One Article Review
| Source |  RiskIQ |
|---|---|
| Identifiant | 8565719 |
| Date de publication | 2024-08-28 21:35:25 (vue: 2024-08-28 22:18:34) |
| Titre | AUTOIT BOT cible d'abord les comptes Gmail AutoIT Bot Targets Gmail Accounts First (Recyclage) |
| Texte | ## Instantané Des chercheurs de Sonicwall Capture Labs ont identifié un exécutable compilé auto-compilé qui cible les comptes Gmail en tentant d'ouvrir des pages de connexion dans MS Edge, Google Chrome et Mozilla Firefox. ## Description Le logiciel malveillant a la capacité de lire les données du presse-papiers, de capturer des touches, d'exécuter en tant que différents utilisateurs et de redémarrer ou d'arrêter le système.Il peut également détecter les débogueurs, bloquer la saisie des utilisateurs et contrôler les événements du clavier et de la souris.Le malware utilise des bibliothèques obscurcies et dispose de commandes ClearText pour trouver et lancer chaque navigateur sur une page de connexion Google.Bien que les logiciels malveillants tentent d'accéder aux comptes Google, il contient également des liens de connexion génériques pour d'autres sites de médias sociaux majeurs.De plus, le malware met en place une prise d'écoute et crée plusieurs processus lorsque les navigateurs sont exécutés.Cependant, aucune connexion n'a été établie par un serveur C2 lors des tests. ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/en-us/defender-endpoint/linux-preférences) dans Microsoft Defender Antivirus ou l'équivalent de votre produit antivirus pour couvrir rapidement les outils d'attaquant en évolution et et et les outils d'attaquant en évolution rapide ettechniques.Les protections d'apprentissage automatique basées sur le cloud bloquent la majorité des menaces nouvelles et inconnues. - Exécutez [EDR en mode bloc] (https: // apprendre.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-block-mode?view=o365-worldwide?ocid=magicti_ta_learndoc) de sorte que Microsoft Defender pour le point final peut bloquer les artefacts malveillants, même lorsque votre antivirus non microsoft ne détecte pas la menace ou lorsque Microsoft Defender Antivirus fonctionne en mode passif.EDR en mode bloc fonctionne dans les coulisses pour corriger les artefacts malveillants qui sont détectés post-abri. - Autoriser [Investigation and Remediation] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/automated-investigations?view=o365-worldwide?ocid=Magicti_TA_LearnDoc) en mode automatisé complet pour permettre à Microsoft DefenderPour que le point final prenne des mesures immédiates sur les alertes pour résoudre les violations, réduisant considérablement le volume d'alerte. - [Activé] (https://learn.microsoft.com/en-us/defender-endpoint/enable-ctrelled-folders) Accès aux dossiers contrôlés. - Assurez-vous que [Protection de stimulation] (https://learn.microsoft.com/en-us/defender-endpoint/prevent-changes-to-security-settings-with-tamper-protection#how-do-i-configure-Or-Manage-Tamper-Protection) est activé dans Microsoft Defender pour Endpoint. - Activer [Protection réseau] (https://learn.microsoft.com/en-us/defender-endpoint/enable-network-protection) dans Microsoft Defender pour le point de terminaison. - Suivez les recommandations de durcissement des informations d'identification dans la [vue d'ensemble du vol d'identification sur prémisse] (https://security.microsoft.com/Thereatanalytics3/9382203E-5155-4B5E-AF74-21562B1004D5/analyStreport) pour défendre contre des techniques de vol de vol de crédits communs comme LSASS comme LSASSE SEASSS Techniques de volet LSASS comme LSASSS comme LSASSS.accéder. - [Activer] (https://learn.microsoft.com/en-us/defender-endpoint/attack-surface-redulation-Rules-reference #block-credential-staling-from-the-windows-local-security-autehority-Subsystème) Protection LSA. - Les clients de Microsoft Defender XDR peuvent activer la [Règle de réduction de surface d'attaque] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/attack-surface-reduction) pour empêcher les techniques d'attaque courantes utilisées pourransomware. - - [ |
| Notes | ★★★ |
| Envoyé | Oui |
| Condensat | **© 2024 2024** 21562b1004d5/analystreport 365/security/defender 4b5e 5155 access accessed accounts action additionally af74 against age alert alerts all allow also although antivirus any are artifacts attack attacker attempting attempts authority autoit automated based behind block bot breach breaches browser browsers can capability capture changes chrome cleartext client clipboard cloud com/en com/microsoft com/threatanalytics3/9382203e commands common compiled configure connection contains content control controlled copyright cover creates credential criterion customers data debuggers defend defender delivered description detect detected different distribution does during each edge edr email enable enabled endpoint endpoint/attack endpoint/automated endpoint/edr endpoint/enable endpoint/linux endpoint/prevent ensure equivalent even events evolving executable files find firefox first first/ folder folders follow following from full generic gmail google hardening has however https://blog https://learn https://security identified immediate impact input investigation investigations keyboard keystrokes labs launch learndoc learning libraries like links list listening local login lsa lsass machine made major majority malicious malware manage media meet microsoft mitigations mode mouse mozilla multiple network new non not obfuscated ocid=magicti open other overview page pages part passive permission post preferences premises prevalence prevent processes product prohibited protection protection#how protections ransomware rapidly read recommendations recommends reduce reducing reduction reference#block references remediate remediation reproduction researchers reserved resolve restart rights rule rules run running scenes security server sets settings shutdown sign significantly site sites snapshot social socket sonicwall stealing subsystem surface system take tamper targets techniques testing theft thereof threat threats tools trusted turn unknown unless us/2024/08/autoit us/defender used user users uses view=o365 volume webmail when windows without works worldwide written xdr your |
| Tags | Ransomware Malware Tool Threat |
| Stories | |
| Move | 
|
Les reprises de l'article (1):
| Source | RiskIQ |
|---|---|
| Identifiant | 8565496 |
| Date de publication | 2024-08-28 15:13:46 (vue: 2024-08-28 15:18:25) |
| Titre | Stealthy \'sedexp\' Linux malware evaded detection for two years |
| Texte | ## Snapshot Researchers at Stroz Friedberg have identified a Linux malware called \'sedexp\' that\'s been evading detection since 2022. The malware uses udev rules to maintain persistence and evade detection. ## Description Udev is a device management system for the Linux kernel that dynamically creates or removes device node files, handles hotplug events to configure new devices, and loads drivers as necessary. By adding a udev rule that triggers when a new device is added to the system, the sedexp malware ensures frequent execution by exploiting the essential system component /dev/random, which is not monitored by security solutions. The malware also disguises itself as a legitimate system process named \'kdevtmpfs\' to blend in with normal activities and sets up a reverse shell for remote access. Additionally, it employs memory manipulation techniques to hide its presence and has been used in hiding credit card scraping code on compromised web servers. ## Recommendations Microsoft recommends the following mitigations to reduce the impact of this threat. Check the recommendations card for the deployment status of monitored mitigations. - Turn on [cloud-delivered protection](https://learn.microsoft.com/en-us/defender-endpoint/linux-preferences) in Microsoft Defender Antivirus or the equivalent for your antivirus product to cover rapidly evolving attacker tools and techniques. Cloud-based machine learning protections block a majority of new and unknown threats. - Run [EDR in block mode](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-block-mode?view=o365-worldwide?ocid=magicti_ta_learndoc) so that Microsoft Defender for Endpoint can block malicious artifacts, even when your non-Microsoft antivirus does not detect the threat or when Microsoft Defender Antivirus is running in passive mode. EDR in block mode works behind the scenes to remediate malicious artifacts that are detected post-breach. - Allow [investigation and remediation](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/automated-investigations?view=o365-worldwide?ocid=magicti_ta_learndoc) in full automated mode to allow Microsoft Defender for Endpoint to take immediate action on alerts to resolve breaches, significantly reducing alert volume. - [Enable](https://learn.microsoft.com/en-us/defender-endpoint/enable-controlled-folders) controlled folder access. - Ensure that [tamper protection](https://learn.microsoft.com/en-us/defender-endpoint/prevent-changes-to-security-settings-with-tamper-protection#how-do-i-configure-or-manage-tamper-protection) is enabled in Microsoft Defender for Endpoint. - Enable [network protection](https://learn.microsoft.com/en-us/defender-endpoint/enable-network-protection) in Microsoft Defender for Endpoint. - Follow the credential hardening recommendations in the [on-premises credential theft overview](https://security.microsoft.com/threatanalytics3/9382203e-5155-4b5e-af74-21562b1004d5/analystreport) to defend against common credential theft techniques like LSASS access. - [Enable](https://learn.microsoft.com/en-us/defender-endpoint/attack-surface-reduction-rules-reference#block-credential-stealing-from-the-windows-local-security-authority-subsystem) LSA protection. - Microsoft Defender XDR customers can turn on the following [attack surface reduction rule](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/attack-surface-reduction) to prevent common attack techniques used for ransomware. - - [Block](https://learn.microsoft.com/en-us/defender-endpoint/attack-surface-reduction-rules-reference#block-executable-content-from-email-client-and-webmail) executable content from email client and webmail - [Block](https://learn.microsoft.com/en-us/defender-endpoint/attack-surface-reduction-rules-reference#block-executable-files-from-running-unless-they-meet-a-prevalence-age-or-trusted-list-criterion) executable files from running unless they meet a prevalence, age, or trusted list criterion - [Use]( |
| Notes | ★★★ |
| Envoyé | Oui |
| Condensat | **© /dev/random 2022 2024 2024** 21562b1004d5/analystreport 365/security/defender 496d 4b5e 5155 accept access accessed action activities ad3c added adding additionally advanced adverse af74 against age alert alerts all allow also antivirus any aon are artifacts assess attack attacker authority automated based been behind bleeping bleepingcomputer blend block blocking breach breaches c6a795a33c27/analystreport called can card changes check client cloud code com/en com/en/insights/cyber com/microsoft com/news/security/stealthy com/security com/threatanalytics3/05658b6c com/threatanalytics3/9382203e common component compromised computer configure content controlled copyright cover creates credential credit criterion customers dc62 defend defender delivered deployment description details detect detected detection determine device devices disguises distribution does drivers dynamically edr email employs enable enabled enabling endpoint endpoint/attack endpoint/automated endpoint/edr endpoint/enable endpoint/linux endpoint/prevent ensure ensures equivalent essential evade evaded evading even events evolving executable execution exploiting files folder folders follow following frequent friedberg from full handles hardening has have hide hiding hotplug how https://learn https://security https://www human identified immediate impact investigation investigations its itself kdevtmpfs kernel labs/unveiling learndoc learning legitimate like linux list loads local lsa lsass machine maintain majority malicious malware manage management manipulation meet memory microsoft might mitigations mode monitored monitoring named necessary network new node non normal not ocid=magicti opening operated overview pane part passive percentage permission persistence policy post preferences premises presence prevalence prevent process product productivity prohibited protection protection#how protections ransomware rapidly recommendation recommendations recommends reduce reducing reduction refer reference#block reference#use references remediate remediation remote removes reproduction researchers reserved resolve reverse rights rule rules run running scenes scraping security sedexp servers sets settings shell significantly since site snapshot solutions status stealing stealthy stroz subsystem surface system ta2 take tamper techniques that theft thereof threat threats tools triggers trusted turn tvmsecreco two udev unknown unless unveiling us/defender use used user uses view=o365 volume vulnerability web webmail what when which windows without works worldwide written xdr years years/ your |
| Tags | Ransomware Malware Tool Vulnerability Threat |
| Stories | |
| Move |
|
L'article ressemble à 1 autre(s) article(s):
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
|
2024-08-28 21:59:39 | (Déjà vu) Peaufiner asyncrat: les attaquants utilisant Python et TryCloudflare pour déployer des logiciels malveillants Tweaking AsyncRAT: Attackers Using Python and TryCloudflare to Deploy Malware (lien direct) |
## Instantané Un [asyncrat] (https://security.microsoft.com/intel-profiles/e9216610feb409dfb620b28e510f2ae2582439dfc7c7e265815ff1a77601676))La campagne de logiciels malveillants observée par X-Labs de Forcepoint \\ utilise des techniques innovantes pour infiltrer les systèmes Windows et voler des données sensibles. ## Description Cette campagne offre des charges utiles malveillantes via le service de tunnel rapide TryCloudflare et les packages Python, exploitant une infrastructure de tunnel temporaire qui permet un accès à distance.Les attaquants distribuent les logiciels malveillants via des e-mails de phishing avec des pièces jointes HTML qui utilisent le protocole URI "Search-MS" pour déclencher des téléchargements de fichiers LNK malveillants à partir du serveur WebDAV TryCloudflare.Cliquez sur ces fichiers LNK initie une chaîne de téléchargements, en commençant par un fichier BAT exécuté par PowerShell, qui télécharge et exécute davantage des scripts obscurcis et des packages Python. Les scripts Python téléchargés utilisent des CTYPES pour injecter du code malveillant dans des processus légitimes comme Notepad.exe pour maintenir la persistance et se connecter à divers serveurs de commande et de contrôle (C2).Les scripts affichent également de fausses PDF de facture pour tromper les victimes et les activités malveillantes obscures.Les attaquants ont ciblé des industries telles que les soins de santé, les voyages et les services bancaires, exploitant la fonctionnalité "Search-MS" et tirant parti des infrastructures temporaires à faible coût pour leurs opérations. ## Analyse Microsoft Asyncrat est un outil d'accès à distance (RAT) qui permet à un utilisateur de contrôler un ordinateur distant.Il est conçu pour échapper à la détection et est souvent utilisé par les attaquants pour obtenir un accès non autorisé à un système de victime.Asyncrat est écrit en .NET et est capable d'exécuter sur les machines Windows.Il peut effectuer diverses activités malveillantes telles que le keylogging, le vol de fichiers et le déploiement des ransomwares.Son nom provient de son utilisation de techniques de programmation asynchrones, qui lui permettent d'effectuer plusieurs tâches simultanément sans bloquer le fil principal du programme \\. Lire Microsoft \'s [Profil d'outil sur asyncrat] (https: //security.microsoft.com/intel-profiles/E9216610FEB409DFB620B28E510F2AE2582439DFC7C7E265815FF1A776016776) Pour en savoir plus. ## Détections / requêtes de chasse ### Microsoft Defender Antivirus MiMicrosoft Defender Antivirus détecte les composants de la menace comme le malware suivant: - [Trojan: html / phish! Mtb] (https://www.microsoft.com/en-us/wdsi / menaces / malware-secdcopedia-description? name = trojan: html / phish! mtb) - [Trojan: Python / Malgen! ## Recommandations MicroRosoft recommande les atténuations suivantes pour réduire l'impact de cette menace. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/en-us/defender-endpoint/linux-preférences) dans Microsoft Defender Antivirus ou l'équivalent de votre produit antivirus pour couvrir rapidement les outils d'attaquant en évolution et et et les outils d'attaquant en évolution rapide ettechniques.Les protections d'apprentissage automatique basées sur le cloud bloquent la majorité des menaces nouvelles et inconnues. - Exécuter [EDR en mode bloc] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-block-mode?view=o365-worldwide?ocid=Magicti_TA_LearnDoc)Le défenseur du point final peut bloquer les artefacts malveillants, même lorsque votre antivirus non microsoft ne détecte pas la menace ou lorsque Microsoft Defender Antivirus fonctionne en mode passif.EDR en mode bloc fonctionne dans les coulisses pour corriger les artefacts malveillants qui sont détectés post-abri. - Autoriser [Investigation and Remediation] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/automated-in | Ransomware Malware Tool Threat Medical | ★★★ |