One Article Review
| Source |  RiskIQ |
|---|---|
| Identifiant | 8540438 |
| Date de publication | 2024-07-19 18:51:32 (vue: 2024-07-19 19:07:46) |
| Titre | APT41 Has Arisen From the DUST |
| Texte | #### Géolocations ciblées - Italie - Espagne - Taïwan - Thaïlande - t & uuml; rkiye - Royaume-Uni #### Industries ciblées - Systèmes de transport - Médias numériques, imprimés et diffusés ## Instantané Mandiant, en collaboration avec le groupe d'analyse des menaces de Google (TAG), a publié un rapport sur une campagne par APT41, suivi par Microsof d37c6), ciblant les organisations en Italie, en Espagne, à Taïwan, en Thaïlande, en Turquie et au Royaume-Uni. ## Description Le groupe cible des secteurs comme les soins de santé, la haute technologie et les télécommunications, en utilisant des techniques sophistiquées telles que les compromis de la chaîne d'approvisionnement et les certificats numériques volés.Dans cette dernière campagne, l'APT41 a compromis diverses organisations sur plusieurs continents, notamment l'Italie, l'Espagne, Taïwan, la Thaïlande, la Turquie et le Royaume-Uni, en se concentrant sur des secteurs comme l'expédition, la logistique et les médias. APT41 a utilisé des shells Web Atsword et BlueBeam sur un serveur Tomcat Apache Manager pour la persistance.Ces shells Web, actifs depuis 2023, ont permis au groupe d'exécuter CerUtil.exe pour télécharger le compte-gouttes à poussière.Dustpan, un compte-gouttes en mémoire écrit en C / C ++, décrypte et exécute des charges utiles furtivement.Au cours de cette campagne, il a chargé Beacon, un outil de communication avec une infrastructure contrôlée par APT41, souvent déguisée en binaires Windows pour échapper à la détection. Au fur et à mesure que l'intrusion progressait, APT41 a déployé le compte-gouttes Dusttrap.Dusttrap est un cadre de plugin à plusieurs étapes qui décrypte et exécute des charges utiles malveillantes en mémoire, minimisant les traces médico-légales.Il établit des canaux de communication avec l'infrastructure APT41 ou des comptes Google Workspace compromis.L'utilisation de comptes Google compromis a aidé à mélanger les activités malveillantes avec un trafic légitime.Google note que ces comptes ont été corrigés. APT41 a également exploité SQLULLDR2, un utilitaire de ligne de commande, pour exporter les données des bases de données Oracle.Cet outil leur a permis d'extraire efficacement de grands volumes de données sensibles.De plus, APT41 a utilisé Pinegrove, un téléchargeur de ligne de commande, pour exfiltrater les données à OneDrive.Pinegrove est un outil accessible au public écrit en Go, capable de collecter et de télécharger des fichiers via l'API OneDrive. ## Analyse Microsoft Microsoft Threat Intelligence suit APT41 comme [Typhoon en laiton] (https://security.microsoft.com/intel-profiles/f0aaa62bfbaf3739bb92106688e6a00fc05aeafc0d4158b0e389b4078112d37c6), ACTIVITÉ CHINAL. Typhoon se concentre sur l'espionnage et estconnu pour effectuer une reconnaissance contre les organisations cibles.Le groupe a principalement ciblé le secteur de la technologie, mais a été observé ciblant les organisations non gouvernementales, les télécommunications, la vente au détail de consommateurs, la fabrication critique, le gouvernement et les institutions financières. ## Détections / requêtes de chasse ### Microsoft Defender Antivirus Microsoft Defender Antivirus les composants de menace suivants comme malware: - Backdoor: Win32 / Moonwalk - [Trojan: Win64 / Malgent] (https://www.microsoft.com/en-us/wdsi/terats/malware-encycopedia-d-dEscription? Name = Trojan: Win64 / Malgent! MSR) - [Trojan: Win32 / Leonem] (https://www.microsoft.com/en-us/wdsi/atheats/malware-eNCyclopedia-Description? Name = Trojan: Win32 / Leonem) ## Les références [APT41 est né de la poussière] (https://cloud.google.com/blog/topics/thereat-intelligence/apt41-arisen-from-dust/).Google (consulté en 2024-07-19) [Typhoon en laiton] (https: // security.microsoft.com/intel-profiles/f0aaa62bfbaf3739bb92106688e6a00fc05afc0d4158b0e389b4078112d37c6).Mic |
| Notes | ★★★ |
| Envoyé | Oui |
| Condensat | ### #### **© 2006 2023 2024 2024** about accessed accounts across active activities activity additionally against all allowed also analysis antivirus antsword any apache api apt41 arisen available backdoor:win32/moonwalk based beacon been binaries blend bluebeam brass broadcast but c/c++ campaign capable certificates certutil chain channels china collaboration collecting com/blog/topics/threat com/en com/intel command communication components compromised compromises consumer content continents controlled copyright critical data databases decrypts defender deployed description detection detections/hunting digital disguised distribution download dropper during dust dust/ dustpan dusttrap efficiently enabled encyclopedia espionage establishes evade exe execute executes exfiltrate export extract files financial focuses focusing following forensic framework from geolocations google government governmental group has have healthcare helped high https://cloud https://security https://www including industries infrastructure institutions intelligence intelligence/apt41 intrusion italy kingdom known large latest legitimate leveraged like line loaded logistics malicious malware: manager mandiant manufacturing media memory microsoft minimizing msr multi multiple name=trojan:win32/leonem name=trojan:win64/malgent nation non notes observed often onedrive oracle organizations out part payloads perform permission persistence pinegrove plugin primarily print profiles/f0aaa62bfbaf3739bb92106688e6a00fc05eafc0d4158b0e389b4078112d37c6 progressed prohibited publicly queries reconnaissance references released remediated report reproduction reserved retail rights sector sectors sensitive server shells shipping since site snapshot sophisticated spain sqluldr2 stage state stealthily stolen such supply systems tag taiwan target targeted targeting targets tech techniques technology telecommunication telecommunications thailand them thereof these threat tomcat tool traces tracked tracks traffic transportation trojan:win32/leonem trojan:win64/malgent turkey typhoon türkiye united uploader uploading us/wdsi/threats/malware use used using utility utilized various volumes web windows without workspace written |
| Tags | Malware Tool Threat Medical Cloud |
| Stories | APT 41 |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.