One Article Review
| Source |  RiskIQ |
|---|---|
| Identifiant | 8494794 |
| Date de publication | 2024-05-06 19:54:46 (vue: 2024-05-06 20:07:58) |
| Titre | Uncharmed: les opérations APT42 de l'Iran démêle Uncharmed: Untangling Iran\\'s APT42 Operations |
| Texte | #### Géolocations ciblées - Moyen-Orient - Amérique du Nord - Europe de l'Ouest #### Industries ciblées - agences et services gouvernementaux - Organisation non gouvernementale ## Instantané Mandiant discute des activités de l'APT42, acteur iranien de cyber-espionnage parrainé par l'État, ciblant les ONG occidentales et moyen-orientales, les organisations médiatiques, les universités, les services juridiques et les militants. ** Les activités de l'APT42 se chevauchent avec le suivi de Microsoft \\ de Mint Sandstorm.[En savoir plus ABOut Mint Sandstorm ici.] (https://sip.security.microsoft.com/intel-profiles/05c5c1b864581c264d955df783455ecadf9b98471e408f32947544178e7bd0e3) ** ## descript APT42 utilise des programmes d'ingénierie sociale améliorés pour gagner en confiance et fournir des invitations aux conférences ou aux documents légitimes, leur permettant de récolter des informations d'identification et d'obtenir un accès initial aux environnements cloud.Les opérations récentes impliquent l'utilisation de délais personnalisés tels que NiceCurl et Tamecat, livrés via le phishing de lance. Les opérations cloud d'APT42 \\ impliquent une exfiltration d'exfiltration secrète des environnements Microsoft 365 victimes, en utilisant des schémas d'ingénierie sociale améliorés pour obtenir un accès initial et contourner l'authentification multi-facteurs.L'acteur de menace se précipita comme des ONG légitimes, se fait passer pour le personnel de haut rang et déploie du matériel de leurre pour gagner la confiance de la victime.APT42 déploie également diverses méthodes pour contourner l'authentification multi-facteurs, notamment en utilisant de fausses pages duo et en servant des sites de phishing pour capturer les jetons MFA. APT42 déploie des logiciels malveillants personnalisés tels que Tamecat et NiceCurl pour cibler les ONG, le gouvernement ou les organisations intergouvernementales gantant les problèmes liés à l'Iran et au Moyen-Orient.Ces délais offrent aux opérateurs APT42 un accès initial aux cibles et à une interface de code-Exécution flexible. ## Recommandations Les techniques utilisées par les sous-ensembles de la tempête de menthe peuvent être atténuées à travers les actions suivantes: ### durcissant les actifs orientés Internet et compréhension de votre périmètre Les organisations doivent identifier et sécuriser les systèmes de périmètre que les attaquants pourraient utiliser pour accéder au réseau.Les interfaces de balayage publique, telles que Microsoft Defender External Attack Surface Management, peuvent être utilisées pour améliorer les données. Les vulnérabilités observées dans les campagnes récentes attribuées aux sous-groupes de sable à la menthe que les défenseurs peuvent identifier et atténuer: inclure: - IBM ASPERA FASPEX affecté par CVE-2022-47986: Les organisations peuvent corriger CVE-2022-47986 en mettant à niveau vers FASPEX 4.4.2 Niveau 2 du patch 2 ou en utilisant FasPex 5.x qui ne contient pas cette vulnérabilité. - Zoho ManageEngine affecté par CVE-2022-47966: les organisations utilisant des produits Zoho Manage Engine vulnérables au CVE-2022-47966 devraient télécharger et appliquer des mises à niveau de l'avis officiel dès que possible.Le correctif de cette vulnérabilité est utile au-delà de cette campagne spécifique, car plusieurs adversaires exploitent le CVE-2022-47966 pour l'accès initial. - Apache Log4j2 (aka log4shell) (CVE-2021-44228 et CVE-2021-45046): [Microsoft \\ S GOIDANCE pour les organisations utilisant des applications vulnérables à l'exploitation de log4.com / en-us / security / blog / 2021/12/11 / guidance-for-préventing-détectant et chasseur-pour-CVE-2021-44228-LOG4J-2-Exploitation /) Cette direction est utile pour toutOrganisation avec des applications vulnérables et utile au-delà de cette campagne spécifique, car plusieurs adversaires exploitent Log4Shell pour obten |
| Envoyé | Oui |
| Condensat | ### #### **apt42 2021 2022 365 44228 44228 and cve 45046 47966 47966: 47986 47986: about academia access actions: activists activities actor additionally adversaries adversaries exploit advisory as affected against age agencies all also america antivirus any apache applications apply apt42 are aspera assets as microsoft as several attack attackers attributed authentication backdoors behavior beyond block bypass campaign campaigns can capability capture changed cloud code com/blog/topics/threat com/en com/intel commands conferences configured contain content covertly creating creations credentials criterion custom customers cve cyber data decoy default defender defenders deliver delivered deploys description detecting discover discussed discusses documents does download duo east eastern edr employs enabling endpoint engineering enhanced environments espionage europe executable execution exfiltrating exploitation exploitation/ exploiting exposure external facing factor fake faspex files flexible following found here from further gain geolocations google government guidance handling harden hardening harvest here high https://cloud https://sip https://www hunting ibm identify impersonates improve include: including industries initial intelligence/untangling interface interfaces intergovernmental internet invitations involve iran iranian issues just legal legitimate level like list log4j log4j2 log4shell macros malware manageengine management mandiant masquerades material media meet methods mfa microsoft middle might minimizing mint misconfigurations mitigate mitigated more multi must network ngos nicecurl non north not observed obtain offer office operations operators organization organizational organizations originating overlap pages patch patching perimeter personnel phishing possible prevalence preventing prioritize process products profiles/05c5c1b864581c264d955df783455ecadf9b98471e408f32947544178e7bd0e3 protection provide psexec public ranking read recent recommendations reduce reducing reduction references related remediate report rules running sandstorm scanning schemes secure security services serving several should significant sites snapshot social solution soon spear specific sponsored state subgroups subsets such surface systems tamecat target targeted targeting targets techniques them these the official those threat through tokens tracking tradecraft trust trusted turn uncharmed: understanding unless untangling upgrades upgrading us/security/blog/2021/12/11/guidance use used useful using utilizing various victim vulnerabilities vulnerability vulnerable western which wmi your zoho |
| Tags | Malware Vulnerability Threat Patching Cloud |
| Stories | APT 42 |
| Notes | ★★★ |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.