One Article Review
| Source |  RiskIQ |
|---|---|
| Identifiant | 8566388 |
| Date de publication | 2024-08-29 18:15:40 (vue: 2024-08-29 19:18:12) |
| Titre | Menace persistante avancée ciblant les défenseurs vietnamiens des droits de l'homme Advanced Persistent Threat Targeting Vietnamese Human Rights Defenders |
| Texte | #### Géolocations ciblées - Vietnam ## Instantané Les chercheurs de Huntress ont découvert une cyber-intrusion à long terme ciblant un défenseur vietnamien des droits de l'homme, soupçonné d'avoir persisté pendant au moins quatre ans. ## Description Selon Huntress, les tactiques, les techniques et les procédures (TTPS) observées dans cette attaque présentent des similitudes avec celles utilisées par APT32 / Oceanlottus, un groupe de cyber-espionnage bien connu suivi par Microsoft comme [Canvas Cyclone] (https: // Security.microsoft.com/intel-profiles/0e86dff295f91628210e11bbd8f2aaf5ccd9d13a1bdb58255463214122b1a133).Les attaquants ont utilisé plusieurs mécanismes de persistance, notamment des tâches programmées, des débiteurs de touche de DLL et des abus d'objets COM, pour maintenir l'accès à des systèmes compromis.Notamment, les attaquants ont utilisé des logiciels malveillants qui se sont masqués comme logiciels légitimes, tels que les binaires Adobe et McAfee, et ont exploité les vulnérabilités dans des exécutables légitimes pour exécuter des charges utiles malveillantes. Au cours de l'enquête, les analystes de Huntress ont identifié plusieurs échantillons de logiciels malveillants qui ont utilisé l'obscurcissement et la stéganographie pour échapper à la détection.Le malware était capable d'injecter du code dans la mémoire et d'effectuer diverses tâches, telles que le vol de cookies de navigateur, le téléchargement de charges utiles supplémentaires et le maintien de l'accès de la porte dérobée.Les acteurs de la menace ont également mis à profit des outils légitimes comme Windows Management Instrumentation (WMI) pour l'exécution de la commande distante et exploité des tuyaux nommés pour l'escalade des privilèges. L'enquête a révélé que les liens avec les infrastructures associées à l'APT32 / Oceanlotus, confirmant davantage l'implication du groupe \\ dans l'attaque.Les attaquants \\ 'les efforts persistants pour cacher leurs activités et maintenir l'accès suggèrent un objectif stratégique aligné sur la collecte de renseignements.Cette affaire démontre les durées auxquelles les acteurs avancés de la menace iront pour atteindre leurs objectifs et met en évidence l'importance de la chasse et de la surveillance des menaces continues pour détecter et répondre à de telles intrusions sophistiquées. ## Analyse Microsoft L'acteur Microsoft suit comme [Canvas Cyclone] (https://security.microsoft.com/intel-profiles/0e86dff295f91628210e11bbd8f2aaf5ccd9d13a1bdb582554632141222b1a133) est un groupe de calice national. Lone est connu pour cibler principalementet les organisations étrangères à travers l'Asie, l'Europe et l'Amérique du Nord, y compris les grandes sociétés multinationales, les gouvernements, les institutions financières, les établissements d'enseignement et les groupes de défense des droits humains et civils.Canvas Cyclone se concentre sur l'espionnage gouvernemental ainsi que sur la collecte de renseignements contre la concurrence des entreprises étrangères. Auparavant, Canvas Cyclone a mené des attaques de compromis en vigueur contre les sites gouvernementaux et les agences de médias en Asie du Sud-Est.Fin 2018, Canvas Cyclone a compromis des cibles à l'aide d'une famille de logiciels malveillants personnalisé connue sous le nom de Kerrdown via des documents malveillants livrés dans les opérations de phission de lance.Canvas Cyclone s'est également appuyé sur des outils couramment utilisés comme la grève du cobalt pour l'exfiltration des données et le mouvement latéral.Depuis 2020, Canvas Cyclone a utilisé le détournement de l'ordre de recherche DLL pour charger du code malveillant en utilisant des binaires légitimes et signés.Canvas Cyclonehas a également déployé des mineurs de crypto-monnaie Monero sur des systèmes ciblés. ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace. - Allume |
| Notes | ★★★ |
| Envoyé | Oui |
| Condensat | #### **© 2012 2018 2020 2024 2024** 21562b1004d5/analystreport 365/security/defender 4b5e 5155 abuse access accessed according achieve across action active activities activity actor actors additional adobe advanced af74 against age agencies alert alerts aligned all allow also america analysis analysts antivirus any apt32/oceanlotus are artifacts asia associated attack attacker attackers attacks authority automated backdoor based bear behind binaries block breach breaches browser can canvas capable carried case changes civil client cloud cobalt code collection com com/blog/advanced com/en com/intel com/microsoft com/threatanalytics3/9382203e command common commonly competition compromise compromised configure confirming connections content continuous controlled cookies copyright corporate corporations cover credential criterion cryptocurrency custom customers cyber cyclone cyclonehas cyclone data defend defender defenders delivered demonstrates deployed description detect detected detection distribution dll documents does domestic downloading drive during eastern edr educational efforts email employed enable enabled endpoint endpoint/attack endpoint/automated endpoint/edr endpoint/enable endpoint/linux endpoint/prevent ensure equivalent escalation espionage europe evade even evolving executable executables execute execution exfiltration exploited family files financial focuses folder folders follow following foreign four from full further gathering geolocations goals government governments group groups hardening has have hide highlights hijacking https://learn https://security https://www human hunting huntress identified immediate impact importance including infrastructure injecting institutions instrumentation intelligence intrusion intrusions investigation investigations involvement kerrdown known large late lateral learndoc learning least legitimate lengths leveraged like list load local long lsa lsass machine maintain maintaining majority malicious malware manage management masqueraded mcafee mechanisms media meet memory microsoft miners mitigations mode monero monitoring movement multinational multiple named nation network new non north not notably obfuscation object objective observed ocid=magicti operations order organizations out overview part passive payloads performing permission persisted persistence persistent phishing pipes post preferences premises prevalence prevent previously primarily privilege procedures product profiles/0e86dff295f91628210e11bbd8f2aaf5ccd9d13a1bdb58255463214122b1a133 prohibited protection protection#how protections ransomware rapidly recommendations recommends reduce reducing reduction reference#block references relied remediate remediation remote reproduction researchers reserved resolve respond revealed rights rule rules run running samples scenes scheduled search security settings several sideloading signed significantly similarities since site sites snapshot software sophisticated south spear state stealing steganography strategic strike subsystem such suggest surface suspected systems tactics take tamper target targeted targeting targets tasks techniques term theft thereof those threat threats through tools tracked tracks trusted ttps turn uncovered unknown unless us/defender used using utilized various vietnam vietnamese view=o365 volume vulnerabilities webmail well when which will windows without wmi works worldwide written xdr years your |
| Tags | Ransomware Malware Tool Vulnerability Threat |
| Stories | APT 32 |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.