichiers observé (Sync .com d |
| Envoyé | Oui |
| Condensat | 02/2024 2022 2023 2024 2051743 2051745 2051745 2051746 2051748 2051749 2051750 abused account accounts activity actor adding additionally administration aligned alignment alphanumericidentifier also analysis archive ateraagent attachment attachments attack attempt attribute attribution based belonging bodies body brief: campaign cc4cc20b558096855c5d492f7a79b160a809355798be2b824525c98964450492 chain clicked com com/ com/files/ com/s/ command attributed companies compressed compromise compromised consistent contained containing content continued continues cyber dee6494e69c6e7289cf3f332e2867662958fa82f819615597e88c16c967a25a9 deliver different directly dns document domain download e89f48a7351c01cbf2f8e31c65a67f76a5ead689bb11e9d4918090a165d4425f egnyte email emails embedded emerging employees engineering entities example extra figure figures file finally first focus following footprint foreign from global group had hamas happened has have hebrew heightened hello hxxp://ws hxxps://ln5 hxxps://salary hxxps://terabox il included including indicator indicators individuals information install instance instead intelligence iocs iran israel israeli january kitten known language large latest lead leads least leveraging likely lines link linking links lure lures machine maintaining malicious malware mango manufacturing march marks matches matters message method ministry month more msi muddywater multinational multiple name new not notable now observed october onehub open opened organizations part particularly password pay payslip pdf pdf: pdf phishing procedures proofpoint query rather reasons receive recent recently related relied remote researchers risk rule salary same sandstorm security seen sender sender sent several sha256 sharing sid signatures since sites slightly slip slip; sni social software start started states static step subject subject sync ta450 tactics target targeting targets techniques technology terabox than themed threat through time title: title tls translation: trend turn type ultimately united url url used uses using variety various war week what which why would your zip השכר לחודש לתלוש סיסמה שכר תלוש תלושי |
| Tags | Malware Threat Prediction |
| Stories | |
| Notes | ★★★ |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.