One Article Review
| Source |  RiskIQ |
|---|---|
| Identifiant | 8501757 |
| Date de publication | 2024-05-17 16:57:23 (vue: 2024-05-17 17:08:15) |
| Titre | Du document au script: à l'intérieur de la campagne de Darkgate \\ From Document to Script: Insides of DarkGate\\'s Campaign |
| Texte | ## Instantané Les chercheurs de ForcePoint ont identifié une campagne de logiciels malveillants de Darkgate où les victimes ont reçu des atouts PDF imitant les factures de QuickBooks intuit à partir d'un e-mail compromis. Lire la rédaction de Microsoft \\ sur Darkgate Malware [ici] (https://security.microsoft.com/intel-profiles/52fa311203e55e65b161aa012eba65621f91be7c43bacaaad126192697e6b648). ## Description Ces e-mails invitent les utilisateurs à installer Java pour afficher la facture, les conduisant à télécharger par inadvertance un fichier archive Java (JAR) malveillant à partir d'une URL géofisée.L'analyse de la campagne de Forcepoint \\ a révélé une structure sophistiquée dans le fichier JAR, qui abrite des commandes pour télécharger des charges utiles supplémentaires, y compris un script AutOIT.Le script utilise des méthodes d'obscuscations pour masquer ses opérations, exécuter le code de shell et établir des connexions avec des serveurs de commande et de contrôle distants (C2). ## Détections ** Microsoft Defender Antivirus ** Microsoft Defender Antivirus détecte les composants de la menace comme le malware suivant: - [* Trojan: Win32 / Darkgate *] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-description?name=trojan:win32/darkgate) - [* Trojan: win64 / darkgate *] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-description?name=trojan:wiN64 / Darkgate! Mtb & menaceID = -2147076814) - [* Trojan: vbs / darkgate *] (https://www.microsoft.com/en-us/wdsi/Threats/Malware-encycopedia-description? name = Trojan: vbs / darkgate.ba! msr & menaceID = -2147075963) - [* Comportement: win32 / darkgate *] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-description?name=behavior:win32/darkgate.zy& threattid=-2147065333) ** Microsoft Defender pour le point de terminaison ** Les alertes avec le titre suivant dans le centre de sécurité peuvent indiquer une activité de menace sur votre réseau: - * Activité possible de Darkgate * ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace.Vérifiez la carte de recommandations pour l'état de déploiement des atténuations surveillées. - Pilot et déploiement [méthodes d'authentification résistantes au phishing] (https://learn.microsoft.com/en-us/entra/identity/authentication/concept-authentication-methods?ocid=Magicti_TA_Learndoc) pour les utilisateurs. - Implémentation de la résistance à l'authentification d'accès conditionnel] (https://learn.microsoft.com/en-us/entra/identity/authentication/concept-authentication-strengs?ocid=Magicti_ta_learndoc) pour nécessiter une authentification de phishing-résistante pour les employés et les utilisateurs externespour les applications critiques. - [Spécifiez les organisations de fiducie Microsoft 365] (https://learn.microsoft.com/en-us/microsoftteams/trusted-organizations-external-meetings-chat?tabs=organization-settings&mét-365-organisations) pour définir quels domaines externes sont autorisés ou bloqués pour discuter et se rencontrer. - Gardez [Microsoft 365 Audit] (https://learn.microsoft.com/en-us/purview/audit-solutions-overview?ocid=magicti_ta_learndoc) activé afin que les enregistrements d'audit puissent être étudiés si nécessaire. - Comprendre et sélectionner les [meilleurs paramètres d'accès pour la collaboration externe] (https://learn.microsoft.com/en-us/microsoftteams/communicate-with-users-from-other-Organizations?ocid=Magicti_TA_LearnDoc) pour votre organisation. - [Autoriser uniquement les appareils connus] (https://learn.microsoft.com/en-us/entra/identity/conditional-access/howto-conditional-acCess-Policy-Compliant-Device? OCID = magicti_ta_learndoc) qui adhèrent aux bases de base de sécurité recommandées de Microsoft \\.? Ocid = magicti_ta_learndoc) - éduquer les utilisateurs abOut ingénierie sociale et attaques de phishing d'identification, notamment |
| Envoyé | Oui |
| Condensat | **microsoft *behavior:win32/darkgate* *possible *trojan:vbs/darkgate* *trojan:win32/darkgate* *trojan:win64/darkgate* 2024 2147065333 2147075963 2147076814 365 365/anti 365/safe 42aa 8e3f 9e7d108c aad about ac3a access access/howto accessed account accounts activity activity* addition additional adhere administrative administrator alerts all allow allowed analysis anti antivirus antivirus** any app applications apps apps/proxy archive are attacks attempts audit auditing authentication authorize autoit avoid baselines bca892898972 best billing/view blocked campaign can card cautious center chat check click cloud code codes collaboration com/blog/x com/en com/intel command commands communication compliant components compromised conditional configure connecting connections control credential critical darkgate defender define deploy deployment description detections detects device devices document domain domains download educate email emails employees enabled encyclopedia endpoint** enforce engineering entering entities eop establishing exchange excluded executing external file flow following forcepoint form from geofenced help here hide houses https://learn https://security https://support https://www hygiene identified impact impersonating implement inadvertently inbound including indicate information ins inside insides install installation intro intuit investigated invoice invoices its jar java keep known labs/phishing leading learndoc learndoc#specify least level limit links local locations lures mail maintain malicious malware malware: mark meet meetings messages methods me” mfa microsoft mitigations monitored msr&threatid= mtb&threatid= name=behavior:win32/darkgate name=trojan:vbs/darkgate name=trojan:win32/darkgate name=trojan:win64/darkgate network: never obfuscation occurs ocid=magicti office online only operations organization organizations other over overview payloads pdf phishing pilot policy practice principle privilege privileges profiles/52fa311203e55e65b161aa012eba65621f91be7c43bacaaad126192697e6b648 prompt protect protection provides quickbooks rats read recheck recommendations recommended recommends records reduce references refraining regular remote remove requests require required researchers resistant restricting revealed review rewriting safe scanning school script script: security select sent servers service settings settings&ocid=magicti share sharepoint shell sign snapshot social solutions sophisticated spam specify status strength strengths strictly structure such support suspicious tabs=organization tagging teams them these threat time times title trusted understand unmanaged unsolicited unwanted url urls us/account us/defender us/entra/identity/authentication/concept us/entra/identity/conditional us/mem/intune/protect/security us/microsoftteams/communicate us/microsoftteams/trusted us/purview/audit us/wdsi/threats/malware use used users utilizes verification verify victims view wasn what where which wide within work write your zy&threatid= “this |
| Tags | Malware Threat Cloud |
| Stories | |
| Notes | ★★ |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.