One Article Review
| Source |  RiskIQ |
|---|---|
| Identifiant | 8579833 |
| Date de publication | 2024-09-19 19:39:05 (vue: 2024-09-19 20:18:14) |
| Titre | Loki: un nouvel agent privé pour le cadre mythique populaire Loki: A new private agent for the popular Mythic framework |
| Texte | #### Géolocations ciblées - Russie ## Instantané Les chercheurs de Kaspersky ont découvert une nouvelle version de la porte dérobée de Loki qui a été utilisée dans une série d'attaques ciblées contre les entreprises russes. ## Description Le malware est une version privée d'un agent pour le cadre mythique open source.L'agent Loki est une version compatible mythique de l'agent pour un autre cadre, Havoc.La modification de Loki a hérité de diverses techniques de Havoc pour compliquer l'analyse de l'agent, telles que le chiffrement de son image de mémoire, l'appel indirectement les fonctions d'API système, la recherche de fonctions API par les hachages, etc. Lors de l'exécution, le Loki Loader génère un paquet contenant des informations sur le système infecté, tels que la version du système d'exploitation, l'adresse IP interne, le nom d'utilisateur, l'architecture du processeur, le chemin vers le processus actuel et son identifiant, et l'envoie cryptée à la commande et-contrôle (С2) sErver.Le LOKI Loader envoie un UUID unique avec les données chiffrées au serveur C2.Le module principal du malware est implémenté en DLL, qui est envoyé par le serveur C2 en réponse à la demande de Loder \\.Le module principal est basé sur la version Havoc de l'agent, mais la liste des commandes prises en charge est partiellement empruntée à d'autres agents mythiques.L'agent lui-même ne prend pas en charge les tunnelings de trafic, afin d'accéder aux segments de réseau privés, les attaquants utilisent des services publics accessibles au public tiers. ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/en-us/defender-endpoint/linux-preférences) dans Microsoft Defender Antivirus ou l'équivalent de votre produit antivirus pour couvrir rapidement les outils d'attaquant en évolution et et et les outils d'attaquant en évolution rapide ettechniques.Les protections d'apprentissage automatique basées sur le cloud bloquent la majorité des menaces nouvelles et inconnues. - Exécuter [EDR en mode bloc] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-block-mode?view=o365-worldwide?ocid=Magicti_TA_LearnDoc)Le défenseur du point final peut bloquer les artefacts malveillants, même lorsque votre antivirus non microsoft ne détecte pas la menace ou lorsque Microsoft Defender Antivirus fonctionne en mode passif.EDR en mode bloc fonctionne dans les coulisses pour corriger les artefacts malveillants qui sont détectés post-abri. - Autoriser [Investigation and Remediation] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/automated-investigations?view=o365-worldwide?ocid=Magicti_TA_LearnDoc) en mode automatisé complet pour permettre à Microsoft DefenderPour que le point final prenne des mesures immédiates sur les alertes pour résoudre les violations, réduisant considérablement le volume d'alerte. - [Activé] (https://learn.microsoft.com/en-us/defender-endpoint/enable-ctrelled-folders) Accès aux dossiers contrôlés. - Assurez-vous que [Protection de stimulation] (https://learn.microsoft.com/en-us/defender-endpoint/prevent-changes-to-security-settings-with-tamper-protection#how-do-i-configure-Or-Manage-Tamper-Protection) est activé dans Microsoft Defender pour Endpoint. - Activer [Protection réseau] (https://learn.microsoft.com/en-us/defender-endpoint/enable-network-protection) dans Microsoft Defender pour le point de terminaison. - Suivez les recommandations de durcissement des informations d'identification dans la [vue d'ensemble du vol d'identification sur prémisse] (https://security.microsoft.com/Thereatanalytics3/9382203E-5155-4B5E-AF74-21562B1004D5/analyStreport) pour défendre contre des techniques de vol de vol de crédits communs comme LSASS comme LSASSE SEASSS Techniques de volet LSASS comme LSASSS comme LSASSS.accéder. - [Activer] (https://learn.m |
| Notes | ★★★ |
| Envoyé | Oui |
| Condensat | ### #### **© 2024 2024** 21562b1004d5/analystreport 365/security/defender 4b5e 5155 about access accessed accounts action activity address administrator af74 against agent agents alert alerts all allow along analysis anomalous another antivirus any api architecture are article artifacts attachments attacker attackers attacks attempts authentication authenticator authenticity authority automated available backdoor based been behind block borrowed breach breaches business but calling can changes cloud com/en com/loki com/microsoft com/threatanalytics3/9382203e command commands common communication communications companies compatible complicate compromised configure configured confirm connectivity contained containing content control controlled copyright cover credential credentials current currently customers data defend defender deleting delivered description detect detected discovered distribution dll does domain download edr educate email emails enable enabled encourage encourages encrypted encrypting encyclopedia end endpoint endpoint/attack endpoint/automated endpoint/edr endpoint/enable endpoint/linux endpoint/prevent enforced ensure equivalent even evolving execution factor filtering firewall focus folder folders follow following following: framework from full functions generates geolocations good hardening has hashes have havoc holes https://learn https://securelist https://security https://www hygiene identifying ignoring image immediate impact implemented including indirectly infected infection infections information infrastructure inherited internal investigate investigation investigations iocs iso its itself kaspersky learndoc learning less like limit list loader local loki loki: lsa lsass lures machine main majority malicious malware manage media memory mfa microsoft mitigate mitigations mode modification module more msr multifactor mythic mythic/113596/ name=trojan:win32/malgent name=trojan:win32/phonzy name=trojan:win32/wacatac network new non not ocid=magicti open other overview packet part partially particular party passive password path permission personal phishing popular post potentially practice preferences premises prevent preventing private privileges process processor product prohibited propagation protecting protection protection#how protections publicly rapidly recommendations recommends reconnaissance reduce reducing reduction reference#block references remediate remediation remote reporting reproduction request researchers reserved resolve response review rights rules run running russia russian scenes searching secure securelist security segments sends sent series server settings significantly single site snapshot social solutions source spear stealing stifle strongly subsystem such support supported surface suspicious system take tamper targeted techniques theft thereof third threat threats tools traffic trojan:win32/malgent trojan:win32/phonzy trojan:win32/wacatac tunneling turn unexpected unique unknown unsolicited upon us/defender us/wdsi/threats/malware use used username users utilities uuid various version view=o365 volume watering when which windows without works worldwide written your |
| Tags | Malware Tool Threat |
| Stories | |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.