One Article Review
| Source |  RiskIQ |
|---|---|
| Identifiant | 8552380 |
| Date de publication | 2024-08-05 21:26:54 (vue: 2024-08-05 22:18:42) |
| Titre | Russian APT Fighting Ursa cible les diplomates avec des logiciels malveillants de tête à l'aide de fausses annonces de vente de voitures Russian APT Fighting Ursa Targets Diplomats with HeadLace Malware Using Fake Car Sale Ads |
| Texte | #### Industries ciblées - agences et services gouvernementaux - Diplomatie / relations internationales ## Instantané Les chercheurs de l'unité 42 ont identifié une campagne probablement attribuée à l'acteur de menace russe combattant Ursa (aka [Forest Blizzard] (https://sip.security.microsoft.com/intel-profiles/dd75f93b2a71c9510dceec817b9d34d868c2d1353d08c8c1647d868c2d1353d08c8c1647d868c2d1353d08c8c847De067270f. , Apt28, ours fantaisie) qui a utilisé unAPUTER LA VOLAGE DE VENTE comme un leurre pour distribuer les logiciels malveillants de la porte de la tête.La campagne a ciblé les diplomates et a commencé en mars 2024. ## Description Le leurre initial a été hébergé par le service légitime webhook.site et a conduit à la distribution de la page HTML malveillante.Le logiciel malveillant téléchargé, déguisé en publicité automobile, contenait la porte dérobée de la tête, qui a exécuté par étapes pour échapper à la détection.L'attaque s'appuyait fortement sur les services publics et gratuits pour héberger des leurres et diverses étapes de l'attaque.Le code HTML vérifie les ordinateurs Windows et redirige les visiteurs non-Windows vers une image de leurre sur IMGBB.Le code crée ensuite une archive zip à partir du texte Base64, l'offrant pour le téléchargement et la tentative de l'ouvrir avec la fonction javascript click ().L'archive zip téléchargée contient un fichier avec une double extension de .jpg.exe, qui est une copie du fichier de calculatrice de Windows légitime que Calc.exe a utilisé pour mettre à côté le fichier DLL inclus WindowsCodecs.dll, un composant de la porte arrière de la tête. La lutte contre l'Ursa est connue pour exploiter continuellement des vulnérabilités connues même après que leur couverture a été soufflée.L'infrastructure du groupe \\ évolue constamment, et il devrait continuer à utiliser des services Web légitimes dans son infrastructure d'attaque. ## Analyse Microsoft Cette tactique de l'utilisation de leurres de phishing diplomatique de voitures diplomatiques a été précédemment observée avec d'autres groupes de menaces russes.En septembre 2023, Microsoft Threat Intelligence a observé probablement [Midnight Blizzard]. 831] (https://sip.security.Microsoft.com/intel-explorer/cves/cve-2023-38831/description) Vulnérabilité dans Rarlabs Winrar pour cibler les réseaux de plus de 40 organisations diplomatiques et intergouvernementales (IGO).Les acteurs de la menace ont envoyé des courriels de phishing de lance avec des archives zippées malveillantes, demandant aux destinataires d'ouvrir la pièce jointe pour voir les détails d'une voiture diplomatique à vendre.Lire la suite [ici] (https://sip.security.microsoft.com/intel-explorer/articles/af5bdd1c). ## Détections / requêtes de chasse ** Microsoft Defender Antivirus ** Microsoft Defender Antivirus détecte les composants de menace suivants comme malWare: - [Trojan: script / obfuse] (https://www.microsoft.com/en-us/wdsi/thereats/malware-encycopedia-dercription?name=trojan:js/obfuse) - [Trojan: html / phish] (https://www.microsoft.com/en-us/wdsi/therets/malware-encyclopedia-description?name=trojan:html/phish) ## Recommandations Investissez dans des solutions avancées et anti-phishing qui surveillent les e-mails entrants et les sites Web visités.[Microsoft Defender pour OFFFICE 365] (https://learn.microsoft.com/microsoft-365/security/defender/microsoft-365-security-center-mdo?ocid=Magicti_Ta_learnDoc) rassemble une gestion des incidents et des alertes à travers les e-mails, les dispositifset identités, centraliser les enquêtes pour les menaces par courrier électronique.Les organisations peuvent également tirer parti des navigateurs Web qui [Indentify and Block] (https://learn.microsoft.com/deployedge/microsoft-edge-security-smartscreen?ocid=Magicti_TA_LearnDoc) sont des sites Web malveillants, y compris ceux utilisés dans cette campagne de phishing. • Exécutez la détection et la |
| Notes | ★★★★ |
| Envoyé | Oui |
| Condensat | #### **© **microsoft 2023 2024 2024** 365 365/security/defender 365/security/defender/microsoft 38831 38831/description able accessed across action activity: actor actors ads advanced advertisement after against age agencies alert alerts all allow also alto analysis anti antivirus antivirus** any applications apt apt28 archive archives are artifacts attachment attack attacker attacks attempting attributed authority automated automatically backdoor base64 based bear been began behind blizzard block blown breach breaches brings browsers calc calculator campaign can car center centralizing checks child click cloud code com/deployedge/microsoft com/en com/fighting com/intel com/microsoft commands component components computers configured configure constantly contained contains content continue continuously copy copyright cover creates creating creations credential criterion customers cve decoy defender delivered description details detect detected detection detections/hunting detects devices diplomacy/international diplomatic diplomats disguised distribute distribution dll does double download downloaded edge edr email emails enabled encyclopedia endpoint endpoint/attack endpoint/automated endpoint/configure endpoint/edr equivalent evade even evolves evolving exe executable executed execution expected exploiting explorer/articles/af5bdd1c explorer/cves/cve extension fake fancy fighting file files first following forest free from full function government group groups had hands hardening has headlace heavily here host hosted html https://learn https://sip https://unit42 https://www identified identities igos image imgbb immediate incident included including incoming indentify industries infection infrastructure initial instructing intelligence observed intergovernmental invest investigation investigations its javascript jpg keyboard known launch learndoc learning led legitimate leverage likely list local lsass lure lure/#new lures machine majority malicious malware malware: management march mdo meet microsoft midnight mitigate mode monitor more name=trojan:html/phish name=trojan:js/obfuse networks new non not obfuscated observed ocid=magicti offer offering offfice office on open organizations originating other page palo paloaltonetworks part passive permission phishing post potentially prevalence prevent prevented previously process processes product profiles/d825313b053efea45228ff1f4cb17c8b5433dcd2f86353e28be2d484ce874616 profiles/dd75f93b2a771c9510dceec817b9d34d868c2d1353d08c8c1647de067270fdf8 prohibited protection protections psexec public queries rapidly rarlabs read recipients recommendations redirects reducing reduction reference reference#block references relations relied remediate remediation reproduction researchers reserved resolve response rights rules run running russian sale scenes scripts security see sent september service services several sideload sight significant significantly site smartscreen snapshot solutions that spear stages stealing subsystem surface tab tactic take target targeted targets techniques text than then thereof these the those threat threats together tools trojan:html/phish trojan:script/obfuse trusted turn unit unit42 unknown unless ursa us/wdsi/threats/malware used user using variants various vectors view=o365 visited visitors volume vulnerabilities vulnerability web webhook websites when which who windows windowscodecs winrar without wmi works worldwide#block written your zip in so |
| Tags | Malware Tool Vulnerability Threat |
| Stories | APT 28 |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.