One Article Review
| Source |  RiskIQ |
|---|---|
| Identifiant | 8510885 |
| Date de publication | 2024-05-31 22:14:46 (vue: 2024-05-31 23:08:18) |
| Titre | Analysis of APT Attack Cases Using Dora RAT Against Korean Companies (Andariel Group) |
| Texte | #### Géolocations ciblées - Corée #### Industries ciblées - Éducation - Fabrication critique ## Instantané Ahnlab Security Intelligence Center (ASEC) a identifié des attaques par Andariel Group, suivis par Microsof une variété de logiciels malveillants pour cibler l'éducation sud-coréenneInstitutions et organisations de construction et de fabrication. Lire Microsoft \'s [écriture sur Onyx Sleet] (https://security.microsoft.com/intel-profiles/03ced82eecb35bdb459c47b7821b9b055d1dfa00b56dc1b06f59583bad8833c0). ## Description Les attaques analysées par l'ASEC ont impliqué plusieurs types de logiciels malveillants, tels que les keyloggers, les infostelleurs, les outils de proxy et les chevaux de Troie à distance à distance (rats). Nestdoor est un rat qui est utilisé depuis mai 2022. Il permet aux attaquants d'exécuter des commandes, de télécharger et de télécharger des fichiers et d'effectuer des opérations de shell inverse.Nestdoor a été utilisé dans diverses attaques, exploitant souvent des vulnérabilités comme Log4Shell.Dans un cas, les logiciels malveillants étaient déguisés en un installateur OpenVPN, qui, lors de l'exécution, a activé Nestdoor. Dora Rat est une souche malveillante personnalisée identifiée dans ces attaques.Développé par Andariel Group dans le langage Go, Dora Rat fournit des fonctionnalités de base telles que le transfert de shell et de fichiers inversé.Il peut soit s'exécuter en tant qu'exécutable autonome, soit être injecté dans le processus Explorer.exe.Certaines versions de Dora Rat ont été signées avec un certificat légitime, augmentant leur légitimité perçue. Les keyloggers et les journalistes du presse-papiers ont été déployés pour capturer des informations sensibles à partir de systèmes infectés, stockant les données capturées dans le répertoire "% temp%".De plus, divers outils proxy ont été utilisés pour l'exfiltration des données.Ces outils comprenaient des proxys développés sur mesure et des proxys de Socks5 open source.Un outil de proxy a partagé des similitudes avec ceux utilisés par le groupe Lazarus, suivi par Micross comme [Diamond Sleet] (https://security.microsoft.com/intel-profiles/b982c8daf198d93a2ff52b92b65c6284243aa6af91dda5edd1fe8ec5365918c5), ininte ## Détections / requêtes de chasse ** Microsoft Defender pour le point de terminaison ** Les alertes avec le titre suivant dans le centre de sécurité peuvent indiquer une activité de menace sur votre réseau: - * groupe d'activités de grésil Onyx * ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace.Vérifiez la carte de recommandations pour l'état de déploiement des atténuations surveillées. - Utiliser [Microsoft Defender Vulnerabilité Management (MDVM] (https: //learn.microsoft.com/en-us/microsoft-365/security/defender-vulnerability-management/defender-vulnerabilité-management?view=o365-worldwide)) pour aider à identifier le potAssets entialement vulnérables Les acteurs de Sleet Onyx pourraient exploiter pour prendre pied dans le réseau. - Utiliser la gestion de l'exposition dans [Microsoft Defender XDR] (https://learn.microsoft.com/en-us/microsoft-365/security/defender-endpoint/microsoft-defender-endpoint?view=O365-Worldwide) pour identifier)Les actifs potentiellement vulnérables et remédier aux vulnérabilités potentielles de sécurité Les acteurs de goûts d'Onyx pourraient exploiter pour prendre pied dans le réseau. - Les clients de Microsoft Defender peuvent activer [Règles de réduction de la surface d'attaque] (https://learn.microsoft.com/en-us/microsoft-365/security/defender-endpoint/attack-surface-reduction?view=o365-worldwide&ocid = magicti_ta_learndoc) pour empêcher les techniques d'attaque courantes: - [Block] (https://learn.microsoft.com/en-us/microsoft-365/security/defender-endpoint/attack-surface-redulation-Rules-reference?view=o365-wor |
| Envoyé | Oui |
| Condensat | #### **microsoft *onyx 2022 2024 365/security/defender 3focid=magicti access accessed action activated activity actor actors additionally address against age ahnlab alert alerts allow allows analysis analyzed andariel antivirus apt are artifacts asec assets attack attackers attacks automated based basic been behind block breach breaches can capture captured card cases center certificate check clipboard cloud code com/en com/en/66088/ com/intel commands common companies complete configure construction control could cover credentials criterion critical custom customers data defend defender delivered deployed deployment description detect detected detection detections/hunting developed device diamond directory disguised does dora download edr education educational either enable endpoint endpoint** endpoint/attack endpoint/automated endpoint/configure endpoint/edr endpoint/enable endpoint/microsoft equivalent even evolving exe executable execute execution exfiltration exploit exploiting explorer exposure file files first following foothold from full functionalities gain geolocations group group* has help https://asec https://learn https://security identified identify immediate immediately impact impacted included increasing indicate industries infected information infostealers injected installer instance institutions intelligence investigation investigations involved isolate keyloggers korea korean language launch launched lazarus learndoc learning legitimacy legitimate like likely list log4shell loggers machine majority malicious malware management management/defender manufacturing may mdvm meet microsoft mimicrosoft mitigations mode monitored nestdoor network network: new non not obfuscated often one onyx open openvpn operations organizations passive perceived perform post potential potentially prevalence prevent previous process product profiles/03ced82eecb35bdb459c47b7821b9b055d1dfa00b56dc1b06f59583bad8833c0 profiles/b982c8daf198d93a2ff52b92b65c6284243aa6af91dda5edd1fe8ec5365918c5 protection protections provides proxies proxy queries rapidly rat rats read recommendations recommends reduce reducing reduction reference references remediate remediation remote reset resolve response reverse rules run running scenes scripts security sensitive several shared shell sight signed significantly similarities since sleet snapshot socks5 some source south standalone status storing strain such surface systems take taken target targeted techniques techniques: temp these those threat title tokens tool tools tracked transfer trojans trusted turn types unknown unless upload upon us/microsoft use used using utilize variants variety various versions view=o365 volume vulnerabilities vulnerability vulnerable when which windows works worldwide worldwide&block worldwide&ocid=magicti write xdr your |
| Tags | Malware Tool Vulnerability Threat |
| Stories | APT 38 |
| Notes | ★★ |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.