One Article Review
| Source |  RiskIQ |
|---|---|
| Identifiant | 8580523 |
| Date de publication | 2024-09-20 13:20:01 (vue: 2024-09-20 14:18:16) |
| Titre | CUCKOO SPEAR Part 1: Analyzing NOOPDOOR from an IR Perspective |
| Texte | #### Géolocations ciblées - Japon #### Industries ciblées - des groupes politiques et autres - Autres entités commerciales - Installations commerciales ## Instantané Des chercheurs de Cybearon ont découvert une campagne de menaces au niveau de l'État-nation nommée "Cuckoo Spear" qui a persisté sur les réseaux victimes pendant plusieurs années en utilisant des techniques sophistiquées. ## Description La campagne a des liens avec le groupe APT10 bien connu, montrant des liens clairs entre plusieurs incidents tout en révélant de nouveaux outils et stratégies utilisés par les attaquants.Cuckoo Spear a principalement ciblé les entreprises japonaises dans les secteurs de la fabrication, des politiques et industriels, avec le cyber-espionnage comme objectif principal. Les attaquants ont utilisé des logiciels malveillants furtifs, y compris une version mise à jour de Lodeinfo, un outil précédemment associé à l'APT10.Les chercheurs ont également identifié deux nouveaux composants de logiciels malveillants: NOOPLDR, une porte dérobée de persistance, et NOOPDOOR, qui a utilisé un algorithme de génération de domaine (DGA) pour les communications et le relais de réseau interne.Certaines victimes ont accueilli sans le savoir ces acteurs au sein de leurs systèmes jusqu'à deux à trois ans. L'accès initial aux réseaux cibles a été principalement réalisé grâce à des attaques de phishing, bien que la cyber-saison ait également observé que l'exploitation d'applications accessibles au public ait également été observée.Les attaquants ont utilisé des techniques avancées telles que le chargement latéral DLL et l'exploitation MSBuild pour maintenir la persistance. L'infrastructure derrière Cuckoo Spear a exploité les services DNS dynamiques et les domaines enregistrés pour gérerleur campagne.[Strike Cobalt] (https://security.microsoft.com/intel-profiles/fd8511c1d61e93d39411acf36a31130a6795efe186497098fe0c6f2ccfb920fc),Lodeinfo, NOOPLDR et NOOPDOOR ont tous joué des rôles dans le maintien de la persistance et l'activation du mouvement latéral à travers les environnements compromis, permettant aux attaquants de rester non détectés lors de l'exécution d'espionnage à long terme. ## Recommandations Appliquez ces atténuations pour réduire l'impact de cette menace.Vérifiez la carte de recommandations pour l'état de déploiement des atténuations surveillées. - Appliquer des mises à jour de sécurité aux solutions VPN vulnérables. - Exiger l'authentification multi-facteurs (MFA) pour l'accès des périphériques locaux, l'accès RDP et les connexions distantes via VPN.Utilisez des solutions sans mot de passe comme [Microsoft Authenticator] (https://www.microsoft.com/en-us/account/authenticator/).Pour plus de conseils, lisez sur: - [Configurer l'authentification multi-facteurs pour Office 365] (https://docs.microsoft.com/en-us/office365/admin/security-and-compliance/set-up-multi-factor-authentication?view=O365-mondial) - [Utilisez une vérification en deux étapes avec les comptes de consommation] (https://support.microsoft.com/en-us/help/12408/microsoft-account-how-to-use-setwo-tep-verrification) - Utilisez le pare-feu Microsoft Defender et votre pare-feu réseau pour empêcher la communication des appels de procédure distante (RPC) et un bloc de messages (SMB) entre les points de terminaison dans la mesure du possible.Cela limite le mouvement latéral ainsi que d'autres activités d'attaque. - Allumez la protection livrée par le cloud et la soumission automatique des échantillons sur Microsoft Defender Antivirus.Ces capacités utilisent l'IA et l'apprentissage automatique pour identifier et arrêter rapidement les menaces nouvelles et inconnues. - Pratiquez le principe du moindre privile et maintenez l'hygiène des références.Évitez l'utilisation des comptes de service au niveau de l'administration à l'échelle du domaine.Restreindre les privilèges administr |
| Notes | ★★ |
| Envoyé | Oui |
| Condensat | #### **© *start 2024 2024** 365 about about: abuse access accessed account accounts achieved across action activities actors address admin administrative administrator advanced against algorithm all allowing alltenantrulesandforms also although among analyze analyzing antivirus any application* applications apply applying apt10 aspx associated attack attackers attacks authentication authenticator automatic avoid backdoor based basic behind between block business calls campaign can capabilities card check clear client clients cloud cobalt collect com/blog/cuckoo com/en com/intel com/office365security/defending com/officedev/o365 commercial communication communications companies compliance/set components: compromise compromised conditional conditions connections consumer content copyright credential cuckoo custom cyber cybereason cyberreason defender defending delivered deployment description device dga disallowing distribution dll dns domain domains dynamic employed enabling endpoints entities environments espionage ews exchange executing existing exploitation facilities facing factor firewall force forms forwarding from further generation geolocations goal group groups guidance had has hosted how https://blogs https://docs https://github https://security https://support https://technet https://www hygiene identified identify impact incidents including indicators industrial industries information infrastructure initial injection injection/ inmaintaining inspect internal investigationtooling/blob/master/get its japan japanese known laps lateral learning least less level leveraged like like limits links loading local lodeinfo logons logs long machine mail mainly maintain malware manage manufacturing message mfa microsoft mitigations mobile monitor monitored more movement msbuild multi multiple named nation network networks new noopdoor noopldr normally not observed off office online online/client online/disable other outlook outside part password passwords permission persisted persistence perspective phishing played political possible powershell practice prevent previously primarily primary principle privilege privileges procedure profiles/fd8511c1d61e93d39411acf36a31130a6795efe186497098fe0c6f2ccfb920fc prohibited protection ps1 public quickly randomized rdp read recommendations reduce references registered regulate related relaying remain remote reproduction researchers reserved restrict revealing rights roles rpc rule rules rules/client sample sectors security server service services set several showing side site smb snapshot solutions some sophisticated source spear state status stealthy step stop strategies strike strong submission such suspicious systems target targeted technet techniques templates term thereof these threat threats three through ties tool tools traffic turn turning two type uncovered undetected unknowingly unknown updated updates us/account/authenticator/ us/exchange/clients us/help/12408/microsoft us/mt227395 us/office365/admin/security use used users using utilize utilized verification version victims view=o365 vpn vulnerable well whenever which wide within without worldwide would written years your apply require |
| Tags | Malware Tool Threat Industrial Commercial |
| Stories | APT 10 |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.