One Article Review
| Source |  RiskIQ |
|---|---|
| Identifiant | 8556556 |
| Date de publication | 2024-08-12 19:32:09 (vue: 2024-08-12 20:18:20) |
| Titre | UAC-0198: Distribution de masse d'Anonvnc (Meshagent) parmi les organisations publiques d'Ukraine UAC-0198: Mass distribution of ANONVNC (MeshAgent) among state organizations of Ukraine |
| Texte | ## Instantané L'équipe gouvernementale d'intervention d'urgence informatique d'Ukraine (CERT-UA) a signalé une campagne de phishing qui semblait faussement provenir du service de sécurité de l'Ukraine et a conduit au téléchargement de fichiers MSI malveillants contenant des logiciels malveillants AnonVNC (Meshagent). ## Description Ce logiciel malveillant, dérivé du code Meshagent accessible au public, permet un accès distant non autorisé aux ordinateurs infectés.Plus de 100 systèmes, dont ceux des organismes gouvernementaux ukrainiens, ont été compromis par cette attaque, qui se poursuit depuis juillet 2024 sous l'identifiant de l'UAC-0198. ### Analyse supplémentaire Meshagent est un outil de gestion à distance open source qui a été exploité par divers acteurs de menace pour obtenir un accès non autorisé aux ordinateurs des victimes.Il peut collecter des informations système essentielles pour la gestion à distance et propose des fonctionnalités telles que la gestion de l'alimentation et du compte, le chat ou les fenêtres contextuelles de message, le transfert de fichiers et l'exécution des commandes.De plus, il prend en charge les capacités de bureau à distance basées sur le Web telles que RDP et VNC.Bien que les utilisateurs puissent utiliser cet outil de gestion légitime du système à distance, ces fonctionnalités sont également très attrayantes pour les acteurs malveillants.Par exemple, en mai, [Cisco Talos a rapporté] (https://sip.security.microsoft.com/intel-explorer/articles/39e87f2a) sur une campagne de vol de données à l'aide de Meshagent ainsi que Quaserrat pour compromettre les serveurs d'application vulnérables exposés à la Meshagent avec Quaserrat pour compromettre les serveurs d'applications vulnérables exposés à laInternet.Et en mars, [AHNLAB Security Intelligence Center (ASEC) Reports] (https://asec.ahnlab.com/en/63192/) D sur le groupe Andariel parrainé par l'État exploitant Meshagent pour cibler les solutions de gestion des actifs coréens. ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace.Vérifiez la carte de recommandations pour l'état de déploiement des atténuations surveillées. - Pilot et déploie [méthodes d'authentification résistantes à la phishing pour les utilisateurs.] (Https://learn.microsoft.com/en-us/entra/identity/authentication/concept-authentication-methods?ocid=Magicti_ta_learndoc) - Configurer Microsoft Defender pour Office 365 à [Rechercher les liens sur Click.] (Https://learn.microsoft.com/en-us/defender-office-365/safe-links-about?ocid=Magicti_TA_LearnDoc) Les liens de sécurité fournissent UrlAnalyse et réécriture des e-mails entrants dans le flux de messagerie et vérification du temps de clic des URL et des liens dans les e-mails, d'autres applications Microsoft 365 telles que des équipes et d'autres emplacements tels que SharePoint Online.La numérisation des liens sûrs se produit en plus de la [anti-spam] régulière (https://learn.microsoft.com/en-us/defenderofice-365/anti-spam-protection-about?ocid=Magicti_ta_learndoc) et [anti-Malware] (https://learn.microsoft.com/en-us/defender-office-365/anti-malware-protection-about?ocid=magicti_ta_learndoc) Protection dans les messages e-mail entrants dans Microsoft Exchange en ligne Protection en ligne (EOP).La numérisation des liens sûrs peut aider à protéger votre organisation contre les liens malveillants utilisés dans le phishing et d'autres attaques. - Encouragez les utilisateurs à utiliser Microsoft Edge et d'autres navigateurs Web qui prennent en charge [Microsoft Defender SmartScreen] (https://learn.microsoft.com / en-us / deployged / Microsoft-Edge-Securey-SmartScreen? OCID = magicti_ta_learndoc), qui identifie et bloqueDes sites Web malveillants, y compris des sites de phishing, des sites d'arnaque et des sites qui hébergent des logiciels malveillants. - Allumez [Protection de livraison du cloud] (https://learn.microsoft.com/en-us/defender-endpoint/clou |
| Notes | ★★★ |
| Envoyé | Oui |
| Condensat | ### **© 0198 0198: 100 2024 2024** 365 365/anti 365/safe about access accessed accessing account action actors addition additional additionally age ahnlab alert alerts all allow allows along also among analysis andariel anonvnc anti antivirus any appeared application applications apps are artifacts asec asset attack attacks attractive authentication automated available based been behind block blocks bodies breach breaches browsers campaign can capabilities card center cert chat check cisco click cloud code com/en com/en/63192/ com/intel command common compromised compromise vulnerable computer computers configure containing content copyright cover criterion customers data defender delivered deployment deploy derived description desktop detect detected detection distribution does domains download edge edr email emergency enable encourage endpoint endpoint/attack endpoint/automated endpoint/cloud endpoint/detect endpoint/edr endpoint/enable eop equivalent essential even evolving example exchange executable execution exploited exploiting explorer/articles/39e87f2a exposed falsely features file files flow following from full gain gather gov government group has have help highly host https://asec https://cert https://learn https://sip identifier identifies immediate impact inbound including infected information intelligence internet investigation investigations july korean learndoc learndoc#block learning led legitimate like links list locations machine mail majority malicious malware management march mass may meet meshagent message messages methods microsoft mitigations mode monitored msi network new non not obfuscated occurs ocid=magicti offers office ongoing online on open organization organizations other over part passive permission phishing pilot pop post potentially power prevalence prevent product prohibited protect protection protections provides pua publicly quaserrat rapidly rdp recheck recommendations recommends reduce reducing reduction reference references regular remediate remediation remote reporte reported reproduction reserved resistant resolve response rewriting rights rules running run safe scam scanning scenes scripts security servers service sharepoint significantly since site sites smartscreen snapshot solutions source spam sponsored state status such supports support surface system systems take talos target team teams techniques techniques: theft thereof these those threat time tool tools to transfer trusted turn ua/article/6280345 uac ukraine ukrainian unauthorized under unknown unless unwanted ups url urls us/defender us/deployedge/microsoft us/entra/identity/authentication/concept use used users using utilize variants various verification victims vnc volume web websites when which within without works written xdr your ahnlab and computer in protection safe to |
| Tags | Malware Tool Threat |
| Stories | |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.