One Article Review
| Source |  RiskIQ |
|---|---|
| Identifiant | 8561535 |
| Date de publication | 2024-08-21 17:04:52 (vue: 2024-08-21 17:18:29) |
| Titre | Les logiciels malveillants de Moonpeak des acteurs nord-coréens dévoilent de nouveaux détails sur l'infrastructure de l'attaquant MoonPeak malware from North Korean actors unveils new details on attacker infrastructure (Recyclage) |
| Texte | ## Instantané Cisco Talos a identifié un groupe de menaces parrainé par l'État nord-coréen, appelé UAT-5394, qui a développé et déployé activement une nouvelle variante du malware Xenorat, connu sous le nom de Moonpeak. ## Description Ce groupe a mis en place une infrastructure complexe de stadification, de serveurs de commande et de contrôle (C2) et de machines à tester pour évoluer et affiner leurs logiciels malveillants.La recherche Talos \\ 'met en évidence la capacité de l'UAT-5394 à s'adapter rapidement, passant des services cloud à l'infrastructure appartenant à l'attaquant pour mieux sécuriser leurs opérations. Notamment, Moonpeak a subi plusieurs changements, notamment des modifications de ses protocoles de communication et des techniques d'obscurcissement pour éviter la détection et l'analyse.L'évolution du malware est révélatrice de l'approche sophistiquée du groupe pour maintenir et élargir leurs campagnes malveillantes.Bien qu'il existe des similitudes dans les tactiques et les infrastructures avec le groupe Kimsuky, des liens définitifs entre les deux n'ont pas été établis.Talos continue de surveiller les activités de l'UAT-5394, reconnaissant le potentiel du groupe pour améliorer encore ses capacités de cyber-menace. ## Détections / requêtes de chasse ** Microsoft Defender Antivirus ** Microsoft Defender Antivirus détecte les composants de la menace comme le malware suivant: - [Virus: Win32 / Floxif] (https://www.microsoft.com/en-us/wdsi/Threats/Malware-encyClopedia-Description?name=virus:win32/floxif) - [Trojan: Win32 / Multiverze] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=trojan:win32/multiverze) - [Trojan: Win32 / Malgent! MSR] (HTTPS: //www.microsoft.com/en-us/wdsi/atheats/malware-encyclopedia-description? Name = Trojan: Win32 / Malgent! MSR) ## Recommandations MIcrosoft recommande les atténuations suivantes pour réduire l'impact de cette menace. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/en-us/defender-endpoint/linux-preférences) dans Microsoft Defender Antivirus ou l'équivalent de votre produit antivirus pour couvrir rapidement les outils d'attaquant en évolution et et et les outils d'attaquant en évolution rapide ettechniques.Les protections d'apprentissage automatique basées sur le cloud bloquent la majorité des menaces nouvelles et inconnues. - Exécuter [EDR en mode bloc] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-block-mode?view=o365-worldwide?ocid=Magicti_TA_LearnDoc)Le défenseur du point final peut bloquer les artefacts malveillants, même lorsque votre antivirus non microsoft ne détecte pas la menace ou lorsque Microsoft Defender Antivirus fonctionne en mode passif.EDR en mode bloc fonctionne dans les coulisses pour corriger les artefacts malveillants qui sont détectés post-abri. - Autoriser [Investigation and Remediation] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/automated-investigations?view=o365-worldwide?ocid=Magicti_TA_LearnDoc) en mode automatisé complet pour permettre à Microsoft DefenderPour que le point final prenne des mesures immédiates sur les alertes pour résoudre les violations, réduisant considérablement le volume d'alerte. - [Activé] (https://learn.microsoft.com/en-us/defender-endpoint/enable-ctrelled-folders) Accès aux dossiers contrôlés. - Assurez-vous que [Protection de stimulation] (https://learn.microsoft.com/en-us/defender-endpoint/prevent-changes-to-security-settings-with-tamper-protection#how-do-i-configure-Or-Manage-Tamper-Protection) est activé dans Microsoft Defender pour Endpoint. - Activer [Protection réseau] (https://learn.microsoft.com/en-us/defender-endpoint/enable-network-protection) dans Microsoft Defender pour le point de terminaison. - Suivez les recommandations de durcissement des informations d'identification dans la [vue d'ensemble du vol d'identification sur prémisse] (https: |
| Notes | ★★★ |
| Envoyé | Oui |
| Condensat | **© **microsoft 2024 2024** 21562b1004d5/analystreport 365/security/defender 4b5e 5155 5394 ability access accessed action actively activities actors adapt af74 against age alert alerts all allow analysis antivirus antivirus** any approach are artifacts attack attacker authority automated avoid based been behind better between block breach breaches campaigns can capabilities changes cisco client cloud com/en com/microsoft com/moonpeak com/threatanalytics3/9382203e command common communication complex components configure content continues control controlled copyright cover credential criterion customers cyber defend defender definitive delivered deploying description details detect detected detection detections/hunting detects developing distribution does edr email enable enabled encyclopedia endpoint endpoint/attack endpoint/automated endpoint/edr endpoint/enable endpoint/linux endpoint/prevent enhance ensure equivalent established even evolution evolve evolving executable expanding files folder folders follow following from full further group hardening has have highlights https://blog https://learn https://security https://www identified immediate impact including indicative infrastructure investigation investigations its kimsuky known korea/ korean learndoc learning like links list local lsa lsass machine machines maintaining majority malicious malware malware: manage meet microsoft mitigations mode modifications monitor moonpeak msr name=trojan:win32/malgent name=trojan:win32/multiverze name=virus:win32/floxif network new non north not notably obfuscation ocid=magicti operations overview owned part passive permission post potential preferences premises prevalence prevent product prohibited protection protection#how protections protocols queries ransomware rapidly recognizing recommendations recommends reduce reducing reduction reference#block references referred refine remediate remediation reproduction research reserved resolve rights rule rules run running scenes secure security servers services set settings several shifting significantly similarities site snapshot sophisticated sponsored staging state stealing subsystem surface tactics take talos talosintelligence tamper techniques test theft thereof threat threats tools trojan:win32/malgent trojan:win32/multiverze trusted turn two uat undergone unknown unless unveils us/defender us/wdsi/threats/malware used variant view=o365 virus:win32/floxif volume webmail when windows without works worldwide written xdr xenorat your |
| Tags | Ransomware Malware Tool Threat Cloud |
| Stories | |
| Move | 
|
Les reprises de l'article (1):
| Source | RiskIQ |
|---|---|
| Identifiant | 8561043 |
| Date de publication | 2024-08-20 20:51:50 (vue: 2024-08-20 21:18:22) |
| Titre | Best Laid Plans: TA453 Targets Religious Figure with Fake Podcast Invite Delivering New BlackSmith Malware Toolset |
| Texte | #### Targeted Geolocations - Israel - United States ## Snapshot Researchers at Proofpoint have identified a new cyber-espionage campaign by the Iranian threat actor TA453, targeting a prominent Jewish religious figure with a fake podcast interview invitation. ## Description TA453 actors targeted multiple email accounts for the victim, including their organizational email address and personal email address in attempts to deploy a new malware toolkit called BlackSmith, which loads the group\'s Powershell Trojan dubbed AnvilEcho. AnvilEcho consolidates previous TA453 malware capabilities into a single script, enhancing its intelligence-gathering potential. The trojan has a number of functions, some of which are enhanced malware models previously used by TA453. Notably, the AnvilEcho contains Redo-It and Do-It functions to conduct reconniassance and exfiltrate information to TA452-controlled infrastructure. According to Proofpoint, the TA453 has been observed targeting a series of diplomatic and political entities, including embassies in Tehran and US political campaigns. While Proofpoint is unable to link TA453 to individual members of the Islamic Revolutionary Guard Corps (IRGC), they assess that this campaign is likely part of intelligence collection efforts in support of the IRGC. ## Microsoft Analysis Microsoft Threat Intelligence assesses the malicious activity described in this report is attributed to [Mint Sandstorm](https://security.microsoft.com/intel-profiles/05c5c1b864581c264d955df783455ecadf9b98471e408f32947544178e7bd0e3) based on the indicators of compromise (IOCs) and the group\'s previously observed tactics, techniques, and procedures (TTPs). Microsoft has observed Mint Sandstorm using some of the same infrastructure to target other prominent figures in Israel. Proofpoint\'s report aligns with Microsoft\'s observations of previous Mint Sandstorm activity as the group has been known to obtain initial access through spear-phishing campaigns and target individuals and organizations in Israel and the United States. Mint Sandstorm is a composite name used to describe several subgroups of activity with ties to the Islamic Revolutionary Guard Corps (IRGC). Read more about [Mint Sandstorm](https://security.microsoft.com/intel-profiles/05c5c1b864581c264d955df783455ecadf9b98471e408f32947544178e7bd0e3) and the group\'s [past activity](https://security.microsoft.com/intel-explorer/articles/0d1182f5). ## Recommendations Microsoft recommends the following mitigations to reduce the impact of this threat. - Turn on [cloud-delivered protection](https://learn.microsoft.com/en-us/defender-endpoint/linux-preferences) in Microsoft Defender Antivirus or the equivalent for your antivirus product to cover rapidly evolving attacker tools and techniques. Cloud-based machine learning protections block a majority of new and unknown threats. - Run [EDR in block mode](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-block-mode?view=o365-worldwide?ocid=magicti_ta_learndoc) so that Microsoft Defender for Endpoint can block malicious artifacts, even when your non-Microsoft antivirus does not detect the threat or when Microsoft Defender Antivirus is running in passive mode. EDR in block mode works behind the scenes to remediate malicious artifacts that are detected post-breach. - Allow [investigation and remediation](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/automated-investigations?view=o365-worldwide?ocid=magicti_ta_learndoc) in full automated mode to allow Microsoft Defender for Endpoint to take immediate action on alerts to resolve breaches, significantly reducing alert volume. - [Enable](https://learn.microsoft.com/en-us/defender-endpoint/enable-controlled-folders) controlled folder access. - Ensure that [tamper protection](https://learn.microsoft.com/en-us/defender-endpoint/prevent-changes-to-security-settings-with-tamper-protection#how-do-i-configure-or-manage-tamper-protecti |
| Notes | ★★★ |
| Envoyé | Oui |
| Condensat | #### **© 2024 2024** 21562b1004d5/analystreport 365/security/defender 4b5e 5155 about access accessed according accounts action activity actor actors address af74 against age alert alerts aligns all allow analysis antivirus anvilecho any are artifacts assess assesses attack attacker attempts attributed authority automated based been behind best blacksmith block breach breaches called campaign campaigns can capabilities changes client cloud collection com/en com/intel com/microsoft com/threatanalytics3/9382203e com/us/blog/threat common composite compromise conduct configure consolidates contains content controlled copyright corps cover credential criterion customers cyber defend defender delivered delivering deploy describe described description detect detected diplomatic distribution does dubbed edr efforts email embassies enable enabled endpoint endpoint/attack endpoint/automated endpoint/edr endpoint/enable endpoint/linux endpoint/prevent enhanced enhancing ensure entities equivalent espionage even evolving executable exfiltrate explorer/articles/0d1182f5 fake figure figures files folder folders follow following from full functions gathering geolocations group guard hardening has have https://learn https://security https://www identified immediate impact including indicators individual individuals information infrastructure initial insight/best intelligence interview investigation investigations invitation invite iocs iranian irgc islamic israel its jewish known laid learndoc learning like likely link list loads local lsa lsass machine majority malicious malware manage meet members microsoft mint mitigations mode models more multiple name network new non not notably number observations observed obtain ocid=magicti organizational organizations other overview part passive past permission personal phishing plans plans: podcast political post potential powershell preferences premises prevalence prevent previous previously procedures product profiles/05c5c1b864581c264d955df783455ecadf9b98471e408f32947544178e7bd0e3 prohibited prominent proofpoint protection protection#how protections ransomware rapidly read recommendations recommends reconniassance redo reduce reducing reduction reference#block references religious remediate remediation report reproduction researchers reserved resolve revolutionary rights rule rules run running same sandstorm scenes script security series settings several significantly single site snapshot some spear states stealing subgroups subsystem support surface ta452 ta453 tactics take tamper target targeted targeting targets techniques tehran theft thereof threat threats through ties toolkit tools toolset to trojan trusted ttps turn unable united unknown unless us/defender used using victim view=o365 volume webmail when which windows without works worldwide written xdr your |
| Tags | Ransomware Malware Tool Threat |
| Stories | |
| Move |
|
L'article ressemble à 1 autre(s) article(s):
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
|
2024-08-22 23:37:56 | (Déjà vu) Les nouveaux logiciels malveillants Todoswift MacOS liés aux groupes de piratage nord-coréens ciblent l'industrie des crypto-monnaies New TodoSwift macOS Malware Linked to North Korean Hacking Groups Targets Cryptocurrency Industry (lien direct) |
## Instantané Un nouveau malware macOS, surnommé Todoswift, a été identifié et est censé être associé à l'acteur de menace nord-coréen Bluenoroff, suivi par Microsof 3699334B06D1). ## Description Todoswift se déguise en application nommée Todotasks qui semble télécharger un PDF pour l'utilisateur.Cependant, il exécute simultanément un binaire secondaire malveillant.Le malware utilise un compte-gouttes sophistiqué, écrit en Swift / Swiftui, qui télécharge la charge utile malveillante.Le compte-gouttes exploite également une URL Google Drive, une tactique vue dans d'autres logiciels malveillants de la RPDC. Après avoir téléchargé le binaire de deuxième étape, le compte-gouttes le rend exécutable et le lance, poursuivant une tendance d'attaques similaires ciblant les systèmes macOS.La conception du malware \\, imitant le contenu lié à Bitcoin, suggère son utilisation dans le cyber-espionnage financièrement motivé, conformément aux campagnes précédentes de la RPRC. ## Analyse Microsoft Microsoft assesses that this malicious activity is attributed to [Sapphire Sleet](https://security.microsoft.com/intel-profiles/45e4b0c21eecf6012661ef6df36a058a0ada1c6be74d8d2011ea3699334b06d1), a nation-state sponsored group from North Korea active since at least 2020. Sapphire Sleet focuses primarilysur les organisations du secteur des crypto-monnaies, mais il a été observé étendre ses objectifs aux banques du secteur des services financiers.La principale motivation de ce groupe est de voler des portefeuilles de crypto-monnaie pour générer des revenus et une technologie cible ou une propriété intellectuelle liée àTrading de crypto-monnaie et plates-formes de blockchain. ## Détections / requêtes de chasse ** Microsoft Defender Antivirus ** Microsoft Defender Antivirusdétecte les composants de la menace comme les logiciels malveillants suivants: - [Trojan: macOS / Multiverze] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=trojan:macos/multiverze) ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/en-us/defender-endpoint/linux-preférences) dans Microsoft Defender Antivirus ou l'équivalent de votre produit antivirus pour couvrir rapidement les outils d'attaquant en évolution et et et les outils d'attaquant en évolution rapide ettechniques.Les protections d'apprentissage automatique basées sur le cloud bloquent la majorité des menaces nouvelles et inconnues. - Exécuter [EDR en mode bloc] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-block-mode?view=o365-worldwide?ocid=Magicti_TA_LearnDoc)Le défenseur du point final peut bloquer les artefacts malveillants, même lorsque votre antivirus non microsoft ne détecte pas la menace ou lorsque Microsoft Defender Antivirus fonctionne en mode passif.EDR en mode bloc fonctionne dans les coulisses pour corriger les artefacts malveillants qui sont détectés post-abri. - Autoriser [Investigation and Remediation] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/automated-investigations?view=o365-worldwide?ocid=Magicti_TA_LearnDoc) en mode automatisé complet pour permettre à Microsoft DefenderPour que le point final prenne des mesures immédiates sur les alertes pour résoudre les violations, réduisant considérablement le volume d'alerte. - [Activé] (https://learn.microsoft.com/en-us/defender-endpoint/enable-ctrelled-folders) Accès aux dossiers contrôlés. - Assurez-vous que [Protection de stimulation] (https://learn.microsoft.com/en-us/defender-endpoint/prevent-changes-to-security-settings-with-tamper-protection#how-do-i-configure-Or-Manage-Tamper-Protection) est activé dans Microsoft Defender pour Endpoint. - Activer [Protection réseau] (https://learn.microsoft.com/en-us/defender-endpoint/enable-network-protection) dans Microsoft Defender pour | Ransomware Malware Tool Threat Prediction | ★★ |