One Article Review
| Source |  RiskIQ |
|---|---|
| Identifiant | 8575387 |
| Date de publication | 2024-09-12 15:19:31 (vue: 2024-09-12 16:18:16) |
| Titre | APT chinois abuse vscode pour cibler le gouvernement en Asie Chinese APT Abuses VSCode to Target Government in Asia |
| Texte | ## Instantané Les chercheurs de l'unité 42 ont identifié ce taureau majestueux, suivi par Microsoft comme [typhon de serre-serre] (https://security.microsoft.com/intel-profiles/01aef6bb1a4cd12178aca7fceb848002164b83bf375fa33699ed4c5523b4fd3c), a conduit un a conduit un a conduit un a conduit un a conduit un a conduit un a conduit unCampagne de cyberespionnage contre des entités gouvernementales en Asie du Sud-Est. ## Description L'infiltration initiale a été réalisée en exploitant une vulnérabilité dans Microsoft Visual Studio, permettant à la charge de touche d'une DLL malveillante de supprimer et d'exécuter le logiciel malveillant Toneshell.Ils ont utilisé une gamme de TTPS, y compris OpenSSH, SharpNBTScan et Liditers.Bat, et ont tenté d'exfiltrer des informations à l'aide de Rar.exe et Curl pour télécharger des fichiers sur Dropbox. Dans le même Envrionment, le [ShadowPad] (https://security.microsoft.com/intel-profiles/shadowpad) a été déployé via l'élevé de touche DLL, lui permettant de persister en s'intégrant aux services système.Les attaquants ont utilisé divers outils pour la reconnaissance et le vol d'identification, tels que TSCAN, ADEXLORER64.EXE, IN-SWOR, [Mimikatz] (https: // security.microsoft.com/intel-profiles/2dffdfcf7478886ee7de79237e5aeb52b0ab0cd350f1003a12064c7da2a4f1cb), [lazagne] (https://security.microsoft.com/iNtel-Profiles / 8A6A2A2F9C3ED4070B875E0346AB9A2D531A12BB356B199C907203B498B0022D), et un outil personnalisé pour le vidage de la mémoire LSASS.exe.Ils ont également ciblé la base de données NTDS.DIT Active Directory et utilisé des instruments de gestion psexec et Windows (WMI) pour le mouvement latéral. Les opérations ShadowPad et Stary Taurus ont utilisé un mot de passe distinct de 13 caractères pour leurs logiciels malveillants respectifs, indiquant un effort partagé ou coordonné entre les deux, ou peut-être un acteur de menace commun utilisant des outils et des techniques qui se chevauchent. ## Analyse Microsoft [Twill Typhoon] (https://security.microsoft.com/intel-profiles/01aef6bb1a4cd12178aca7fceb848002164b83bf375fa33699ed4c5523b4fd3c) est un groupe de chinois à la chinois de chinois.Le groupe utilise des tactiques telles que les logiciels malveillants sur les supports amovibles et les e-mails de spearphish pour déployer des chevaux de Troie à distance, y compris Plugx, Udiskshell et d'autres variantes.Leurs activités couvrent un large éventail de secteurs, y compris, mais sans s'y limiter, les agences gouvernementales, les produits pharmaceutiques, les transports et les technologies de l'information.Les opérations de Twill Typhoon \\ couvrent diverses régions, notamment en Europe de l'Est, en Europe occidentale, en Asie de l'Est, en Asie du Sud-Est, en Océanie, en Amérique du Nord, en Afrique australe et en Afrique de l'Est.Récemment, l'accent mis par le groupe a été sur le Myanmar, reflétant les priorités géopolitiques changeantes de la Chine.Ce groupe est connu sous divers alias, notamment Mustang Panda, président de bronze, Earth Preta et Reddelta Récemment, d'autres fournisseurs de sécurité ont observé l'acteur Microsoft Tracks comme Twill Typhoon [en utilisant Toneshell pour cibler les participants du Sommet de la défense IISS] (https://security.microsoft.com/intel-explorer/articles/316c42ab) et [publication pour cibler pour ciblersecteurs et pays spécifiques de la région de l'APAC.] (https://security.microsoft.com/intel-explorer/articles/a193a825). ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/en-us/defender-endpoint/linux-preférences) dans Microsoft Defender Antivirus ou l'équivalent de votre produit antivirus pour couvrir rapidement les outils d'attaquant en évolution et et et les outils d'attaquant en évolution rapide ettechniques.Les protections d'apprentissage automatique basées sur le cloud bloquent la majo |
| Notes | ★★★ |
| Envoyé | Oui |
| Condensat | ### **© 2024 2024** 21562b1004d5/analystreport 365/security/defender 4b5e 5155 abuses access accessed achieved action active activities actor adexplorer64 af74 africa against agencies alert alerts aliases all allow allowing also america analysis antivirus any apac apt arbitrary are artifacts asia asian attacker attackers attempted attendees authority automated backdoor based bat been behind between block both breach breaches bronze but campaign can changes character china chinese cloud code com/en com/intel com/microsoft com/stately com/threatanalytics3/9382203e common conducting configure content controlled coordinated copyright countries cover credential curl custom cyber cyberespionage data database defence defend defender deliver delivered deploy deployed description detect detected directory distinct distribution dit dll does drop dropbox dumping earth east eastern edr effort emails employed employing enable enabled enabling encyclopedia endpoint endpoint/attack endpoint/automated endpoint/edr endpoint/enable endpoint/linux endpoint/prevent ensure envrionment equivalent espionage espionage/ europe even evolving exe execute exfiltrate exploited exploiting explorer/articles/316c42ab explorer/articles/a193a825 feature files focus folder folders follow following from full gen geopolitical globally government governmententities group hacktool:win32/lazagne hardening has have https://learn https://security https://unit42 https://www identified iiss immediate impact including indicating infiltration information initial instrumentation integrating investigation investigations known lateral lazagne learndoc learning like limited listeners local lsa lsass machine majority malicious malware manage management media memory microsoft mimikatz mitigations mode movement mustang myanmar name=hacktool:win32/lazagne name=trojan:win32/multiverze name=virtool:win32/sysdupate nation network new non north not ntds observed oceania ocid=magicti openssh operations organizations other overlapping overview paloaltonetworks panda part passive password permission persist pharmaceuticals plugx possibly post preferences premises president preta primarily priorities product profiles/01aef6bb1a4cd12178aca7fceb848002164b83bf375fa33699ed4c5523b4fd3c profiles/2dffdfcf7478886ee7de79237e5aeb52b0ab0cd350f1003a12064c7da2a4f1cb profiles/8a6a2a2f9c3ed4070b875e0346ab9a2d531a12bb356b199c907203b498b0022d profiles/shadowpad prohibited protection protection#how protections psexec pubload range rapidly rar recently recommendations recommends reconnaissance reddelta reduce reducing reduction reference#block references reflecting region regions related remediate remediation remote removable reproduction researchers reserved resolve respective reverse rights rules run running same scenes sectors security services settings shadowpad shared sharpnbtscan shell shifting sideloading significantly site snapshot southeast southern span spearphishing specific state stately stealing studio subsystem such summit surface swor system tactics take tamper target targeted targets taurus techniques technology theft thereof the threat threats through toneshell tool tools tracked tracks transportation trojan:win32/multiverze trojans tscan ttps turn twill two typhoon udiskshell unit unit42 unknown upload us/defender us/wdsi/threats/malware used using utilizes variants various vendors view=o365 virtool:win32/sysdupate visual volume vscode vulnerability western when wide windows within without wmi works worldwide written your |
| Tags | Malware Tool Vulnerability Threat |
| Stories | |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.