One Article Review
| Source |  RiskIQ |
|---|---|
| Identifiant | 8549111 |
| Date de publication | 2024-08-01 18:42:27 (vue: 2024-08-01 19:18:51) |
| Titre | APT41 a probablement compromis l'institut de recherche affilié au gouvernement taïwanais avec ShadowPad et Cobalt Strike APT41 likely compromised Taiwanese government-affiliated research institute with ShadowPad and Cobalt Strike |
| Texte | #### Géolocations ciblées - Taïwan ## Instantané Cisco Talos a identifié une campagne malveillante ciblant un institut de recherche affilié au gouvernement taïwanais à partir de juillet 2023. ## Description La campagne, censée être orchestrée par APT41, suivie par Microsoft sous le nom de typhon en laiton, a impliqué l'utilisation de Malware de ShadowPad, [Cobalt Strike] (https://sip.security.microsoft.com/intel-profiles/fd8511c1d61e93d39411acf36a31130a6795efe186497098fe0c6f2ccfb920fc?tid=72f988bf-86f1-41af-91abpour les activités post-compromis.APT41 a exploité un Microsoft Office IME binaire obsolète ([CVE-2018-0824] (https://security.microsoft.com/intel-explorer/cves/cve-2018-0824/)) pour déploier ShadowPad et levier une exécution du code à distanceVulnérabilité à l'escalade des privilèges.En août 2023, des commandes PowerShell anormales ont été détectées, se connectant à une adresse IP pour télécharger des scripts, indiquant des attaques en cours.La campagne s'aligne sur les tactiques, techniques et procédures connues d'APT41 \\, telles que le phishing de lance et l'utilisation d'exécutables BitDefender pour l'élevage de latérus.Les attaquants ont également utilisé la stéganographie dans des chargeurs de frappe de cobalt pour échapper à la détection. ## Analyse supplémentaire ShadowPad, un cheval de Troie à distance à distance (RAT), est déployé par APT-41 depuis au moins 2017 et par d'autres groupes de menaces chinoises depuis 2019. [SecureWorks] (https://www.secureworks.com/research/shadowpad-malware--Analyse) Évalue que les logiciels malveillants ont probablement été développés par les acteurs de la menace associés à l'APT-41 et partagés avec d'autres acteurs affiliés au ministère chinois de la sécurité des États (MSS) et à l'Armée de libération du peuple (PLA).Le malware a été déployé à l'échelle mondiale et a affecté les organisations dans diverses industries. ShadowPad est utilisé pour maintenir un accès persistant à des environnements compromis et permet aux acteurs de menace d'exécuter des commandes et d'effectuer un ciblage de suivi avec des charges utiles supplémentaires.ShadowPad est déployé via Dynamic Link Library (DLL) l'élevage de tours et a été observé dans le fait de se déguiser en tant qu'ApplAunch.exe, Consent.exe et Bdreinit.exe, entre autres. ## Détections / requêtes de chasse ** Microsoft Defender Antivirus ** Microsoft Defender Antivirus détecte les composants de menace suivants comme logiciels malveillants: - [Comportement: win32 / cobaltsstrike] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-description?name=behavior:win32/cobaltstrike) - [baCKDOOR: WIN64 / COBALTSTRIKE] (https://www.microsoft.com/en-us/wdsi/atheats/malware-encycopedia-desCription? Name = Backdoor: Win64 / Cobaltsstrike) - [Hacktool: win64 / cobaltstrike] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-description?name=hacktool:win64/cobaltstrike) - [Trojan: Win32 / ShadowPad] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=trojan:win32/shadowpad) - [BackDoor: Win32 / ShadowPad] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=backDoor:win32/shadowpad) ## Recommandations - Activer [Tamper Protection] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/prevent-changes-to-security-settings-with-tamper-protection) pour empêcher les attaques de s'arrêter ou d'interféreravec Microsoft Defender Antivirus. - Allumez la protection livrée par le cloud et la soumission automatique des échantillons sur Microsoft Defender Antivirus.Ces capacités utilisent l'intelligence artificielle et l'apprentissage automatique pour identifier et arrêter rapidement les menaces nouvelles et inconnues. - Utilisez le pare-feu Windows Defender et votre pare-feu réseau pour empêcher la communication RPC et SMB le long des points de terminai |
| Notes | ★★★ |
| Envoyé | Oui |
| Condensat | #### **© **microsoft 0824 0824/ 2017 2018 2019 2023 2024 2024** 2d7cd011db47 365/security/defender 41af 86f1 91ab abnormal access accessed activities actors additional address affected affiliated aligns all allows along also among analysis analysis antivirus antivirus** any applaunch apt apt41 apts are army artifacts artificial assesses associated attack attackers attacks august automatic backdoor:win32/shadowpad backdoor:win64/cobaltstrike bdreinit become been beginning behavior:win32/cobaltstrike behind believed binary bitdefender block brass breach campaign can capabilities changes chinese choice cisco cloud cobalt cobaltstrike code com/article/572061/shadowpad com/chinese com/en com/intel com/microsoft com/research/shadowpad commands communication components compromise compromised conduct connecting consent content copyright cso csoonline custom cve defender delivered deploy deployed description detect detected detection detections/hunting detects developed distribution dll doesn download dynamic edr enable encyclopedia endpoint endpoint/edr endpoint/prevent endpoints environments escalation evade even exe executables execute execution exploited explorer/cves/cve firewall follow following forpost from geolocations globally government group groups hacking hacktool:win64/cobaltstrike has html https://blog https://learn https://security https://sip https://www identified identify ime inblock indicating industries institute intelligence interfering involved july known lateral learndoc learning least leveraged liberation library likely limits link loaders machine maintain malicious malware malware: masquerading microsoft ministry mode movement mss name=backdoor:win32/shadowpad name=backdoor:win64/cobaltstrike name=behavior:win32/cobaltstrike name=hacktool:win64/cobaltstrike name=trojan:win32/shadowpad network new non observed ocid=magicti office ongoing orchestrated organizations other others outdated part passive payloads people permission persistent phishing pla possible post powershell prevent privilege procedures profiles/fd8511c1d61e93d39411acf36a31130a6795efe186497098fe0c6f2ccfb920fc prohibited protection queries quickly rat recommendations references remediate remote reproduction research reserved response rights rpc run running sample scenes scripts secureworks security settings several shadowpad shared sideloading since site smb snapshot spear sponsored state steganography stop stopping strike submission such tactics taiwan taiwanese talos talosintelligence tamper targeted targeting techniques thereof these threat threats through tid=72f988bf tools tracked trojan trojan:win32/shadowpad turn typhoon unknown us/wdsi/threats/malware use used utilize utilized various vulnerability well when whenever windows without works written your |
| Tags | Malware Tool Vulnerability Threat |
| Stories | APT 41 |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.