One Article Review
| Source |  RiskIQ |
|---|---|
| Identifiant | 8544962 |
| Date de publication | 2024-07-26 18:40:00 (vue: 2024-07-26 19:19:14) |
| Titre | La Corée du Nord Cyber Group mène une campagne d'espionnage mondiale pour faire avancer les régimes des programmes militaires et nucléaires North Korea Cyber Group Conducts Global Espionage Campaign to Advance Regimes Military and Nuclear Programs |
| Texte | ## Instantané Plusieurs agences américaines et internationales ont identifié l'activité de cyber-espionnage associée aux démocrates \\République de Corée (DPRC) 3e Bureau du Bureau général de la reconnaissance (RVB), connu sous le nom d'Andariel. Microsoft suit cector as onyx greet. [En savoir plus à leur sujet ici.] (https://sip.security.microsoft.com/intel-profiles/03ced82eecb35bdb459c47b7821b9b055d1dfa00b56dc1b06f59583bad8833c0) ## Description Le groupe cible les entités de défense, aérospatiale, nucléaire et ingénierie pour obtenir des informations techniques sensibles et une propriété intellectuelle pour l'avancement des programmes militaires et nucléaires du régime.Ils financent leurs activités grâce à des opérations de ransomwares contre des entités de santé américaines. Andariel gagne un accès initial par l'exploitation des serveurs Web à l'aide de vulnérabilités connues, déploie des coquilles Web, mène des activités de phishing à l'aide de pièces jointes malveillantes et utilise la découverte de système standard, les techniques d'énumération et l'escalade des privilèges à l'aide d'outils comme Mimikatz.De plus, ils ont été observés à l'aide d'outils de dénombrement de système de fichiers personnalisés, de collecte de données de ruche de registre, de mise à profit de la journalisation du système pour la découverte, de déguisement des logiciels malveillants dans les paquets HTTP et à l'aide d'outils de tunneling pour les opérations de commande et de contrôle.Les acteurs de la menace ont également exfiltré des données aux services Web, au stockage cloud et aux serveurs contrôlés par la Corée du Nord à l'aide d'utilitaires comme Putty et WinSCP, et ont mis en scène des fichiers d'exfiltration sur les machines victimes. ## Détections / requêtes de chasse Microsoft Defender Antivirus Microsoft Defender Antivirus détecte les composants de la menace comme le malware suivant: - [Trojan: Win32 / Vinosiren] (https://www.microsoft.com/en-us/wdsi/Threats/Malware-Cycopedia-Description?name=trojan:win32/vinosiren.l!dha) - [Trojan: Win64 / Hazyload] (https://www.microsoft.com/en-us/wdsi/Threats/Malware-encyClopedia-Description?name=trojan:win64/hazyload.a!dha&Theatid=-2147074394) - [Trojan: win64 / dtrack.b! Dha] (https://www.microsoft.com/en-us/wdsi/atherets/malware-encycopedia-description?name=trojan:win64/dtrack.b!dha& threatId= -2147062589) Microsoft Defender pour le point final Les alertes avec le titre suivant dans le centre de sécurité peuvent indiquer une activité de menace sur votre réseau: - Groupe d'activités de grésil Onyx L'alerte suivante pourrait également indiquer une activité de menace associée à cette menace.Cette alerte, cependant, peut être déclenchée par une activité de menace non apparentée et ne sont pas surveillées dans les cartes d'état fournies avec ce rapport. - [Comportement: win32 / certutilpe.a] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=behavior:win32/OfficeExeccerTutil.a & menaceID = 2147781013 & ocid = magicti_ta_ency) ## Recommandations Microsoft recommande le suivantatténuations pour réduire l'impact de cette menace.Vérifiez la carte de recommandations pour l'état de déploiement des atténuations surveillées. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-lock-at-first-sight-microsoft-defender-asvirus?ocid=magicti_ta_learndoc)Dans Microsoft Defender Antivirus, ou l'équivalent de votre produit antivirus, pour couvrir les outils et techniques d'attaquant en évolution rapide.Les protections d'apprentissage automatique basées sur le cloud bloquent une majorité de variantes nouvelles et inconnues. - Activer [Protection réseau] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/enable-network-protection?view=o365-worl |
| Notes | ★★★ |
| Envoyé | Oui |
| Condensat | **© 2024 2024** 207a 2147062589 2147074394 365/security/defender 3rd a&threatid=2147781013&ocid=magicti about access accessed action activities activity actor actors additionally advance advancement advisories/aa24 aerospace against age agencies alert alerts all allow also andariel antivirus antivirus any are artifacts associated attachments attack attacker automated based behavior:win32/certutilpe behind block breach breaches bureau campaign can card cards center check cisa cloud collecting com/en com/intel com/microsoft command common components conducts configure content control controlled copyright cover criterion customers customized cyber data defender defenderantivirus defense delivered democratic deployment deploys description detect detected detection detections/hunting detects dha dha&threatid= discovery disguising distribution does downloaded dprk edr employs enable ency encyclopedia endpoint endpoint/attack endpoint/automated endpoint/configure endpoint/edr endpoint/enable endpoint engineering entities enumeration equivalent escalation espionage even events/cybersecurity evolving executable execution exfiltrated exfiltration exploitation file files first following from full fund gains general global gov/news group have healthcare here hive however http https://learn https://sip https://www identified immediate impact indicate information initial intellectual international investigation investigations javascript known korea launch launching learndoc learning leveraging like list logging machine machines majority malicious malware malware: meet microsoft might military mimikatz mitigations mode monitored more name=behavior:win32/officeexeccertutil name=trojan:win32/vinosiren name=trojan:win64/dtrack name=trojan:win64/hazyload network network: new non north not nuclear obfuscated observed obtain ocid=magicti onyx on on operations packets part passive people permission phishing post potentially prevalence prevent privilege product profiles/03ced82eecb35bdb459c47b7821b9b055d1dfa00b56dc1b06f59583bad8833c0 programs prohibited property protection protections provided putty queries ransomware rapidly read recommendations recommends reconnaissance reduce reducing reduction reference references regime regimes registry remediate remediation report reproduction republic reserved resolve response rgb rights rules run running scenes scripts security sensitive servers services several shells sight significantly site sleet snapshot staged standard status storage surface system take targets technical techniques techniques: them thereof threat through title tooling tools tracks triggered trojan:win32/vinosiren trojan:win64/dtrack trojan:win64/hazyload trusted tunneling turn unknown unless unrelated us/wdsi/threats/malware using utilities variants vbscript vbscripts victim view=o365 volume vulnerabilities web when winscp within without works worldwide worldwide#block written your executable in javascripts the to in so |
| Tags | Ransomware Malware Tool Vulnerability Threat Medical Cloud Technical |
| Stories | |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.