One Article Review
| Source |  RiskIQ |
|---|---|
| Identifiant | 8533748 |
| Date de publication | 2024-07-09 19:47:09 (vue: 2024-07-09 20:07:53) |
| Titre | République de Chine du peuple (PRC) Ministère de sécurité d'État APT40 Tradecraft en action People\\'s Republic of China (PRC) Ministry of State Security APT40 Tradecraft in Action |
| Texte | #### Géolocations ciblées - États-Unis - Australie - Japon - Corée - Nouvelle-Zélande - Allemagne - Royaume-Uni ## Instantané La Cybersecurity and Infrsatructure Security Agency (CISA) a publié un avis rédigé par un certain nombre d'organisations de cybersécurité d'État sur APT40, suivis par Microsoft comme [Gingham Typhoon] (https://security.microsoft.com C04BA1F56F4F603268AAB6). ## Description APT40, également connu sous le nom de Kryptonite Panda, Leviathan et Bronze Mohawk, mène des cyber opérations pour la République de Chine du peuple (PRC) du ministère de la Sécurité des États (MSS).Le groupe a une histoire de ciblage des organisations dans divers pays, dont les États-Unis et l'Australie. APT40 mène régulièrement la reconnaissance contre les réseaux d'intérêt, notamment ceux en Allemagne, en Nouvelle-Zélande, en Corée du Sud, au Japon, en Australie, au Royaume-Uni et aux États-Unis.Cela leur permet d'identifier les appareils vulnérables, de fin de vie ou non maintenus sur les réseaux et de déployer rapidement des exploits.APT40 est apte à exploiter les vulnérabilités dès 2017. De plus, l'APT40 est en mesure de profiter rapidement des vulnérabilités nouvellement publiques dans des logiciels communs tels que Log4J ([CVE-2021-44228] (https://security.microsoft.com/Intel-Explorer / Cves / CVE-2021-44228 /)), Atlassian Confluence ([CVE-2021-26084] (https://security.microsoft.com/intel-profiles/cve-2021-26084), et MicrosoftExchange ([CVE-2021-31207] (https: //sip.security.microsoft.com/intel-profiles/cve-2021-31207?tid=72f988bf-86f1-41af-91ab-2d7cd011db47), [cve-2021-34523] (https://security.microsoft.com/intel-expleror/cves://security.microsoft.com/intel-expleror/cves://security.microsoft.com/intel-expleror/cves://security.microsoft.com/intel-expleror/cves:/ CVE-2021-34523 /), [CVE-2021-34473] (https: // security.microsoft.com/intel-profiles/cve-2021-34473)). La CISA et les autres agences de déclaration évaluent que l'APT40 continuera d'exploiter les vulnérabilités nouvellement découvertes dans les heures ou les jours suivant la libération publique. APT40 exploite généralement une infrastructure vulnérable et orientée vers le public plutôt que d'employer des méthodes qui nécessitent une interaction victime, telles que les campagnes de phishing, en outre, le groupe utilise généralement des coquilles Web afin d'établir de la persistance. ## Analyse Microsoft L'acteur Microsoft suit comme [Typhoon Gingham] (https://security.microsoft.com/intel-profiles/a2fc1302354083f4e693158effdbc17987818a2433c04ba1f56f4f603268aab6) est un groupe de chinois à la base de Chine.Le Typhoon Gingham est connu pour cibler principalement les industries maritimes et de la santé, mais a également été observée ciblant un certain nombre de secteurs verticaux de l'industrie, notamment le monde universitaire, le gouvernement, l'aérospatiale / l'aviation, la base industrielle de la défense, la fabrication et le transport.La plupart des organisations ciblées par Typhoon enrichies se trouvent dans la région de la mer de Chine méridionale, mais le groupe cible également les organisations aux États-Unis, en Europe, au Moyen-Orient et en Asie du Sud-Est.Gingham Typoon se concentre généralement sur l'espionnage et le vol de données.Le groupe utilise des logiciels malveillants personnalisés (Moktik, Nuveridap et Fusionblaze), Derusbi et des outils disponibles dans le commerce tels que Cobalt Strike. ## Détections / requêtes de chasse Microsoft Defender Antivirus détecte les composants de la menace comme le malware suivant: [Backdoor: JS / MOKTIK] (https://www.microsoft.com/en-us/wdsi/Thereats/Malware-encyClopedia-Description?name=bacKDOOR: JS / MOKTIK & AMP; NOFENID = -2147086029) [HackTool: Win32 / Nuveridap] (https://www.microsoft.com/en-us/wdsi/atherets/malWare-SencyClopedia-Description? Name = HackTool: Win32 / Nuveridap & menaceID = -2147276557) [Trojan |
| Notes | ★★★ |
| Envoyé | Oui |
| Condensat | #### ##### 0537 190a 2017 2021 2024 2147057619 2147086029 2147173487 2147241898 2147241899 2147276557 26084 2d7cd011db47 2fa 31207 34473 34523 34523/ 365/security/defender 41af 44228 44228/ 86f1 91ab a&threatid= ability able about academia accepting access accessed accounts action activity actor additionally adept admin administration administrator administrators admins advantage advisories/aa24 advisory aerospace/aviation against agencies agency all allowing allows also always analysis antivirus antivirus/enable apply apps apt40 are artificial asia assess atlassian australia authentication authentication#moving authenticator authored automatic available avoid away b&threatid= backdoor:js/moktik backup base based been behavior behavior:win32/suspexchgsession block blog/proxyshell both bronze but campaigns can capabilities card check china cisa clicking cloud cobalt code com/azure/active com/en com/intel com/microsoft com/security/business/threat com/t5/exchange com/windows/security/threat commercially common components computers conducts configure confluence continue continuous countries credential custom customers cve cyber cybersecurity data date days defender defense delivered deploy deployment derusbi description detections/hunting detects dev devices dha&threatid= directory/fundamentals/concept directory/identity disable discovered discovery does domain due early east educated employing enabled encyclopedia end endpoint endpoint/tvm enforce enforcement ensure equip espionage establish europe even events/cybersecurity exchange excluded exploit exploit:win32/cve exploiting exploits explorer/cves/cve exposure facing find fixes focuses following from fundamentals further fusionblaze generally geolocations germany gingham good gov/news government group groups habits hacktool:win32/nuveridap has health history hours how https://aka https://docs https://security https://sip https://techcommunity https://www identify identities identity impact includes including industrial industries industry infrastructure infrsatructure insights intelligence intelligent interaction interest intrusions in japan kingdom known korea kryptonite laps lateral latest learning least legacy leviathan life like like limit listed local locations log4j longer machine maintained malware malware: management capabilities manufacturing many maritime member methods mfa microsoft middle ministry mitigations mohawk moktik monitored monitoring most movement ms/laps mss name=backdoor:js/moktik&threatid= name=behavior:win32/suspexchgsession name=exploit:win32/cve name=hacktool:win32/nuveridap&threatid= name=trojan:win32/fusionblaze name=trojan:win64/fusionblaze name=trojandropper:win64/fusionblaze nation need networks new newly not now number nuveridap observed only on operations operators order organization organizational organizations other out overall overvieww p/2684705 page panda passwords patching people persistence phishing phones policy possible posture practice prc prevent primarily prioritization privileged privileges profiles/a2fc1302354083f4e693158effdbc17987818a2433c04ba1f56f4f603268aab6 profiles/cve prompt properly protect protection protection/concept protection/endpoint protection/howto protection/microsoft public published queries quickly randomize rapidly rather real recommendations reconnaissance reduce references region regularly release remediate remove report reporting republic require risk run sample scheduled sea seamlessly search secure security server server/ba servers service shells signing snapshot software south southeast state states status stop strawberry strictly strike submission succeeded such systems take target targeted targeting targets tasks team tempest than theft them these the those threat threats three through tid=72f988bf time tools tracked tracks tradecraft traditional transportation trojan:win32/fusionblaze trojan:win64/fusionblaze trojandropper:win64/fusionblaze turn typed typhoon typically typoon undiscovered unexpected united update us/security/compass/overview us/wdsi/threats/m |
| Tags | Malware Tool Vulnerability Threat Patching Legislation Industrial |
| Stories | APT 40 |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.