One Article Review
| Source |  RiskIQ |
|---|---|
| Identifiant | 8557722 |
| Date de publication | 2024-08-14 16:22:03 (vue: 2024-08-14 17:18:25) |
| Titre | Acteur de menace de push silencieux ciblant les banques britanniques dans la campagne d'ingénierie sociale en cours AnyDesk Silent Push tracks threat actor targeting UK banks in ongoing AnyDesk social engineering campaign |
| Texte | ## Instantané Les chercheurs de Silent Push suivent une campagne où les acteurs de la menace se masquent en tant que banques britanniques et autres marques, en utilisant de faux sites Web et des tactiques d'ingénierie sociale pour distribuer une copie du logiciel d'accès à distance AnyDesk aux utilisateurs de Windows et MacOS. ## Description Une fois installé, le logiciel est utilisé pour voler des données et de l'argent aux victimes.Les acteurs de la menace utilisent l'ingénierie sociale, les sites Web usurpés et les tactiques de phishing pour inciter les utilisateurs à télécharger une version d'AnyDesk, ce qui leur permet de mener diverses attaques, notamment l'accès aux victimes de comptes bancaires. La campagne est en cours, avec de nouveaux domaines enregistrés chaque semaine, et la plupart des domaines impliqués sont hébergés en Russie.Les attaquants se font passer pour différentes entreprises en imitant étroitement les sites Web de marque légitimes et ont des antécédents d'activité malveillante. ## Analyse Microsoft Les acteurs de la menace exploitent de plus en plus des outils légitimes dans leurs cyberattaques, en particulier les outils de surveillance et de gestion à distance (RMM) comme AnyDesk.Ces outils, conçus à des fins de support informatique et administratifs, offrent aux attaquants un moyen d'obtenir un accès persistant et souvent non détecté aux systèmes cibles.En utilisant des outils RMM, les cybercriminels peuvent contrôler à distance les appareils compromis, exécuter des commandes et exfiltrater les données sans augmenter les suspicions immédiates car ces outils sont couramment utilisés dans les environnements commerciaux. Anydesk, en particulier, a été utilisé pour maintenir un accès à long terme, contourner les mesures de sécurité traditionnelles et se fondre dans un trafic réseau régulier.Cette approche améliore non seulement la furtivité de leurs opérations, mais complique également les efforts de détection et d'atténuation pour les professionnels de la sécurité. Microsoft a observé un certain nombre de groupes de cybercrimins et de groupes d'activités de l'État-nation utilisant des outils RMM dans le cadre de leurs attaques.Notamment, [Lemon Sandstorm] (https://security.microsoft.com/intel-profiles/0d4189e06940820f500aaad47d944280b34339bc24e7608df130c202bb36f2fa), un groupe d'activités national-state à partir de l'IRAN, [TEMPER-1] (HTTTS] (HTTT ecurity.microsoft.com/ Intel-Profiles / E056344786FAB8E389EACCBCB99C39A2764BB85B26AA55013D968E12FBD073AE), un groupe cybercriminal connu pour le déploiement de Lockbit et [BlackSuit] (https://Secucule.Microsoft.com. B47726C23F206E47B5253B45F3BFF8D17F68A0461EF8398CCDA9) Ransomware et [Storm0824] (https: // Security.microsoft.com/intel-profiles/895ade70af7fabf57b04ad178de7ee1c1ced8e2b42d21769c1e012f440215862), un groupe cybercriminal connu pour mener R opportuniste r opportuniste RLes attaques Ansomware ont mis à profit les RMM, entre autres acteurs. ## Détections / requêtes de chasse Comme les outils utilisés dans ces types de campagnes peuvent avoir des utilisations légitimes, elles ne sont généralement pas détectées comme malveillantes et la chasse proactive est recommandée. ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace: - Utilisez le simulateur d'attaque dans [Microsoft Defender for Office 365] (https://learn.microsoft.com/microsoft-365/security/defender/microsoft-365-security-center-mdo?ocid=Magicti_TA_Learnddoc) pour organiser réel, réel,Pourtant, des campagnes de phishing et d'attaque de mot de passe simulées et sûres dans votre organisation en formant les utilisateurs finaux contre les URL de cliquer dans des messages non sollicités et la divulgation de leurs informations d'identification.La formation doit inclure la vérification de la mauvaise orthographe et de la grammaire dans les e-mails de phishing ou l'écran de consentement de l'app |
| Notes | ★★★ |
| Envoyé | Oui |
| Condensat | **© 1771 2024 2024** 365 365/security/defender 365/security/defender/microsoft 4a9b access accessed accessing account accounts action activity actor actors administrative administrators against all allow allowing also among amp analysis antivirus any anydesk app appearing application applications applocker approach approved are assets attack attacker attackers attacks available b0b8 bank banks based been being best blacksuit blend block blocks both brand brands browsers business but bypass campaign campaigns can center certificate certificates certificates: checking clicking closely cloud com/blog/anydesk/ com/intel com/microsoft com/t5/microsoft com/windows/security/threat commands commonly companies complicates compromised condition conduct consent consider contain containing content control control/applocker/understanding control/select control/wdac copy copyright cover create credentials currently cyber cybercriminal cybercriminals data defender delivered deploying description designed detected detection detections detections/hunting devices different digitally disclosing discovered distribute distribution domain domains downloading edge efforts emails employ employed encourage end endpoint endpoint/enable endpoint/indicators enforce engineering enhancements enhances environment environments equivalent every evolving execute exfiltrate exploits explorer/articles/9782a9ef f650 f97df0aedfce facing fake file files following from functionality further gain grammar group groups harden has have history host hosted https://learn https://security https://techcommunity https://www hunting identifies identify immediate impact impersonate implement include including increasingly information install installation installations installed instances internet investigation involved iran known learndoc learndoc#windows learning legitimate lemon let level levels leverage leveraged like links listing lockbit logos long machine macos maintain majority malicious malware management managment masquerade mdo measures messages mfa microsoft might mimicking mitigation mitigations money monitoring more/ba most names nation network new non not notably note: number observed ocid=magicti offer office often once ongoing only operations opportunistic organization organizations organize originate other out overview p/1377586 part particular particularly password passwords perimeter permission persistent phishing policies poor possible practices proactive product professionals profiles/0d4189e06940820f500aaad47d944280b34339bc24e7608df130c202bb36f2fa profiles/895ade70af7fabf57b04ad178de7ee1c1ced8e2b42d21769c1e012f440215862 profiles/c369785022e6b47726c23f206e47b5253b45f3bff8d17f68a0461ef8398ccda9 profiles/e056344786fab8e389eaccbcb99c39a2764bb85b26aa55013d968e12fbd073ae prohibited protection protection/microsoft protection/windows protections provides publisher purposes push queries raising ransomware rapidly realistic recommendations recommended recommends reduce references registered regular remonte remote remotely reproduction researchers reserved reset review rights rmm rmms rule rules russia safe sandstorm scam screen searching section secure security see services settings should signed silent silentpush simulated simulator since site sites smartscreen smartscreen/microsoft snapshot social software solutions specific specify spelling spoofed state steal stealth storm storm0824 support supports surface suspicion system systems tactics target targeting techniques term testing them thereof these threat threat: tid=0553df8d tools tools tracking tracks traditional traffic training trick trust turn types typically unapproved undetected unknown unsolicited untrusted urls use used users uses using utilizing variants various version victims want warranted way wdac web websites week well where which windows without written yet your |
| Tags | Ransomware Malware Tool Threat |
| Stories | |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.