One Article Review
| Source |  RiskIQ |
|---|---|
| Identifiant | 8556555 |
| Date de publication | 2024-08-12 19:53:21 (vue: 2024-08-12 20:18:20) |
| Titre | A Dive into Earth Baku\'s Latest Campaign |
| Texte | #### Géolocations ciblées - Inde - Thaïlande - Allemagne - Italie - Roumanie - Géorgie - Qatar - Émirats arabes unis - Vietnam - Philippines -Malaisie - Europe de l'Est - Europe du Nord - Europe du Sud - Europe occidentale - Moyen-Orient - Afrique du Nord - Afrique subsaharienne #### Industries ciblées - GouvernementAgences et services - Infrastructure de communication - Informatique - Santé et santé publique - Éducation ## Instantané Trendmicro a publié un rapport sur les activités élargies de la Terre Baku, un groupe avancé de menace persistante (APT) associé à l'APT41.APT41 est suivi par Microsoft comme [Typhoon en laiton] (https://security.microsoft.com/intel-profiles/f0aaa62bfbaf3739bb92106688e6a00fc05af0d4158b0e389b4078112d37c6). ## Description Le groupe a considérablement élargi ses opérations au-delà de la région indo-pacifique, ciblant désormais des pays en Europe, au Moyen-Orient et en Afrique, notamment l'Italie, l'Allemagne, les EAU et le Qatar.Ce groupe exploite des applications publiques telles que les serveurs IIS pour obtenir un accès initial, en déploiement des outils de logiciels malveillants sophistiqués tels que le Godzilla webshell et les chargeurs personnalisés Stealthvector et Stealthreacher.Ces chargeurs facilitent le déploiement de composants de porte dérobée tout en utilisant des techniques avancées comme le cryptage AES et l'obscuscation du code pour échapper à la détection. Le dernier outil de Earth Baku \\, Sneakcross, est une porte dérobée modulaire qui utilise les services Google pour les activités de commande et de contrôle (C2), permettant des mises à jour faciles et une furtivité améliorée.Les tactiques post-exploitation comprennent le maintien de la persistance à travers des outils comme Rakshasa et TailScale, et en utilisant MEGACMD pour l'exfiltration de données.L'évolution du groupe dans les tactiques, les techniques et les procédures (TTPS) met en évidence sa sophistication croissante et constitue une menace significative pour les secteurs ciblés, y compris le gouvernement, les télécommunications et la technologie dans plusieurs régions. ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace. - [Activer la protection de l'application potentiellement indésirable (PUA)] (https://docs.microsoft.com/en-us/microsoft-365/security/defender-endpoint/detect-lock-Potentiellement inconnu-apps-microsoft-defender-anvirus? View = o365 worldwide? ocid = magicti_ta_learndoc).La protection PUA peut nécessiter une activité séparément des autres protection contre les logiciels malveillants.Dans les environnements d'entreprise, la protection PUA peut arrêter les logiciels publicitaires, les téléchargeurs torrent, les mineurs de pièces et de nombreuses variantes de logiciels malveillants qui peuvent être regroupés avec d'autres logiciels.Les services de gestion à distance (RMS) ou les logiciels de chevaux de Troie (RAT) d'accès à distance peuvent également être classés occasionnellement comme PUA. - Allumez [Protection en cloud-élieur] (https://docs.microsoft.com/en-us/windows/security/thereat-protection/windows-defender-antivirus/enable-cloud-protection-windows-defender-astivirus?ocid = magicti_ta_learndoc) et une soumission automatique de l'échantillon sur Microsoft Defender Antivirus.Ces capacités utilisent l'intelligence artificielle et l'apprentissage automatique pour identifier et arrêter rapidement les menaces nouvelles et inconnues. - Éduquer les utilisateurs finaux sur [Prévenir les infections des logiciels malveillants] (https://docs.microsoft.com/en-us/microsoft-365/security/intelligence/prevent-malware-infection?view=o365-worldwide?ocid=magicti_ta_learndoc).Encouragez les utilisateurs finaux à pratiquer un bon nombre d'hygiène des informations d'identification de l'utilisation des compt |
| Notes | ★★★ |
| Envoyé | Oui |
| Condensat | #### **© 2024 2024** 365/security/defender 365/security/intelligence/prevent about access accessed accessing accounts across activities administrator advanced adware aes africa agencies all allowing also antivirus antivirus/enable any application applications apps apt apt41 arab artificial associated automatic backdoor baku based beyond block blocks brass browsers bundled campaign can capabilities classified cloud code coin com/en com/intel come command communications components contain content control copyright countries credential customized data defender delivered deploying deployment description detection distribution dive domain domains downloaders earth east eastern easy edge educate education emirates employing enablement encourage encryption end endpoint/detect endpoint/network enhanced enterprise environments europe evade evolution exfiltration expanded exploitation exploits facilitate facing following from gain geolocations georgia germany godzilla good google government group growing has health healthcare highlights host html https://docs https://learn https://security https://www hygiene identifies identify iis impact include including india indo infection infections information infrastructure initial intelligence internet italy its latest learndoc learning lets like limit loaders local machine maintaining malaysia malicious malware management many may megacmd microsoft middle miners mitigations modular multiple network new north northern now obfuscation occasionally ocid=magicti operations other overview pacific part permission persistence persistent philippines phishing poses post potentially practice prevent preventing privileges procedures profiles/f0aaa62bfbaf3739bb92106688e6a00fc05eafc0d4158b0e389b4078112d37c6 prohibited protection protection/microsoft protection/windows proxy pua public qatar quickly rakshasa rat recommendations recommends reduce references region regions released remote report reproduction require reserved rights rms romania saharan sample scam sectors separately servers services significant significantly site sites smartscreen smartscreen/microsoft snapshot sneakcross software sophisticated sophistication southern stealth stealthreacher stealthvector stop sub submission such support tactics tailscale targeted targetedindustries targeting techniques technology telecom thailand thereof these threat threats through tool tools toolsets torrent tracked trendmicro trojans ttps turn typhoon uae united unknown unwanted updates us/microsoft us/research/24/h/earth us/windows/security/threat use users uses using variants vietnam view=o365 web webshell websites western which windows without worldwide written |
| Tags | Malware Tool Threat Medical |
| Stories | APT 41 |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.