One Article Review
| Source |  RiskIQ |
|---|---|
| Identifiant | 8543707 |
| Date de publication | 2024-07-24 21:28:53 (vue: 2024-07-24 22:07:56) |
| Titre | Les acteurs de la menace ciblent les résultats des élections récentes Threat Actors Target Recent Election Results (Recyclage) |
| Texte | #### Géolocations ciblées - Inde ## Instantané Les analystes de K7 Labs ont trouvé un document se faisant passer pour des «résultats des élections indiennes», qui s'est avéré livrer le malware de Troie (rat) à accès à distance cramoisi. ## Description Crimson Rat, couramment utilisé par le groupe Transparent Tribe APT, vole des informations d'identification et d'autres informations sensibles.La tribu transparente, censée opérer à partir du Pakistan, cible les entités diplomatiques, de défense et de recherche en Inde et en Afghanistan. Dans ce cas, l'appât a impliqué des résultats électoraux pour attirer les internautes indiens.Le vecteur d'attaque était un fichier .docm auprès de macros qui a intégré la charge utile de rat Crimson.Lors de l'exécution, le malware décode les fichiers intégrés et installe un fichier d'économiseur d'écran pour établir la persistance.Un autre dossier de leur, déguisé en programme universitaire, a également livré le même logiciel malveillant.Le rat Crimson échappe à la détection en retardant son activité et se connecte à un serveur de commande et de contrôle pour exécuter des commandes et voler des données. ## Analyse supplémentaire Transparent Tribe, également suivi sous le nom de Mythic Leopard et APT36, est un groupe de menaces basé au Pakistan actif depuis 2013. Le groupe cible principalement le gouvernement, la défense et l'éducation en Inde. Transparent Tribe a déjà été observée à l'aide de Crimsonrat pour cibler une variété d'entités indiennes, notamment [l'armée indienne] (https://www.seqrite.com/blog/transparent-tribe-apt-active-leures-indian-army-amidst-Augmentation du ciblage-de l'éducation-institutions /), [établissements d'éducation] (https://blog.talosintelligence.com/transparent-tribe-targets-education/), et [les fonctionnaires du gouvernement] (https: //blog.talosintelligence.com / Transparent-Tribe-New-Campaign /).Selon Cisco Talos, Crimsonrat est l'outil de choix du groupe depuis au moins 2020, en particulier lorsqu'il cherche à établir un accès persistant dans les réseaux cibles.L'outil est souvent déployé par une tribu transparente en utilisant des e-mails de espionnage. ## Détections / requêtes de chasse ### Microsoft Defender Antivirus Microsoft Defender Antivirus les composants de menace suivants comme malware: - [TrojandRopper: O97M / OBFUSE] (https: //www.microsoft.com/en-us/wdsi/therets/malware-encyclopedia-dercription?name=trojandropper:o97m/obfuse!mtb) ## Recommandations MIcrosoft recommande les atténuations suivantes pour réduire l'impact de cette menace. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/en-us/defender-endpoint/linux-preférences) dans Microsoft Defender Antivirus ou l'équivalent de votre produit antivirus pour couvrir rapidement les outils d'attaquant en évolution et et et les outils d'attaquant en évolution rapide ettechniques.Les protections d'apprentissage automatique basées sur le cloud bloquent la majorité des menaces nouvelles et inconnues. - Exécuter [EDR en mode bloc] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-block-mode?view=o365-worldwide?ocid=Magicti_TA_LearnDoc)Le défenseur du point final peut bloquer les artefacts malveillants, même lorsque votre antivirus non microsoft ne détecte pas la menace ou lorsque Microsoft Defender Antivirus fonctionne en mode passif.EDR en mode bloc fonctionne dans les coulisses pour corriger les artefacts malveillants qui sont détectés post-abri. - Autoriser [Investigation and Remediation] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/automated-investigations?view=o365-worldwide?ocid=Magicti_TA_LearnDoc) en mode automatisé complet pour permettre à Microsoft DefenderPour que le point final prenne des mesures immédiates sur les alertes pour résoudre les violations, réduisant considérablement le volume d'alerte. - [Activé] (https |
| Notes | ★★★ |
| Envoyé | Oui |
| Condensat | ### #### **© 2013 2020 2024 2024** 21562b1004d5/analystreport 365/security/defender 4b5e 5155 access accessed according action active actively activity actors additional af74 afghanistan against age alert alerts all allow also amidst analysis analysts another antivirus any apt apt36 are army artifacts attack attacker authority automated bait based been begins behind believed bespoke block breach breaches campaign campaign/ can changes choice cisco client cloud com/blog/transparent com/en com/index com/microsoft com/threatanalytics3/9382203e com/transparent command commands common commonly components configure connects content control controlled copyright cover credential credentials crimson crimsonrat criterion customers data decodes decoy defence defend defender defense delaying delivered delivering deployed description detect detected detection detections/hunting diplomatic disguised distribution docm document does edr education education/ educational election email emails embedded enable enabled encyclopedia endpoint endpoint/attack endpoint/automated endpoint/edr endpoint/enable endpoint/linux endpoint/prevent ensure entities equivalent establish evades even evolving executable execute execution file files folder folders follow following found from full geolocations government group hardening has https://blog https://labs https://learn https://security https://www immediate impact including increased india indian information installs instance institutions institutions/ investigation investigations involved its k7computing labs latest learndoc learning least leopard like list local lsa lsass lure lures machine macros majority malicious malware malware: manage masquerading meet microsoft mitigations mode mtb mythic name=trojandropper:o97m/obfuse netizens network networks new non not observed ocid=magicti officials often operate other out overview pakistan part passive payload permission persistence persistent php/threat post preferences premises prevalence prevent previously primarily product prohibited protection protection#how protections queries ransomware rapidly rat recent recommendations recommends reduce reducing reduction reference#block references remediate remediation remote reproduction research reserved resolve results results/ rights rule rules run running same scenes screensaver sector sectors security seeking sensitive seqrite server settings significantly since site snapshot spearphishing specifically steal stealing steals subsystem surface syllabus take talos talosintelligence tamper target targeted targeting targets techniques theft thereof threat threats tool tools tracked transparent tribe trojan trojandropper:o97m/obfuse trusted turn university unknown unless upon us/defender us/wdsi/threats/malware used uses using variety vector view=o365 volume webmail when which windows without works worldwide written xdr your |
| Tags | Ransomware Malware Tool Threat |
| Stories | APT 36 |
| Move | 
|
Les reprises de l'article (1):
| Source | RiskIQ |
|---|---|
| Identifiant | 8542904 |
| Date de publication | 2024-07-23 17:58:57 (vue: 2024-07-23 18:08:14) |
| Titre | Daggerfly: Espionage Group fait une mise à jour majeure de l'ensemble d'outils Daggerfly: Espionage Group Makes Major Update to Toolset |
| Texte | #### Géolocations ciblées - Taïwan ## Instantané Le groupe d'espionnage poignardé, également connu sous le nom de panda évasif ou de bronze, a considérablement amélioré son ensemble d'outils, introduisant de nouvelles versions de logiciels malveillants probablement en réponse à l'exposition de variantes plus anciennes. ## Description Cette boîte à outils mise à jour a été récemment déployée dans des attaques contre des organisations à Taïwan et une ONG américaine basée en Chine, suggérant des activités d'espionnage internes.Dans ces attaques, Daggerfly a exploité une vulnérabilité dans un serveur HTTP Apache pour livrer leur malware MGBOT. Arsenal mis à jour de Daggerfly \\ comprend une nouvelle famille de logiciels malveillants basée sur leur framework MGBOT et une nouvelle version de la porte arrière MacMA MacOS.La recherche de Symantec \\ relie Macma, précédemment d'une paternité inconnue, à Daggerfly.[MACMA] (https://security.microsoft.com/intel-explorer/articles/4b21b84f) est une porte dérobée modulaire avec des fonctionnalités comme l'empreinte digitale de l'appareil, l'exécution de la commande et le keylogging.Les variantes récentes affichent un développement continu avec des mises à jour telles que la nouvelle logique pour la liste des systèmes de fichiers et la journalisation de débogage supplémentaire. Symantec a également découvert une nouvelle porte dérobée Windows nommée Suzafk (également connue sous le nom de nuit), développée en utilisant la même bibliothèque partagée que MGBOT et MACMA.Suzafk peut utiliser TCP ou OneDrive pour la commande et le contrôle et comprend des fonctionnalités telles que le réglage de la persistance via des tâches planifiées et la détection des machines virtuelles. Les vastes mises à jour et nouveaux outils mettent en évidence la capacité de Daggerfly \\ pour cibler plusieurs systèmes d'exploitation, y compris Windows, MacOS, Linux, Android et Solaris.La capacité du groupe \\ à s'adapter et à améliorer rapidement son ensemble d'outils après l'exposition souligne leurs ressources sophistiquées et leurs efforts d'espionnage persistants. ## Détections / requêtes de chasse ### Microsoft Defender Antivirus Microsoft Defender Antivirus les composants de menace suivants comme malware: - [Trojan: macOS / macma] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-description?name=trojan:macos/macma.b) - [Backdoor: macOS / MacMA] (https://www.microsoft.com/en-us/wdsi/Thereats/Malware-encyClopedia-Description?name=backdoor:MacOS / macma) - [Trojan: Linux / Multiverze] (https://www.microsoft.com/en-us/wdsi/Threats/Malware-encyClopedia-Description?name=trojan:linux/Multiverze) - [Trojan: macOS / Multiverze] (https://www.microsoft.com/en-us/wdsi/terats/malware-encycopedia-Description? Name = Trojan: macOS / Multiverze) ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/en-us/defender-endpoint/linux-preférences) dans Microsoft Defender Antivirus ou l'équivalent de votre produit antivirus pour couvrir rapidement les outils d'attaquant en évolution et et et les outils d'attaquant en évolution rapide ettechniques.Les protections d'apprentissage automatique basées sur le cloud bloquent la majorité des menaces nouvelles et inconnues. - Exécuter [EDR en mode bloc] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-block-mode?view=o365-worldwide?ocid=Magicti_TA_LearnDoc)Le défenseur du point final peut bloquer les artefacts malveillants, même lorsque votre antivirus non microsoft ne détecte pas la menace ou lorsque Microsoft Defender Antivirus fonctionne en mode passif.EDR en mode bloc fonctionne dans les coulisses pour corriger les artefacts malveillants qui sont détectés post-abri. - Autoriser [Investigation and Remediation] (https://learn.m |
| Notes | ★★★ |
| Envoyé | Oui |
| Condensat | ### #### ##recommendations **© 2024** 21562b1004d5/analystreport 365/security/defender 4b5e 5155 ability access action activities adapt additional af74 against age alert alerts all allow also android antivirus any apache are arsenal artifacts attack attacker attacks authority authorship automatedmode backdoor backdoor:macos/macma based behind block blogs breach breaches bronze can capability changes china client cloud com/en com/intel com/microsoft com/threat com/threatanalytics3/9382203e command common components configure content control controlled copyright cover credential criterion customers daggerfly daggerfly: debug defend defender deliver delivered deployed description detect detected detecting detections/hunting developed development device discovered distribution does edr efforts email enable enabled encyclopedia endpoint endpoint/attack endpoint/automated endpoint/edr endpoint/enable endpoint/linux endpoint/prevent enhance ensure enterprise equivalent espionage evasive even evolving executable execution exploited explorer/articles/4b21b84f exposure extensive family features file files fingerprinting folder folders follow following framework from full functionalities geolocations group hardening has highland highlight http https://learn https://security https://symantec https://www immediate impact includes including intelligence/daggerfly internal introducing investigation investigations its keylogging known learndoc learning library like likely links linux list listing local logging logic lsa lsass machine machines macma macos major majority makes malicious malware malware: manage meet mgbot microsoft mitigations mode modular multiple name=backdoor:macos/macma name=trojan:linux/multiverze name=trojan:macos/macma name=trojan:macos/multiverze named network new ngo nightdoor non not ocid=magicti older onedrive ongoing operating organizations overview panda part passive permission persistence persistent post preferences premises prevalence prevent previously product prohibited protection protection#how protections queries quickly ransomware rapidly recent recently recommendations recommends reduce reducing reduction reference#block references remediate remediation reproduction research reserved resolve resources response rights rule rules run running same scenes scheduled security server setting settings shared show significantly site snapshot solaris sophisticated stealing subsystem such suggesting surface suzafk symantec system systems taiwan take tamper target targeted tasks tcp techniques theft thereof these threat threats toolkit tools toolset trojan:linux/multiverze trojan:macos/macma trojan:macos/multiverze trusted turn underscores unknown unless update updated updates upgraded us/defender us/wdsi/threats/malware use used using variants version versions view=o365 virtual volume vulnerability webmail when windows without works worldwide written xdr your |
| Tags | Ransomware Malware Tool Vulnerability Threat Mobile |
| Stories | |
| Move |
|
L'article ne semble pas avoir été repris sur un précédent.