One Article Review
| Source |  RiskIQ |
|---|---|
| Identifiant | 8533749 |
| Date de publication | 2024-07-09 19:44:26 (vue: 2024-07-09 20:07:53) |
| Titre | Examining Water Sigbin\'s Infection Routine Leading to an XMRig Cryptominer |
| Texte | ## Instantané Trend Micro Identifiée Water Sigbin \'s Exploitation de [CVE-2017-3506] (https://sip.security.microsoft.com/vulnerabilities/vulnerabilité/CVE-2017-3506/Présentation? Tid = 72F988BF-86F1-41AF-91AB-2D7CD011DB47) et [CVE-2023-21839] (https://sip.security.microsoft.com/vulnerability/vulnerabilité/CVE-2023-21839/overview) à déploier des cryptocurrency/CVE-2023-21839/overview) à Deploy Cirptocurrency/CVE-2023-21839/Overview) à Deploy CirptoCurrencLes mineurs via des scripts PowerShell, en utilisant des techniques d'exécution sans fil telles que la réflexion DLL et l'injection de processus. ## Description L'acteur de menace cible également les serveurs Oracle Weblogic et utilise une technique de chargement en plusieurs étapes pour livrer le chargeur Purecrypter et le mineur de cryptographie XMRIG.La technique de chargement à plusieurs degrés à plusieurs degrés Sigbin \\ de Sigbin implique la création d'un nouveau processus pour se faire passer pour une usurpation légitime, en utilisant l'injection de processus pour charger la charge utile XMRIG en mémoire et offrir la charge utile finale par l'exploitation des vulnérabilités Oracle Weblogic.L'acteur de menace met en évidence l'expertise dans l'exploitation des vulnérabilités, le déploiement de mineurs de crypto-monnaie et l'emploi de mesures anti-débugage, soulignant l'importance des mesures de sécurité robustes et de la vigilance dans la surveillance de nouvelles menaces. ## Détections / requêtes de chasse Microsoft Defender pour antivirus détecte les composants de la menace comme logiciel malveillant suivant: Trojan: Msil / injuke ## Recommandations Recommandations pour identifier et atténuer les attaques de cryptojacking Bien que chaque situation soit unique au client et à son environnement, les recommandations suivantes sont largement applicables pour aider à identifier et à atténuer les attaques de cryptojacking: - Rôles privilégiés séparés: les comptes d'administration et d'utilisateurs doivent être distincts.Utilisez [Gestion des identités privilégiées] (https://learn.microsoft.com/azure/active-directory/priviled-entity-management/pim-configure) ou des comptes séparés pour les tâches privilégiées, limitant les comptes avec des autorisations excessives.Appliquer l'authentification multi-facteurs (MFA) et [Accès conditionnel] (https://learn.microsoft.com/azure/active-directory/conditional-access/overview), en particulier pour les comptes avec des rôles élevés. - Implémentez le MFA: assurez-vous une utilisation complète de [MFA] (https://learn.microsoft.com/azure/active-directory/authentication/tutorial-enable-azure-mfa), en particulier pour les comptes avec des privilèges de contributeur de machine virtuel.Décourager la réutilisation du mot de passe.Une liste complète des recommandations de sécurité cloud peut être trouvée dans [Recommandations de sécurité & # 8211;un guide de référence] (https://learn.microsoft.com/azure/defender-for-cloud/recommendations-reference?ocid=Magicti_TA_LearnDoc). - Utiliser les comportements de connexion basés sur les risques et les politiques d'accès conditionnel: surveiller les scores de risque High Azure Active Directory et corréler le comportement des risques avec l'activité ultérieure.Implémentez les politiques d'accès conditionnel pour la réauthentification multifactor, la conformité des périphériques, les mises à jour de mot de passe ou le blocage de l'authentification. - détecter les anomalies de connexion: utilisez des méthodes de détection d'anomalies standard pour identifier les modèles de connexion inhabituels, tels que l'utilisation de proxy, les emplacements anormaux et les agents utilisateur.Utilisez Microsoft 365 Defender pour détecter les activités suspectes effectuées par les utilisateurs risqués. - Surveiller les adresses IP Azure externes: l'authentification des adresses IP non locataires doit être considérée comme anormale.Utilisez la commande |
| Notes | ★★★ |
| Envoyé | Oui |
| Condensat | 2017 2023 2024 21839 21839/overview 2d7cd011db47 3506 3506/overview 365 41af 86f1 91ab abuse abused access access/overview accessed accounts across active activities activity actor addresses addresses: admin agents allocated also anomalies: anomalous anomaly anti antivirus applicable apply are attacks attacks: attacks authentication azure based behavior behaviors blocking broadly can cli cloud cloud/recommendations com/azure/active com/azure/defender com/cli/azure/vm com/en com/vulnerabilities/vulnerability/cve commonly compliance components comprehensive conditional configure considered contributor core correlate creating crypto cryptocurrency cryptojacking cryptominer customer cve debugging defender deliver delivering deploy deploying description detect detecting detection detections detections/hunting detects device directory directory/authentication/tutorial directory/conditional directory/privileged discourage distinct dll elevated emphasizing employ employing employs enable ensure environment especially every examining excessive execution expertise exploitation exploiting external factor fileless final focusing following found from full guide help high html https://learn https://sip https://www identified identify identifying identity impersonate implement importance increase increases increases: indicate infection injection involves in latest#az leading learndoc legitimate limiting list load loader loading locations login machine malware: management management/pim may measures memory methods mfa mfa: micro microsoft miner miners mitigate monitor monitoring multi multifactor multiple multistage new non ocid=magicti of one oracle particularly password patterns payload performed permissions policies policies: powershellscripts privileged privileges process proxy purecrypter queries quota rarely reauthentication recommendations reference references refined reflective regions resource resources reuse risk risky robust roles roles: routine scores security separate servers sexploitation should showcases sigbin sign situation snapshot sophisticated stage standard subsequent such suspicious targets tasks technique techniques tenant threat threats through tid=72f988bf trend trendmicro trojan:msil/injuke types unexpected unique unusual updates us/research/24/f/water usage use used user users using utilize utilizing view=azure vigilance virtual vulnerabilities watch water weblogic within xmrig command or |
| Tags | Malware Vulnerability Threat Cloud |
| Stories | |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.