One Article Review
| Source |  RiskIQ |
|---|---|
| Identifiant | 8589879 |
| Date de publication | 2024-10-01 18:52:16 (vue: 2024-10-01 19:18:25) |
| Titre | Intrusion silencieuse: démêler l'attaque sophistiquée tirant parti du code pour un accès non autorisé Silent Intrusion: Unraveling the Sophisticated Attack Leveraging VS Code for Unauthorized Access |
| Texte | ## Instantané Des chercheurs de Cyble Research and Intelligence Labs (CRIL) ont identifié une cyberattaque sophistiquée en tirant parti des capacités de tunnel de code Visual Studio (VS) du code \\ pour infiltrer les victimes \\ 'Systèmes. ## Description L'attaque commence par un fichier .lnk, potentiellement livré via des e-mails de phishing, déguisé en fichier de configuration légitime.Lorsqu'il est exécuté, ce fichier télécharge un package Python et exécute un script Python malveillant.L'acteur de menace utilise la fonctionnalité de tunnels distants de VScode \\ pour établir un accès non autorisé à la machine de la victime.Cette méthode permet à l'attaquant d'interagir avec le système, d'accès à des fichiers et d'exécuter à distance les commandes.Pour maintenir la persistance, une tâche planifiée est créée pour déclencher le script Python malveillant avec des privilèges élevés. Cette attaque reflète les tactiques utilisées par le groupe chinois de l'APT, le taureau majeur, dans des campagnes de cyber-espionnage ciblant l'Europe et l'Asie.En utilisant ces outils et techniques de confiance, les attaquants peuvent contourner les mesures de détection standard, ce qui rend l'attaque plus difficile à détecter.Une fois l'accès acquis, des informations sensibles sont exfiltrées et utilisées pour une nouvelle exploitation du système compromis. ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/en-us/defender-endpoint/linux-preférences) dans Microsoft Defender Antivirus ou l'équivalent de votre produit antivirus pour couvrir rapidement les outils d'attaquant en évolution et et et les outils d'attaquant en évolution rapide ettechniques.Les protections d'apprentissage automatique basées sur le cloud bloquent la majorité des menaces nouvelles et inconnues. - Exécuter [EDR en mode bloc] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-block-mode?view=o365-worldwide?ocid=Magicti_TA_LearnDoc)Le défenseur du point final peut bloquer les artefacts malveillants, même lorsque votre antivirus non microsoft ne détecte pas la menace ou lorsque Microsoft Defender Antivirus fonctionne en mode passif.EDR en mode bloc fonctionne dans les coulisses pour corriger les artefacts malveillants qui sont détectés post-abri. - Autoriser [Investigation and Remediation] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/automated-investigations?view=o365-worldwide?ocid=Magicti_TA_LearnDoc) en mode automatisé complet pour permettre à Microsoft DefenderPour que le point final prenne des mesures immédiates sur les alertes pour résoudre les violations, réduisant considérablement le volume d'alerte. - [Activé] (https://learn.microsoft.com/en-us/defender-endpoint/enable-ctrelled-folders) Accès aux dossiers contrôlés. - Assurez-vous que [Protection de stimulation] (https://learn.microsoft.com/en-us/defender-endpoint/prevent-changes-to-security-settings-with-tamper-protection#how-do-i-configure-Or-Manage-Tamper-Protection) est activé dans Microsoft Defender pour Endpoint. - Activer [Protection réseau] (https://learn.microsoft.com/en-us/defender-endpoint/enable-network-protection) dans Microsoft Defender pour le point de terminaison. - Suivez les recommandations de durcissement des informations d'identification dans la [vue d'ensemble du vol d'identification sur prémisse] (https://security.microsoft.com/Thereatanalytics3/9382203E-5155-4B5E-AF74-21562B1004D5/analyStreport) pour défendre contre des techniques de vol de vol de crédits communs comme LSASS comme LSASSE SEASSS Techniques de volet LSASS comme LSASSS comme LSASSS.accéder. - [Activer] (https://learn.microsoft.com/en-us/defender-endpoint/attack-surface-redulation-Rules-reference #block-credential-staling-from-the-windows-local-security-autehority-Subsystème) Protection LSA. ## Détections / requêt |
| Notes | ★★★ |
| Envoyé | Oui |
| Condensat | **© 2024 2024** 21562b1004d5/analystreport 365/security/defender 4b5e 5155 access access/ accessed action actor af74 against alert alerts all allow antivirus any apt are artifacts asia attack attacker attackers authority automated based begins behind block breach breaches bypass campaigns can capabilities changes chinese cloud code com/blog/silent com/en com/microsoft com/threatanalytics3/9382203e commands common components compromised configure content controlled copyright cover created credential cril cyber cyberattack cyble defend defender delivered description detect detected detection detections/hunting detects disguised distribution does downloads edr elevated emails enable enabled enables encyclopedia endpoint endpoint/attack endpoint/automated endpoint/edr endpoint/enable endpoint/linux endpoint/prevent ensure equivalent espionage establish europe even evolving execute executed exfiltrated exploitation feature file files folder folders follow following from full further gained group hacktool:win32/autokms hardening harder https://cyble https://learn https://security https://www identified immediate impact infiltrate information intelligence interact intrusion intrusion: investigation investigations labs learndoc learning legitimate leveraging like lnk local lsa lsass machine maintain majority making malicious malware: manage measures method microsoft mirrors mitigations mode name=hacktool:win32/autokms name=trojan:win32/coinminer name=trojan:win32/killav network new non not ocid=magicti once overview package part passive permission persistence phishing post potentially preferences premises privileges product prohibited protection protection#how protections python queries rapidly recommendations recommends reduce reducing reduction reference#block references remediate remediation remote remotely reproduction research researchers reserved resolve rights rules run running runs scenes scheduled script security sensitive settings setup significantly silent site snapshot sophisticated standard stately stealing studio subsystem surface system systems tactics take tamper targeting task taurus techniques theft thereof these threat threats tools trigger trojan:win32/coinminer trojan:win32/killav trusted tunnel tunnels turn unauthorized unknown unraveling us/defender us/wdsi/threats/malware used uses utilizing victim victims view=o365 visual volume vscode when windows without works worldwide written your |
| Tags | Malware Tool Threat |
| Stories | |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.