One Article Review
| Source |  RiskIQ |
|---|---|
| Identifiant | 8557747 |
| Date de publication | 2024-08-14 17:53:39 (vue: 2024-08-14 18:18:15) |
| Titre | Actors de la menace \\ 'Toolkit: Tireing Sliver, Poshc2 & Batch Scripts Threat Actors\\' Toolkit: Leveraging Sliver, PoshC2 & Batch Scripts |
| Texte | ## Instantané Les chercheurs du rapport DFIR ont identifié des répertoires ouverts contenant des scripts par lots, des exécutables de logiciels malveillants et divers outils pour l'évasion de la défense et la commande et le contrôle (C2). ## Description L'infrastructure de répertoire ouvert était liée à deux outils open source C2 Poshc2 et [Sliver] (https://security.microsoft.com/intel-profiles/7b3299451d6740a9ce460a67156d8be84c0308 comprenait une large gamme de scripts par lotset les logiciels malveillants pour compromettre les systèmes Windows et Linux.L'article a également détaillé les fonctionnalités et les objectifs de divers scripts et commandes de lots trouvés dans les répertoires ouverts.La boîte à outils comprenait des scripts pour effacer les sauvegardes et les copies d'ombre, les journaux d'événements d'essuyage et les données associées, la gestion de la surveillance à distance ([RMM] (https://security.microsoft.com/intel-explorer/articles/9782a9ef)) comme ATERA, etperturber les systèmes en arrêtant des services critiques tels que la déconnexion des sessions utilisateur et la désactivation des outils de sécurité.La partie la plus étendue du script contient des techniques et des capacités d'évasion de défense, comme la suppression de services ciblant les fournisseurs d'antivirus de sécurité bien connus et la suppression de la configuration pour les logiciels de sécurité.Le rapport DFIR a découvert des outils supplémentaires utilisés tels que Ngrok pour les services de proxy, [SystemBC] (https://security.microsoft.com/intel-pROFILES / 530F5CD2221C4BFCF67EA158A1E674EC5A210DBD611DFE9DB652C9ADF97292B) MALWAYnd un cadre C2 instantané supplémentaire unique lié à [Empire] (https://security.microsoft.com/intel-profiles/3ab71ff229d50cdcef3da89057d358a715682bd3e26627daa59e39b1c40b841). L'activité des acteurs de la menace a été observée pour la dernière fois en août 2024, et le rapport DFIR a conclu que ces serveurs peuvent être utilisés dans l'activité d'intrusion des ransomwares en raison de similitudes avec des rapports de ransomware comparables tels que la désactivation ou la suppression de copies fantômes de volume et les commandes SC.DFIR n'a découvert aucune information concernant les cibles ou les victimes potentielles au moment de ce rapport. ## Détections / requêtes de chasse Microsoft Defender Antivirus détecte les composants de la menace comme le malware suivant: - [HackTool: PowerShell / Poshc2] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=hacktool:powershell/Poshc2) - [Virtool: Win32 / Poshc2] (https://www.microsoft.com/en-us/wdsi/Thereats/Malware-encyClopedia-derScription?name=virtool: win32 / poshc2.g & menaceid = -2147140403) - [Virtool: PowerShell / Poshc2] (https://www.microsoft.com/en-us/wdsi/therets/malware-enCyclopedia-Description? Name = Virtool: PowerShell / Poshc2.d & menaceID = -2147187884) - [Backdoor: Linux / Sliver] (https://www.microsoft.com/en-us/wdsi/Thereats/Malware-encyClopedia-Description?name=backDoor:liNux / Sliver.A! Mtb & menaceID = 2147899857) - [Trojan: Linux / Sliver] (https://www.microsoft.com/en-us/wdsi/thereats/malware-encycopedia-dercription?name=trojan:linux/sliver.a!mtb& threattid=-2147142453) - [Trojan: Win64 / Sliver] (https://www.microsoft.com/en-us/wdsi/Thereats/Malware-encyClopedia-description? name = Trojan: win64 / sliver.d & menaceid = -2147161988) - [Comportement: win32 / systembc] (https://www.microsoft.com/en-us/wdsi/atherets/malware-enCyclopedia-Description? Name = Behavior% 3Awin32 / SystemBC.A! NRI & menaceID = -2147149800% 3Focid% 3dmagicti_ta_ency) - [Trojan: Win32 / SystemBC] (https://www.microsoft.com/en-us/wdsi/Threats/Malware-encyClopedia-Description?name=trojan%3Awin32/SystemBc.sa!SMS& ;Trored=-2147150468%3Focid% 3dmagicti_ta_ency) - [VIrtool: PowerShell / Empire] (https://www.microsoft.com/en-us/wdsi/thereats/malware-encycopedia-description?name=Virtool:Powershell/Emp |
| Notes | ★★★ |
| Envoyé | Oui |
| Condensat | **© 2024 2024** 2147071651 2147140403 2147142453 2147149800 2147150468 2147161988 2147187884 2147188011 365/security/defender 3awin32/systembc 3dmagicti 3focid a&threatid= accessed action activity actors additional advanced against age alert alerts all allow also antivirus any are article artifacts associated atera attack attacker attackers attacks august automated backdoor:linux/sliver backups based batch behavior:powershell/empire behavior:win32/systembc behind block both breach breaches but can capabilities certain changes classes cloud com/2024/08/12/threat com/en com/intel com/microsoft command commands common comparable compatibility components compromise concluded configuration containing contains content control copies copyright cover creations criterion critical customers d&threatid= data defender defense deleting delivered delivery deploy description detailed detect detected detection detections/hunting detects dfir did directories directory disabling discover disrupting distribution doesn due edr effective empire enable ency encyclopedia endpoint endpoint/attack endpoint/automated endpoint/configure endpoint/edr endpoint/prevent entire equivalent erasing evasion even event evolving executable executables experience explorer/articles/9782a9ef extensive files first follow following found framework from full functionalities g&threatid= hacktool:powershell/poshc2 hacktool:python/empire https://learn https://security https://thedfirreport https://www huge identified immediate impact included information infrastructure instant intrusion investigation investigations issues known last lateral learndoc learndoc#block learndoc#use learning leveraging like linked linux list logging logs machine majority malicious malware malware: managing may mclg&threatid=2147805228 meet microsoft mitigations mode monitoring most movement mtb&threatid= mtb&threatid=2147889623 mtb&threatid=2147899857 name=backdoor:linux/sliver name=behavior name=behavior:powershell/empire name=hacktool:powershell/poshc2 name=hacktool:python/empire name=trojan name=trojan:linux/sliver name=trojan:powershell/empire name=trojan:win32/empire name=trojan:win64/sliver name=virtool:powershell/empire name=virtool:powershell/poshc2 name=virtool:win32/poshc2 new ngrok non not nri&threatid= observed ocid=magicti off on open organizations originating other part passive permission portion poshc2 post potential prevalence prevent process product profiles/3ab71ff229d50ccdcef3da89057d358a715682bd3e26627daa59e39b1c40b841 profiles/530f5cd2221c4bfcf67ea158a1e674ec5a210dbbd611dfe9db652c9adf97292b profiles/7b3299451d6740a9ce460a67156d8be84c0308fd6e5ccafccdb368da9f06c95c prohibited protection protections proxy psexec purposes queries range ransom ransomware rapidly recommendations recommends reconnaissance reduce reducing reduction reference references regarding remediate remediation remote removing report reports reproduction researchers reserved resolve response rights rmm rule rules running run scenes script scripts scripts/ security server servers services sessions settings shadow should sight significantly similarities single site sliver sms&threatid= snapshot software some source stage: stopping strain such surface sweeping systembc systems take tamper targeting targets techniques thereof these threat threats time toolkit toolkit: tools trojan: trojan:linux/sliver trojan:powershell/empire trojan:win32/empire trojan:win64/sliver trusted turn two uncovered unknown unless us/wdsi/threats/malware use used user variants various vendors victims virtool:powershell/empire virtool:powershell/poshc2 virtool:win32/poshc2 volume well when wide win32/systembc windows wiping without wmi works written your the features in to |
| Tags | Ransomware Malware Tool Threat |
| Stories | |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.