One Article Review
| Source |  RiskIQ |
|---|---|
| Identifiant | 8590740 |
| Date de publication | 2024-10-02 20:37:11 (vue: 2024-10-02 21:18:11) |
| Titre | Stonefly: les attaques d'extorsion se poursuivent contre les cibles américaines Stonefly: Extortion Attacks Continue Against U.S. Targets |
| Texte | #### Géolocations ciblées - États-Unis ## Instantané L'équipe Hunter de Symantec \\ a rapporté que le groupe de menaces nord-coréen, Stonefly, suivi par Microsoft sous le nom d'Onyx Sleet, poursuit ses cyber-activités malgré un récent acte d'accusation américain. ## Description En août 2024, Symantec a détecté des attaques contre trois organisations américaines, qui ont probablement été motivées financièrement, bien qu'aucun ransomware n'a été déployé avec succès.Symantec évalue que les activités de Stonefly se sont étendues à l'extorsion financière, ciblant les entreprises privées sans valeur de renseignement apparente. Symantec a attribué les attaques à Stonefly en fonction de l'utilisation de leur porte dérobée personnalisée, Preft (AKA DTRACK) et de la présence de plusieurs indicateurs de compromis (IOC) [précédemment identifié par Microsoft] (https://www.microsoft.com/en-us / Security / Blog / 2024/07/25 / Onyx-Sleet-Uses-Array-of-Malware-to-Gather-Intelligence-for-North-Korea /) sur les réseaux affectés.Preft permet à l'attaquant de télécharger et de télécharger des fichiers, d'exécuter des commandes et d'installer des plugins supplémentaires.Stonefly a également utilisé d'autres outils dans ses attaques, notamment Nukebot, [Mimikatz] (https://security.microsoft.com/intel-Profils / 2DFFDFCF7478886EE7DE79237E5AEB52B0AB0CD350F1003A12064C7DA2A4F1CB) et KeyLoggers. ## Analyse Microsoft Microsoft attribue cette activité malveillante à [onyxSleet](https://security.microsoft.com/intel-profiles/03ced82eecb35bdb459c47b7821b9b055d1dfa00b56dc1b06f59583bad8833c0) based on the tactics, techniques, and procedures (TTPs) and IOCs reported by Symantec.L'acteur de menace que Microsoft suit en tant qu'Onyx Sleet est un groupe d'activités affilié à la Corée du Nord.Observé pour la première fois par Microsoft en 2014, ONYX Sleet a mené du cyber-espionnage à travers de nombreuses campagnes visant des cibles mondiales dans le but de la collecte de renseignements.Plus récemment, il a élargi ses objectifs pour inclure le gain financier. Cet acteur de menace fonctionne avec un vaste ensemble d'outils personnalisés et de logiciels malveillants, et évolue régulièrement son ensemble d'outils pour ajouter de nouvelles fonctionnalités et échapper à la détection, tout en gardant un modèle d'attaque assez uniforme.La capacité d'Onyx Sleet \\ à développer un éventail d'outils pour lancer sa chaîne d'attaque éprouvée en fait une menace persistante, en particulier pour les cibles d'intérêt pour le renseignement nord-coréen, comme les organisations dans les secteurs de la défense, de l'ingénierie et de l'énergie. ## Recommandations Microsoft recommande les atténuations suivantes pour se défendre contre les attaques de l'onyx greffe: - Gardez le logiciel à jour.Appliquez de nouveaux correctifs de sécurité dès que possible. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-lock-at-first-Sight-Microsoft-Defender-Antivirus? Ocid = Magicti_TA_LearnDoc) dans Microsoft Defender Antivirus, ou le F équivalentou votre produit antivirus, pour couvrir les outils et techniques d'attaquant en évolution rapide.Les protections d'apprentissage automatique basées sur le cloud bloquent une majorité de variantes nouvelles et inconnues. - Activer [Protection réseau] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/enable-network-protection?view=o365-worldwide?ocid=Magicti_TA_LearnDoc). - Exécutez la détection et la réponse des points de terminaison [(EDR) en mode bloc] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-lock-mode?ocid=Magicti_Ta_LearnDoc) pour que MicrosoftLe défenseur du point final peut bloquer les artefacts malveillants, même lorsque votre antivirus non microsoft ne détecte pas la menace ou lorsque Microsoft Defender Antivirus fonctionne en mode passif.E |
| Notes | ★★ |
| Envoyé | Oui |
| Condensat | ### #### ##microsoft **© 2014 2024 2024** 2147062589 365/security/defender ability access accessed action activities activity activity: actor add additional affected affiliated against age aimed alert alerts all allow also analysis antivirus any apparent apply are array artifacts assesses associated attack attacker attacks attributed attributes august automated backdoor based behind block blogs breach breaches campaigns can chain cloud com/defender com/en com/intel com/microsoft com/threat commands common companies components compromise conducted configure content continue continuing copyright cover criterion custom customers cyber date defend defender defense delivered deployed description despite detect detected detection detects develop dha dha&threatid= distribution does domains download downloaded dtrack edr employed enables enable encyclopedia endpoint endpoint/attack endpoint/automated endpoint/configure endpoint/edr endpoint/enable energy engineering enterprise equivalent espionage evade even evolves evolving executable execute execution expanded extensive extortion fairly files financial financially first following from full functionality gain gather gathering geolocations global goal goals group has have help https://learn https://security https://symantec https://www hunter identified immediate include including indicate indicators indictment install intelligence intelligence/stonefly interest investigation investigations iocs its javascript keep keeping keyloggers korea korea/ korean launch launching learndoc learndoc#block learning like likely list machine majority makes malicious malware malware: meet microsoft mimikatz mitigations mode more motivated name=pua:win32/frproxy name=trojan:win32/acll name=trojan:win64/dtrack name=trojan:win64/slickmask network networks new non north not nukebot numerous obfuscated observed ocid=magicti onyx operates organizations other part particularly passive patches pattern permission persistent plugins possible post potentially preft presence prevalence prevent previously private procedures product profiles/03ced82eecb35bdb459c47b7821b9b055d1dfa00b56dc1b06f59583bad8833c0 profiles/2dffdfcf7478886ee7de79237e5aeb52b0ab0cd350f1003a12064c7da2a4f1cb prohibited protection protections pua:win32/frproxy ransomware rapidly recent recently recommendations recommends reducing reduction reference references regularly remediate remediation reported reproduction reserved resolve response rights rules run running scenes scripts sectors security set several sight significantly site sleet sleet: snapshot software soon spectrum states stonefly stonefly: successfully surface symantec tactics take targeted targeting targets team techniques thereof though threat three through tools toolset tracked tracks tried trojan:win32/acll trojan:win64/dtrack trojan:win64/slickmask true trusted ttps turn uniform united unknown unless upload us/security/blog/2024/07/25/onyx us/wdsi/threats/malware use used uses value variants vbscript view=o365 volume when which without works worldwide written your in in so |
| Tags | Ransomware Malware Tool Threat |
| Stories | |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.