One Article Review
| Source |  RiskIQ |
|---|---|
| Identifiant | 8565718 |
| Date de publication | 2024-08-28 21:59:39 (vue: 2024-08-28 22:18:34) |
| Titre | Peaufiner asyncrat: les attaquants utilisant Python et TryCloudflare pour déployer des logiciels malveillants Tweaking AsyncRAT: Attackers Using Python and TryCloudflare to Deploy Malware (Recyclage) |
| Texte | ## Instantané Un [asyncrat] (https://security.microsoft.com/intel-profiles/e9216610feb409dfb620b28e510f2ae2582439dfc7c7e265815ff1a77601676))La campagne de logiciels malveillants observée par X-Labs de Forcepoint \\ utilise des techniques innovantes pour infiltrer les systèmes Windows et voler des données sensibles. ## Description Cette campagne offre des charges utiles malveillantes via le service de tunnel rapide TryCloudflare et les packages Python, exploitant une infrastructure de tunnel temporaire qui permet un accès à distance.Les attaquants distribuent les logiciels malveillants via des e-mails de phishing avec des pièces jointes HTML qui utilisent le protocole URI "Search-MS" pour déclencher des téléchargements de fichiers LNK malveillants à partir du serveur WebDAV TryCloudflare.Cliquez sur ces fichiers LNK initie une chaîne de téléchargements, en commençant par un fichier BAT exécuté par PowerShell, qui télécharge et exécute davantage des scripts obscurcis et des packages Python. Les scripts Python téléchargés utilisent des CTYPES pour injecter du code malveillant dans des processus légitimes comme Notepad.exe pour maintenir la persistance et se connecter à divers serveurs de commande et de contrôle (C2).Les scripts affichent également de fausses PDF de facture pour tromper les victimes et les activités malveillantes obscures.Les attaquants ont ciblé des industries telles que les soins de santé, les voyages et les services bancaires, exploitant la fonctionnalité "Search-MS" et tirant parti des infrastructures temporaires à faible coût pour leurs opérations. ## Analyse Microsoft Asyncrat est un outil d'accès à distance (RAT) qui permet à un utilisateur de contrôler un ordinateur distant.Il est conçu pour échapper à la détection et est souvent utilisé par les attaquants pour obtenir un accès non autorisé à un système de victime.Asyncrat est écrit en .NET et est capable d'exécuter sur les machines Windows.Il peut effectuer diverses activités malveillantes telles que le keylogging, le vol de fichiers et le déploiement des ransomwares.Son nom provient de son utilisation de techniques de programmation asynchrones, qui lui permettent d'effectuer plusieurs tâches simultanément sans bloquer le fil principal du programme \\. Lire Microsoft \'s [Profil d'outil sur asyncrat] (https: //security.microsoft.com/intel-profiles/E9216610FEB409DFB620B28E510F2AE2582439DFC7C7E265815FF1A776016776) Pour en savoir plus. ## Détections / requêtes de chasse ### Microsoft Defender Antivirus MiMicrosoft Defender Antivirus détecte les composants de la menace comme le malware suivant: - [Trojan: html / phish! Mtb] (https://www.microsoft.com/en-us/wdsi / menaces / malware-secdcopedia-description? name = trojan: html / phish! mtb) - [Trojan: Python / Malgen! ## Recommandations MicroRosoft recommande les atténuations suivantes pour réduire l'impact de cette menace. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/en-us/defender-endpoint/linux-preférences) dans Microsoft Defender Antivirus ou l'équivalent de votre produit antivirus pour couvrir rapidement les outils d'attaquant en évolution et et et les outils d'attaquant en évolution rapide ettechniques.Les protections d'apprentissage automatique basées sur le cloud bloquent la majorité des menaces nouvelles et inconnues. - Exécuter [EDR en mode bloc] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-block-mode?view=o365-worldwide?ocid=Magicti_TA_LearnDoc)Le défenseur du point final peut bloquer les artefacts malveillants, même lorsque votre antivirus non microsoft ne détecte pas la menace ou lorsque Microsoft Defender Antivirus fonctionne en mode passif.EDR en mode bloc fonctionne dans les coulisses pour corriger les artefacts malveillants qui sont détectés post-abri. - Autoriser [Investigation and Remediation] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/automated-in |
| Notes | ★★★ |
| Envoyé | Oui |
| Condensat | ### **© 2024 2024** 21562b1004d5/analystreport 2caudiencebuilding 2cblog 2cemailsecurity 2cglobalpost 2cnoproduct 365/security/defender 4b5e 5155 access accessed action activities additional af74 against age alert alerts all allow allows also analysis antivirus antivirus any are artifacts asynchronous asyncrat asyncrat: attachments attack attacker attackers authority automated banking based bat behind block blocking breach breaches campaign campaign=websecurity can capable carry chain changes clicking client cloud code com/blog/x com/en com/intel com/microsoft com/threatanalytics3/9382203e comes command common components computer configure connect content control controlled copyright cost cover credential criterion ctypes customers data deceive defend defender delivered delivers deploy deployment description designed detect detected detection detections/hunting detects display distribute distribution does downloaded downloads edr email emails enable enabled encyclopedia endpoint endpoint/attack endpoint/automated endpoint/edr endpoint/enable endpoint/linux endpoint/prevent ensure equivalent evade even evolving exe executable executed executes exploiting fake feature file files folder folders follow following forcepoint from full further gain hardening have healthcare html https://learn https://security https://www immediate impact industries infiltrate infrastructure infrastructures initiates injecting innovative investigation investigations invoice its keylogging labs labs/asyncrat learn learndoc learning legitimate leveraging like list lnk local low lsa lsass machine machines main maintain majority malicious malware malware: manage medium=linkedin&utm meet microsoft mitigations mode more msr mtb multiple name name=trojan:html/phish name=trojan:python/malgent net network new non not notepad obfuscated obscure observed ocid=magicti often operations out overview packages part passive payloads pdfs perform permission persistence phishing post powershell preferences premises prevalence prevent processes product profile profiles/e9216610feb409dfb620b28e510f2ae2582439dfc7c7e265815ff1a776016776 program programming prohibited protection protection#how protections protocol python queries quick ransomware rapidly rat read recent recommendations recommends reduce reducing reduction reference#block references remediate remediation remote reproduction reserved resolve rights rule rules run running scenes scripts search security sensitive server servers service settings significantly simultaneously site snapshot source=forcepoint&utm starting steal stealing subsystem such surface system systems take tamper targeted tasks techniques temporary theft thereof these thread threat threats through tool tools travel trigger trojan:html/phish trojan:python/malgent trusted trycloudflare tunnel turn tweaking unauthorized unknown unless uri us/defender us/wdsi/threats/malware use used user uses using utm various victim victims view=o365 volume webdav webmail when which windows without works worldwide written xdr your |
| Tags | Ransomware Malware Tool Threat Medical |
| Stories | |
| Move | 
|
Les reprises de l'article (1):
| Source | RiskIQ |
|---|---|
| Identifiant | 8565719 |
| Date de publication | 2024-08-28 21:35:25 (vue: 2024-08-28 22:18:34) |
| Titre | AUTOIT BOT cible d'abord les comptes Gmail AutoIT Bot Targets Gmail Accounts First (Recyclage) |
| Texte | ## Instantané Des chercheurs de Sonicwall Capture Labs ont identifié un exécutable compilé auto-compilé qui cible les comptes Gmail en tentant d'ouvrir des pages de connexion dans MS Edge, Google Chrome et Mozilla Firefox. ## Description Le logiciel malveillant a la capacité de lire les données du presse-papiers, de capturer des touches, d'exécuter en tant que différents utilisateurs et de redémarrer ou d'arrêter le système.Il peut également détecter les débogueurs, bloquer la saisie des utilisateurs et contrôler les événements du clavier et de la souris.Le malware utilise des bibliothèques obscurcies et dispose de commandes ClearText pour trouver et lancer chaque navigateur sur une page de connexion Google.Bien que les logiciels malveillants tentent d'accéder aux comptes Google, il contient également des liens de connexion génériques pour d'autres sites de médias sociaux majeurs.De plus, le malware met en place une prise d'écoute et crée plusieurs processus lorsque les navigateurs sont exécutés.Cependant, aucune connexion n'a été établie par un serveur C2 lors des tests. ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/en-us/defender-endpoint/linux-preférences) dans Microsoft Defender Antivirus ou l'équivalent de votre produit antivirus pour couvrir rapidement les outils d'attaquant en évolution et et et les outils d'attaquant en évolution rapide ettechniques.Les protections d'apprentissage automatique basées sur le cloud bloquent la majorité des menaces nouvelles et inconnues. - Exécutez [EDR en mode bloc] (https: // apprendre.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-block-mode?view=o365-worldwide?ocid=magicti_ta_learndoc) de sorte que Microsoft Defender pour le point final peut bloquer les artefacts malveillants, même lorsque votre antivirus non microsoft ne détecte pas la menace ou lorsque Microsoft Defender Antivirus fonctionne en mode passif.EDR en mode bloc fonctionne dans les coulisses pour corriger les artefacts malveillants qui sont détectés post-abri. - Autoriser [Investigation and Remediation] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/automated-investigations?view=o365-worldwide?ocid=Magicti_TA_LearnDoc) en mode automatisé complet pour permettre à Microsoft DefenderPour que le point final prenne des mesures immédiates sur les alertes pour résoudre les violations, réduisant considérablement le volume d'alerte. - [Activé] (https://learn.microsoft.com/en-us/defender-endpoint/enable-ctrelled-folders) Accès aux dossiers contrôlés. - Assurez-vous que [Protection de stimulation] (https://learn.microsoft.com/en-us/defender-endpoint/prevent-changes-to-security-settings-with-tamper-protection#how-do-i-configure-Or-Manage-Tamper-Protection) est activé dans Microsoft Defender pour Endpoint. - Activer [Protection réseau] (https://learn.microsoft.com/en-us/defender-endpoint/enable-network-protection) dans Microsoft Defender pour le point de terminaison. - Suivez les recommandations de durcissement des informations d'identification dans la [vue d'ensemble du vol d'identification sur prémisse] (https://security.microsoft.com/Thereatanalytics3/9382203E-5155-4B5E-AF74-21562B1004D5/analyStreport) pour défendre contre des techniques de vol de vol de crédits communs comme LSASS comme LSASSE SEASSS Techniques de volet LSASS comme LSASSS comme LSASSS.accéder. - [Activer] (https://learn.microsoft.com/en-us/defender-endpoint/attack-surface-redulation-Rules-reference #block-credential-staling-from-the-windows-local-security-autehority-Subsystème) Protection LSA. - Les clients de Microsoft Defender XDR peuvent activer la [Règle de réduction de surface d'attaque] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/attack-surface-reduction) pour empêcher les techniques d'attaque courantes utilisées pourransomware. - - [ |
| Notes | ★★★ |
| Envoyé | Oui |
| Condensat | **© 2024 2024** 21562b1004d5/analystreport 365/security/defender 4b5e 5155 access accessed accounts action additionally af74 against age alert alerts all allow also although antivirus any are artifacts attack attacker attempting attempts authority autoit automated based behind block bot breach breaches browser browsers can capability capture changes chrome cleartext client clipboard cloud com/en com/microsoft com/threatanalytics3/9382203e commands common compiled configure connection contains content control controlled copyright cover creates credential criterion customers data debuggers defend defender delivered description detect detected different distribution does during each edge edr email enable enabled endpoint endpoint/attack endpoint/automated endpoint/edr endpoint/enable endpoint/linux endpoint/prevent ensure equivalent even events evolving executable files find firefox first first/ folder folders follow following from full generic gmail google hardening has however https://blog https://learn https://security identified immediate impact input investigation investigations keyboard keystrokes labs launch learndoc learning libraries like links list listening local login lsa lsass machine made major majority malicious malware manage media meet microsoft mitigations mode mouse mozilla multiple network new non not obfuscated ocid=magicti open other overview page pages part passive permission post preferences premises prevalence prevent processes product prohibited protection protection#how protections ransomware rapidly read recommendations recommends reduce reducing reduction reference#block references remediate remediation reproduction researchers reserved resolve restart rights rule rules run running scenes security server sets settings shutdown sign significantly site sites snapshot social socket sonicwall stealing subsystem surface system take tamper targets techniques testing theft thereof threat threats tools trusted turn unknown unless us/2024/08/autoit us/defender used user users uses view=o365 volume webmail when windows without works worldwide written xdr your |
| Tags | Ransomware Malware Tool Threat |
| Stories | |
| Move |
|
L'article ressemble à 1 autre(s) article(s):
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
|
2024-08-30 00:42:39 | (Déjà vu) Deep Analysis of Snake Keylogger\'s New Variant (lien direct) | ## Instantané Fortiguard Labs Threat Research a révélé une campagne de phishing qui fournit une nouvelle variante de Snake Keylogger via un document Excel malveillant.Le document exploite le [CVE-2017-0199] (https://sip.security.microsoft.com/intel-explorer/cves/cve-2017-0199/) Vulnérabilité à télécharger un fichier HTA, qui utilise ensuite Javascript, VBScriptet PowerShell pour récupérer le module de chargeur de KeyLogger Snake. ## Description L'e-mail de phishing tente de tromper les cibles pour ouvrir la pièce jointe malveillante (Swift Copy.xls) en affirmant à tort que les fonds ont été transférés sur leur compte.Une analyse binaire du fichier Excel révèle un objet de liaison intégré spécialement conçu conçu pour exploiter la vulnérabilité CVE-2017-0199, permettant le téléchargement de fichiers supplémentaires et l'exécution d'un code malveillant. La chaîne d'attaque comprend un fichier HTA (107.hta) contenant JavaScript entièrement obscurci, qui incorpore VBScript qui exécute par la suite le code PowerShell pour télécharger un fichier exécutable (Sahost.exe) sur l'ordinateur de la victime.Cet exécutable contient une nouvelle variante de Snake Keylogger, qui est extraite, déchiffrée, chargée et exécutée par le fichier.L'exécutable utilise des techniques de protection multicouches pour établir la persistance et effectuer des creux de processus, permettant au module de base de voler des informations sensibles et de les transmettre à l'attaquant via le protocole SMTP. ### Analyse supplémentaire Snake Keylogger est un type de logiciels malveillants qui enregistre les touches pour capturer des informations sensibles comme les mots de passe et les détails de la carte de crédit.Identifié pour la première fois en 2020, il est écrit en .NET et se propage principalement par des e-mails de phishing contenant des documents de bureau malveillants ou des PDF, selon [Check Point Researchers] (https://www.checkpoint.com/cyber-hub/threat-prevention/What-As-Malware / Snake-KeyLogger-Malware /).Snake Keylogger peut voler des informations d'identification enregistrées des navigateurs Web, des données de presse-papiers et prendre des captures d'écran, en utilisant diverses techniques d'obscuscations pour éviter la détection.Cibler principalement les utilisateurs de Microsoft Windows, il représente une menace critique en raison de ses vastes capacités de vol de données. ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/en-us/defender-endpoint/linux-preférences) dans Microsoft Defender Antivirus ou l'équivalent de votre produit antivirus pour couvrir rapidement les outils d'attaquant en évolution et et et les outils d'attaquant en évolution rapide ettechniques.Les protections d'apprentissage automatique basées sur le cloud bloquent la majorité des menaces nouvelles et inconnues. - Exécuter [EDR en mode bloc] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-block-mode?view=o365-worldwide?ocid=Magicti_TA_LearnDoc)Le défenseur du point final peut bloquer les artefacts malveillants, même lorsque votre antivirus non microsoft ne détecte pas la menace ou lorsque Microsoft Defender Antivirus fonctionne en mode passif.EDR en mode bloc fonctionne dans les coulisses pour corriger les artefacts malveillants qui sont détectés post-abri. - Autoriser [enquête et correction] (HTTPS: //learn.microsoft.com/microsoft-365/security/defender-endpoint/automated-investigations? View = o365 worldwide? ocid = magicTI_TA_LELERNDOC) En mode automatisé complet pour permettre à Microsoft Defender le point de terminaison de prendre des mesures immédiates sur les alertes pour résoudre les violations, réduisant considérablement le volume d'alerte. - [Activé] (https://learn.microsoft.com/en-us/defender-endpoint/enable-ctrelled-folders) Accès aux dossiers contrôlés. - Assur | Ransomware Malware Tool Vulnerability Threat | ★★★ |