One Article Review
| Source |  RiskIQ |
|---|---|
| Identifiant | 8539871 |
| Date de publication | 2024-07-18 22:12:12 (vue: 2024-07-18 23:08:14) |
| Titre | TAG-100 utilise des outils open source dans la campagne d'espionnage mondiale suspectée, compromettant deux corps intergouvernementaux en Asie-Pacifique TAG-100 Uses Open-Source Tools in Suspected Global Espionage Campaign, Compromising Two Asia-Pacific Intergovernmental Bodies |
| Texte | #### Géolocations ciblées - États-Unis - Taïwan - Cuba - France - Italie - Japon - Malaisie - Bolivie - Océanie - L'Amérique centrale et les Caraïbes - Amérique du Sud - Asie de l'Est #### Industries ciblées - Services financiers - agences et services gouvernementaux - Diplomatie / relations internationales - économique et commerce - Organisation intergouvernementale - Diplomatie / relations internationales - Organisation non gouvernementale - Organisation religieuse ## Instantané Le groupe insikt de Future \\ de Future a découvert de nouvelles activités de cyber par le groupe TAG-100, ciblant les organisations du secteur du gouvernement, intergouvernemental et du secteur privé dans le monde.Le groupe INSIKT évalue que le groupe a probablement un motif de cyber-espionnage. ## Description TAG-100 utilise des outils d'accès à distance open source et exploite les périphériques orientés Internet pour l'accès initial.Le groupe a été observé en tirant parti de Pantegana, Sparkrat, Leslieloader et [Cobalt Strike] (https: //security.microsoft.com/intel-profiles/fd8511c1d61e93d39411acf36a31130a6795efe186497098fe0c6f2ccfb920fc).TAG-100 exploite également rapidementVulnérabilités dans les appareils sur Internet.En mars et avril 2024, le groupe a été observé en exploitant [CVE-2024-3400] (https://security.microsoft.com/intel-profiles/cve-2024-3400) dans les réseaux de Palo Alto2019-9621] (https://security.microsoft.com/intel-explorer/cves/cve-2019-9621/) dans la suite de collaboration Zimbra. Le ciblage des appareils sur Internet permet aux attaquants d'accéder aux réseaux cibles grâce à des produits qui ont diminué la visibilité des équipes de sécurité et des solutions, réduisant le risque de découverte après l'infiltration. En mai 2024, le groupe a probablement compromis les organisations dans au moins dix pays.Insikt Group a identifié ce qui suit comme des organisations importantes: - Organisations intergouvernementales avec siège social en Asie du Sud-Est et en Océanie - Ministères des affaires étrangères pour les pays d'Asie du Sud-Est, d'Amérique du Sud et des Caraïbes - Une ambassade aux États-Unis pour un pays d'Asie du Sud-Ouest - Un certain nombre d'organisations religieuses aux États-Unis et à Taïwan - Une association professionnelle de l'industrie financière basée aux États-Unis - Une entreprise de tests et d'assemblage semi-conducteurs à Taiwan Bien que le groupe INSIKT ne soit pas en mesure d'attribuer l'activité de Tag-110 \\ pour le moment, le ciblage répété du groupe \\ des organisations diplomatiques, religieuses et inter-gouvernementales est conforme à un motif d'espionnage.De plus, plusieurs cibles de cette activité sont conformes à celles historiquement ciblées par les groupes chinois parrainés par l'État.Le groupe Insikt continue d'étudier cette activité. ## Analyse Microsoft Microsoft a observé [typhon de soie] (HTTPS: //security.microsoft.com/intel-profiles/4fe46ed1e8116901052cca3df4c03fca1c56b72c3aaaa769b3907ebb7dcbf875d) et Mulberry Typhoon, deuxActeurs de menace de l'État-nation chinois, exploitant CVE-2024-3400.En avril 2024, le typhon de soie a été observé par Microsoft et [Volexity] (https://www.volexity.com/blog/2024/04/12/zero-king-exploitation-of-unauthenticated-remOte-Code-Exécution-Vulnerabilité dans l'HobalProtect-CVE-2024-3400 /) Exploiter CVE-2024-3400 pour obtenir un accès initial aux réseaux cibles.Le typhon de soie se concentre sur RecOnzesance et la collecte de données en recherchant des sites Web ouverts pour les données divulguées sur l'infrastructure ciblée ainsi que pour exploiter les vulnérabilités zéro-jours.Le groupe cible généralement les soins de santé, l'enseignement supérieur, les entrepreneurs de défense, les groupes de réflexion politiques et les organisations non gouvernementales aux États-U |
| Notes | ★★★ |
| Envoyé | Oui |
| Condensat | ### #### **© 100 110 2019 2024 2024** 3400 3400/ 365/security/defender 9621 9621/ about access accessed achieve activities activity actors affairs after agencies all allows along also although alto america analysis antivirus any appliances application april are artifacts artificial asia asian assembly assesses association attack attackers attacks attribute australia automatic backdoor:win64/cobaltstrike based beacon been began behavior:win32/cobaltstrike behind block bodies bolivia both breach campaign can capabilities caribbean central changes chinese cloud cobalt code collaboration com/blog/2024/04/12/zero com/en com/intel com/microsoft com/research/tag communication company compromised compromising consistent content continues contractors copyright countries country cuba cve cyber data day decreased defender defense delivered description detect detected detection detections/hunting detects devices diplomacy/international diplomatic disclosure discovery distribution doesn early east economic edr education embassy enable encyclopedia endpoint endpoint/edr endpoint/prevent endpoints espionage even execution exploitation exploiting exploits explorer/cves/cve facing financial firewall firewalls focuses following foreign forpalo france from further future gathering geolocations global globally globalprotect government governmental group groups hacktool:win64/cobaltstrike has have headquarters healthcare high higher historically https://learn https://security https://www identified identify impact industries industry infiltration information infrastructure initial insikt intelligence inter interfering intergovernemental intergovernmental internet interngovernmental investigate italy japan lateral leaked learndoc learning least leslieloader leveraging likely limits machine malaysia malicious manufacturing march may microsoft military ministries mitigations mode motive movement mulberry name=backdoor:win64/cobaltstrike name=behavior:win32/cobaltstrike name=hacktool:win64/cobaltstrike nation network networks new newly non number observed oceania ocid=magicti open organization organizations organizations: other pacific palo pantegana part passive permission policy possible post prevent private process products profile profiles/3f52698a4b29c570232d8a2d7bd9d82c82a3f1ce499dba9bffd7586b1c8062c8 profiles/4fe46ed1e8116901052cca3df4c03fca1c56b72c3aaa769b3907ebb7dcbf875d profiles/cve profiles/fd8511c1d61e93d39411acf36a31130a6795efe186497098fe0c6f2ccfb920fc prohibited protection public publicizedvulnerabilities queries quickly recommendations recommends reconnaissance recorded recordedfuture reduce reducing references relations religious remediate remote repeated reproduction reserved response rights risk rpc run running russia sample scanning scenes searching sector security semiconductor separately services settings several signatures: significant silk site smb snapshot solutions source south southeast southwest sparkrat specifically sponsored state states stop stopping strike submission suite suspected tag taiwan tamper tanks target targeted targeting targets teams tech technology telecommunication ten testing thereof these think those threat threats through time tools trade turn two typhoon typically unable unauthenticated uncovered united unknown us/wdsi/threats/malware use uses utilize utilizes victim vietnam visibility volexity vulnerabilities vulnerability vulnerable websites well when whenever windows without works written your zero zimbra |
| Tags | Tool Vulnerability Threat Medical |
| Stories | |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.