One Article Review
| Source |  RiskIQ |
|---|---|
| Identifiant | 8562249 |
| Date de publication | 2024-08-22 23:37:56 (vue: 2024-08-23 00:18:12) |
| Titre | Les nouveaux logiciels malveillants Todoswift MacOS liés aux groupes de piratage nord-coréens ciblent l'industrie des crypto-monnaies New TodoSwift macOS Malware Linked to North Korean Hacking Groups Targets Cryptocurrency Industry (Recyclage) |
| Texte | ## Instantané Un nouveau malware macOS, surnommé Todoswift, a été identifié et est censé être associé à l'acteur de menace nord-coréen Bluenoroff, suivi par Microsof 3699334B06D1). ## Description Todoswift se déguise en application nommée Todotasks qui semble télécharger un PDF pour l'utilisateur.Cependant, il exécute simultanément un binaire secondaire malveillant.Le malware utilise un compte-gouttes sophistiqué, écrit en Swift / Swiftui, qui télécharge la charge utile malveillante.Le compte-gouttes exploite également une URL Google Drive, une tactique vue dans d'autres logiciels malveillants de la RPDC. Après avoir téléchargé le binaire de deuxième étape, le compte-gouttes le rend exécutable et le lance, poursuivant une tendance d'attaques similaires ciblant les systèmes macOS.La conception du malware \\, imitant le contenu lié à Bitcoin, suggère son utilisation dans le cyber-espionnage financièrement motivé, conformément aux campagnes précédentes de la RPRC. ## Analyse Microsoft Microsoft assesses that this malicious activity is attributed to [Sapphire Sleet](https://security.microsoft.com/intel-profiles/45e4b0c21eecf6012661ef6df36a058a0ada1c6be74d8d2011ea3699334b06d1), a nation-state sponsored group from North Korea active since at least 2020. Sapphire Sleet focuses primarilysur les organisations du secteur des crypto-monnaies, mais il a été observé étendre ses objectifs aux banques du secteur des services financiers.La principale motivation de ce groupe est de voler des portefeuilles de crypto-monnaie pour générer des revenus et une technologie cible ou une propriété intellectuelle liée àTrading de crypto-monnaie et plates-formes de blockchain. ## Détections / requêtes de chasse ** Microsoft Defender Antivirus ** Microsoft Defender Antivirusdétecte les composants de la menace comme les logiciels malveillants suivants: - [Trojan: macOS / Multiverze] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=trojan:macos/multiverze) ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/en-us/defender-endpoint/linux-preférences) dans Microsoft Defender Antivirus ou l'équivalent de votre produit antivirus pour couvrir rapidement les outils d'attaquant en évolution et et et les outils d'attaquant en évolution rapide ettechniques.Les protections d'apprentissage automatique basées sur le cloud bloquent la majorité des menaces nouvelles et inconnues. - Exécuter [EDR en mode bloc] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-block-mode?view=o365-worldwide?ocid=Magicti_TA_LearnDoc)Le défenseur du point final peut bloquer les artefacts malveillants, même lorsque votre antivirus non microsoft ne détecte pas la menace ou lorsque Microsoft Defender Antivirus fonctionne en mode passif.EDR en mode bloc fonctionne dans les coulisses pour corriger les artefacts malveillants qui sont détectés post-abri. - Autoriser [Investigation and Remediation] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/automated-investigations?view=o365-worldwide?ocid=Magicti_TA_LearnDoc) en mode automatisé complet pour permettre à Microsoft DefenderPour que le point final prenne des mesures immédiates sur les alertes pour résoudre les violations, réduisant considérablement le volume d'alerte. - [Activé] (https://learn.microsoft.com/en-us/defender-endpoint/enable-ctrelled-folders) Accès aux dossiers contrôlés. - Assurez-vous que [Protection de stimulation] (https://learn.microsoft.com/en-us/defender-endpoint/prevent-changes-to-security-settings-with-tamper-protection#how-do-i-configure-Or-Manage-Tamper-Protection) est activé dans Microsoft Defender pour Endpoint. - Activer [Protection réseau] (https://learn.microsoft.com/en-us/defender-endpoint/enable-network-protection) dans Microsoft Defender pour |
| Notes | ★★ |
| Envoyé | Oui |
| Condensat | ##description **© **microsoft 2020 2024 2024** 21562b1004d5/analystreport 365/security/defender 4b5e 5155 access accessed action active activity actor af74 after against age alert alerts all allow also analysis anation antivirus antivirus** any appears application are artifacts assesses associated attack attacker attacks attributed authority automated banks based been behind believed binary bitcoin block blockchain bluenoroff breach breaches but campaigns can changes client cloud com/en com/intel com/microsoft com/threatanalytics3/9382203e common components configure consistent content continuing controlled copyright cover credential criterion cryptocurrency customers cyber defend defender delivered description design detect detected detections/hunting detects disguises distribution does download downloading downloads dprk drive dropper dubbed edr email employs enable enabled encyclopedia endpoint endpoint/attack endpoint/automated endpoint/edr endpoint/enable endpoint/linux endpoint/prevent ensure equivalent espionage even evolving executable executes expanding files financial financially focuses folder folders follow following from full generate google group groups hacking hardening has however https://learn https://security https://www identified immediate impact industry intellectual investigation investigations io/blog/todoswift its itself kandji korea korean launches learndoc learning least leverages linked list local lsa machine macos majority makes malicious malware malware: manage meet microsoft mimicking mitigations mode motivated motivation name=trojan:macos/multiverze named network new non north not observed ocid=magicti organizations other overview part passive payload pdf pdf#new permission platforms post preferences premises prevalence prevent previous primarily primary product profiles/45e4b0c21eecf6012661ef6df36a058a0ada1c6be74d8d2011ea3699334b06d1 prohibited property protection protection#how protections queries ransomware rapidly recommendations recommends reduce reducing reduction reference#block references related remediate remediation reproduction reserved resolve revenue rights rule rules run running sapphire scenes second secondary sector security seen services settings significantly similar simultaneously since site sleet snapshot sophisticated sponsored stage state steal stealing subsystem suggests surface swift/swiftui systems tab tactic take tamper target targeting targets techniques technology theft thereof threat threats todoswift todotasks tools tracked trading trend trojan:macos/multiverze trusted turn unknown unless url us/defender us/wdsi/threats/malware use used user view=o365 volume wallets webmail when which windows within without works worldwide written xdr your |
| Tags | Ransomware Malware Tool Threat Prediction |
| Stories | |
| Move | 
|
Les reprises de l'article (1):
| Source | RiskIQ |
|---|---|
| Identifiant | 8561535 |
| Date de publication | 2024-08-21 17:04:52 (vue: 2024-08-21 17:18:29) |
| Titre | Les logiciels malveillants de Moonpeak des acteurs nord-coréens dévoilent de nouveaux détails sur l'infrastructure de l'attaquant MoonPeak malware from North Korean actors unveils new details on attacker infrastructure (Recyclage) |
| Texte | ## Instantané Cisco Talos a identifié un groupe de menaces parrainé par l'État nord-coréen, appelé UAT-5394, qui a développé et déployé activement une nouvelle variante du malware Xenorat, connu sous le nom de Moonpeak. ## Description Ce groupe a mis en place une infrastructure complexe de stadification, de serveurs de commande et de contrôle (C2) et de machines à tester pour évoluer et affiner leurs logiciels malveillants.La recherche Talos \\ 'met en évidence la capacité de l'UAT-5394 à s'adapter rapidement, passant des services cloud à l'infrastructure appartenant à l'attaquant pour mieux sécuriser leurs opérations. Notamment, Moonpeak a subi plusieurs changements, notamment des modifications de ses protocoles de communication et des techniques d'obscurcissement pour éviter la détection et l'analyse.L'évolution du malware est révélatrice de l'approche sophistiquée du groupe pour maintenir et élargir leurs campagnes malveillantes.Bien qu'il existe des similitudes dans les tactiques et les infrastructures avec le groupe Kimsuky, des liens définitifs entre les deux n'ont pas été établis.Talos continue de surveiller les activités de l'UAT-5394, reconnaissant le potentiel du groupe pour améliorer encore ses capacités de cyber-menace. ## Détections / requêtes de chasse ** Microsoft Defender Antivirus ** Microsoft Defender Antivirus détecte les composants de la menace comme le malware suivant: - [Virus: Win32 / Floxif] (https://www.microsoft.com/en-us/wdsi/Threats/Malware-encyClopedia-Description?name=virus:win32/floxif) - [Trojan: Win32 / Multiverze] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=trojan:win32/multiverze) - [Trojan: Win32 / Malgent! MSR] (HTTPS: //www.microsoft.com/en-us/wdsi/atheats/malware-encyclopedia-description? Name = Trojan: Win32 / Malgent! MSR) ## Recommandations MIcrosoft recommande les atténuations suivantes pour réduire l'impact de cette menace. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/en-us/defender-endpoint/linux-preférences) dans Microsoft Defender Antivirus ou l'équivalent de votre produit antivirus pour couvrir rapidement les outils d'attaquant en évolution et et et les outils d'attaquant en évolution rapide ettechniques.Les protections d'apprentissage automatique basées sur le cloud bloquent la majorité des menaces nouvelles et inconnues. - Exécuter [EDR en mode bloc] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-block-mode?view=o365-worldwide?ocid=Magicti_TA_LearnDoc)Le défenseur du point final peut bloquer les artefacts malveillants, même lorsque votre antivirus non microsoft ne détecte pas la menace ou lorsque Microsoft Defender Antivirus fonctionne en mode passif.EDR en mode bloc fonctionne dans les coulisses pour corriger les artefacts malveillants qui sont détectés post-abri. - Autoriser [Investigation and Remediation] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/automated-investigations?view=o365-worldwide?ocid=Magicti_TA_LearnDoc) en mode automatisé complet pour permettre à Microsoft DefenderPour que le point final prenne des mesures immédiates sur les alertes pour résoudre les violations, réduisant considérablement le volume d'alerte. - [Activé] (https://learn.microsoft.com/en-us/defender-endpoint/enable-ctrelled-folders) Accès aux dossiers contrôlés. - Assurez-vous que [Protection de stimulation] (https://learn.microsoft.com/en-us/defender-endpoint/prevent-changes-to-security-settings-with-tamper-protection#how-do-i-configure-Or-Manage-Tamper-Protection) est activé dans Microsoft Defender pour Endpoint. - Activer [Protection réseau] (https://learn.microsoft.com/en-us/defender-endpoint/enable-network-protection) dans Microsoft Defender pour le point de terminaison. - Suivez les recommandations de durcissement des informations d'identification dans la [vue d'ensemble du vol d'identification sur prémisse] (https: |
| Notes | ★★★ |
| Envoyé | Oui |
| Condensat | **© **microsoft 2024 2024** 21562b1004d5/analystreport 365/security/defender 4b5e 5155 5394 ability access accessed action actively activities actors adapt af74 against age alert alerts all allow analysis antivirus antivirus** any approach are artifacts attack attacker authority automated avoid based been behind better between block breach breaches campaigns can capabilities changes cisco client cloud com/en com/microsoft com/moonpeak com/threatanalytics3/9382203e command common communication complex components configure content continues control controlled copyright cover credential criterion customers cyber defend defender definitive delivered deploying description details detect detected detection detections/hunting detects developing distribution does edr email enable enabled encyclopedia endpoint endpoint/attack endpoint/automated endpoint/edr endpoint/enable endpoint/linux endpoint/prevent enhance ensure equivalent established even evolution evolve evolving executable expanding files folder folders follow following from full further group hardening has have highlights https://blog https://learn https://security https://www identified immediate impact including indicative infrastructure investigation investigations its kimsuky known korea/ korean learndoc learning like links list local lsa lsass machine machines maintaining majority malicious malware malware: manage meet microsoft mitigations mode modifications monitor moonpeak msr name=trojan:win32/malgent name=trojan:win32/multiverze name=virus:win32/floxif network new non north not notably obfuscation ocid=magicti operations overview owned part passive permission post potential preferences premises prevalence prevent product prohibited protection protection#how protections protocols queries ransomware rapidly recognizing recommendations recommends reduce reducing reduction reference#block references referred refine remediate remediation reproduction research reserved resolve rights rule rules run running scenes secure security servers services set settings several shifting significantly similarities site snapshot sophisticated sponsored staging state stealing subsystem surface tactics take talos talosintelligence tamper techniques test theft thereof threat threats tools trojan:win32/malgent trojan:win32/multiverze trusted turn two uat undergone unknown unless unveils us/defender us/wdsi/threats/malware used variant view=o365 virus:win32/floxif volume webmail when windows without works worldwide written xdr xenorat your |
| Tags | Ransomware Malware Tool Threat Cloud |
| Stories | |
| Move |
|
L'article ne semble pas avoir été repris sur un précédent.