One Article Review
| Source |  RiskIQ |
|---|---|
| Identifiant | 8569939 |
| Date de publication | 2024-09-04 18:51:15 (vue: 2024-09-04 19:18:33) |
| Titre | Fake Palo Alto GlobalProtect used as lure to backdoor enterprises |
| Texte | ## Instantané Les chercheurs de Trend Micro ont identifié une campagne où les acteurs de la menace utilisent une fausse version de l'outil Palo Alto GlobalProtect, ciblant les organisations du Moyen-Orient. ## Description Le malware, déguisé en solution de sécurité légitime, peut exécuter des commandes PowerShell distantes, télécharger et exfiltrate des fichiers, crypter les communications et contourner des solutions de sable.La méthode de livraison des logiciels malveillants n'est pas claire, mais il est soupçonné d'avoir fait partie d'une attaque de phishing qui trompe les victimes de croire qu'elles installent un agent GlobalProtect légitime.L'attaque conduit la victime à exécuter un fichier nommé \\ 'setup.exe, \' qui déploie les fichiers malveillants \\ 'globalprotect.exe \' et de configuration.Le malware transmet ensuite les informations de profilage à un serveur de commande et de contrôle (C2), en utilisant la norme de chiffrement avancée (AES) pour l'évasion.De plus, le malware pivote vers une URL nouvellement enregistrée, "Sharjahconnect", conçue pour ressembler à un portail VPN légitime pour une entreprise basée aux Émirats arabes unis (EAU).Le logiciel malveillant communique avec les acteurs de la menace utilisant l'outil d'Open-source InteractSh pour le beconning, la communication avec des noms d'hôtes spécifiques pour signaler les progrès de l'infection et recueillir des informations sur les victimes.Trend Micro évalue que la campagne cible les entités du Moyen-Orient en raison de la concentration régionale spécifique du domaine et de l'origine de la soumission. ## Analyse Microsoft Microsoft évalue cette activité malveillante est attribuée à [Hazel Sandstorm] (https://security.microsoft.com/intel-profiles/6cea89977c2795bb1a80cad76f4de2ffff256ac3989e757c530047912450e ministère de l'intelligence etSécurité (MOIS), la principale agence de renseignement civil en Iran.Les sous-groupes sont [Storm-0133] (https://security.microsoft.com/intel-pROFILES / 0299FEDD0F9F7671535556AAE448F01EF9C3A75648558CC5A22BA6641C619939), Storm-0150, [Storm-0166] (HTTTP 4d191e57d1f933c13d5e6b87c304985edfb13fb4033), [Storm-0755] (https://security.microsoft.com/intel-Profils / DFE14233E7FE59A1099C5B41AB0E4D8ED24AEBED38BC0615B15B9C71F98D5189) et [Storm-0861] (https://security.microsoft.com/intel-pleROFILES / E75C30DAC03473D46BF83D32CEFA79CDBD4F16EE8FD4EB62CF714D7BA9C8DE00).Les opérateurs de Hazel Sandstorm sont connus pour poursuivre des cibles dans les secteurs public et privé en Europe, au Moyen-Orient et en Amérique du Nord.Dans les opérations passées, Hazel Sandstorm a utilisé une combinaison d'outils de coutume et de produits de base dans leurs intrusions, probablement comme moyen de recueillir des renseignements pour soutenir les objectifs nationaux iraniens.Activité Microsoft suit dans le cadre du grand parapluie de Sandstorm Hazel chevauche des rapports publics sur l'APT34, le Cobalt Gypsy, Helix Kitten et Oilrig. ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace. - durcir les actifs orientés Internet et identifier et sécuriser les systèmes de périmètre que les attaquants pourraient utiliser pour accéder à votre réseau. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/en-us/defender-endpoint/configure-lock-at-first-sight-microsoft-defender-antivirus) dans Microsoft Defender Antivirus ou leÉquivalent pour que votre produit antivirus couvre des outils et techniques d'attaquant en évolution rapide.Les protections d'apprentissage automatique basées sur le cloud bloquent une majorité de variantes nouvelles et inconnues. - Encouragez les utilisateurs à utiliser Microsoft Edge et d'autres navigateurs Web qui prennent en charge [SmartScreen] (https://feedback.smartscreen.microsoft.com/smartscreenfaq.aspx), qui identifie et bloque des sites Web malveillants, y compris des sites de phishing, des sites d'escroquerie et des sitesqui contiennent des exp |
| Notes | ★★ |
| Envoyé | Oui |
| Condensat | **© 0133 0150 0166 0755 0861 2024 2024** 365 365/security/defender/microsoft 365/security/office access accessed across activity actors additionally advanced aes against agency agent ahq alert all alto america analysis anti antivirus any appdata apt34 arab are aspx assesses assets attack attacker attackers attacks attributed backdoor based beaconing been believing below bleeping bleepingcomputer block blocks brings browsers build but bypass campaign can center centralizing civilian click cloud cobalt com/en com/intel com/microsoft com/news/security/fake com/smartscreenfaq combination command commands commodity communicates communicating communications company composite computer configuration configure contain content control copyright could cover custom deceives defender delivered delivery deploys describeseveral description designed detections/hunting devicenetworkevents devices disguised distribution domain domains download due east eastern edge email emails emirates enable enabling encourage encrypt encryption endpoint/configure endswith ensures enterprises enterprises/ entities equivalent europe evasion evolving exe execute exfiltrate exploits facing fake file files first focus following gather gathering general global globalprotect globalprotectportal gypsy harden has have hazel helix host html https://docs https://feedback https://learn https://security https://www identified identifies identify identities impact impersonation incident including incoming infection information initiatingprocessfilename initiatingprocessfolderpath initiatingprocessparentfilename installing intelligence interactsh internet intrusions invest investigations iran iranian kitten known larger leads learndoc learning legitimate likely links lure machine mailbox majority malicious malware management mdo means messages method micro microsoft middle might ministry mitigations mois monitor name named names national network new newly north objectives ocid=magicti office 365 oilrig open operations operators organizations origin other overlaps palo paloalto part past perimeter permission phishing pivots policies portal powershell primary private product profiles/0299fedd0f9f7671535556aae448f01ef9c3a75648558cc5a22ba6641c619939 profiles/6cea89977cc2795bb1a80cad76f4de2ffff256ac3989e757c530047912450e2d profiles/dfe14233e7fe59a1099c5b41ab0e4d8ed24aebed38bc0615b15b9c71f98d5189 profiles/e75c30dac03473d46bf83d32cefa79cdbd4f16ee8fd4eb62cf714d7ba9c8de00 profiles/fcde209955569784f44e34d191e57d1f933c13d5e6b87c304985edfb13fb4033 profiling progress prohibited protect protection protections public pursue queries rapidly real recommendations recommends reduce references regional registered remote report reporting reproduction researchers resemble reserved resilience rights safelinks sandbox sandstorm scam scanning sectors secure security security/safe security/set sender server settings setup sharjahconnect sight site sites smartscreen snapshot solution solutions solutions that source specific standard storm subgroups submission support suspected systems target targeting targets techniques then thereof threat threats ties time tmp together tool tool: tools tracks transmits trend trendmicro turn uae umbrella unclear united unknown url us/defender us/research/24/h/threat use used users using utilized variants version victim victims view=o365 visited vpn web websites well where which without worldwide written your |
| Tags | Malware Tool Threat Prediction |
| Stories | APT 34 |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.