One Article Review
| Source |  RiskIQ |
|---|---|
| Identifiant | 8591525 |
| Date de publication | 2024-10-03 20:13:46 (vue: 2024-10-03 20:18:06) |
| Titre | Enveloppe # Sleep: une plongée profonde dans la campagne en cours de la Corée du Nord contre l'Asie du Sud-Est SHROUDED#SLEEP: A Deep Dive into North Korea\\'s Ongoing Campaign Against Southeast Asia |
| Texte | #### Géolocations ciblées - Cambodge - Asie du Sud-Est ## Instantané L'équipe de recherche sur les menaces de Securonix a identifié une cyber campagne en cours, surnommée # enveloppe # Sleep, qui semble être réalisée par le groupe de menaces nord-coréen, APT37. ## Description Cette campagne vise des pays d'Asie du Sud-Est, avec un accent principal sur le Cambodge.Les attaquants utilisent des techniques d'évasion avancées pour fournir Veilshell, un malware furtif basé sur PowerShell.L'infection initiale est obtenue par des e-mails de phishing contenant des fichiers zip avec des pièces jointes malveillantes (.lnk) déguisées en documents légitimes. Une fois le raccourci cliqué, il déclenche un script PowerShell qui extrait et décode plusieurs charges utiles, y compris un fichier DLL malveillant (DomainManager.dll), qui est placé dans le dossier de démarrage pour assurer la persistance.Le logiciel malveillant ne s'exécute pas avant le prochain redémarrage du système, ajoutant à sa nature furtive.Les attaquants utilisent également des techniques telles que AppDomainManager détournant pour maintenir la persistance et utiliser des méthodes sans fil pour éviter la détection par des outils de sécurité. Le Veilshell Backdoor accorde aux attaquants un contrôle complet sur les machines infectées, permettant des actions telles que l'exfiltration des fichiers, les modifications du registre et la création de tâches planifiée.Cette opération sophistiquée est remarquable pour son approche méthodique, y compris de longs temps de sommeil pour échapper aux détections heuristiques, et son utilisation de processus Windows légitimes pour exécuter des commandes. ## Analyse supplémentaire [APT37] (https://attack.mitre.org/groups/g0067/) est un acteur avancé de menace persistant parrainé par l'État nordvictimes principalement en Corée du Sud, mais aussi dans d'autres pays intéressés par la Corée du Nord.According to [Mandiant](https://cloud.google.com/blog/topics/threat-intelligence/mapping-dprk-groups-to-government/), APT37\'s primary goal is likely ingelligence gathering in support ofLes intérêts militaires, politiques et économiques nord-coréens et le groupe peuvent être alignés sur le ministère de la Sécurité des États de la Corée du Nord (MSS). L'APT37 a été observé à l'aide d'exploits zéro jour et d'attaques de phisces de lance en collaboration avec une variété de logiciels malveillants différents, y compris [Dolphin] (https://www.welivesecurity.com/2022/11/30/whos-swinking-south-korean-Waters-Met-Scarcrufts-Dolphin /), [Chinotto] (https://www.zscaler.com/blogs/security-research/unintinal-leak-glimpse-attack- vectors-apt37), [Rokrat] (https://research.checkpoint.com/2023/chain-reaconde-rokrats-missing-link/), [Goldbackdoor] (https://otx.alienvault.com/pulse/626fd3461d762068c921f7c0), et [m2rat] (https: //asec.ahnlab.com/ko/47622/), entre autres. ### Microsoft Defender Antivirus Microsoft Defender Antivirus détecte les composants de menace comme le FOLlowing malware: - [Trojan: win32 / znyonm] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=worm:win32/znyonm) - [Trojan: Win32 / Leonem] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=trojan:win32/leonem) - [Trojan: MSIL / Malgent! MSR] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-description?name=trojan:mil/malgent!msr) - [Trojandownloader: Msil / small] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-description? name = trojandownloader: MSIL / small) ## références [Enveloppe # Sleep: une plongée profonde dans la campagne en cours de la Corée du Nord contre l'Asie du Sud-Est] (https://www.securonix.com/blog/shroudededsleep-a-deep-dive-into-north-koreas-ongoing-Campagne-Against-Southeast-Asia /).Securonix (consulté en 2024-10-03) ## Copyright **&copie;Microsoft 2024 **.Tous droits réservés |
| Notes | ★★★ |
| Envoyé | Oui |
| Condensat | ### #### **© 2012 2024 2024** accessed according achieved actions active actor adding additional advanced against ahnlab alienvault aligned all also among analysis and antivirus any appdomainmanager appears approach apt37 are asia asia/ attachments attack attackers attacks avoid backdoor based been but cambodia campaign campaigns carried checkpoint chinotto clicked com/2022/11/30/whos com/2023/chain com/blog/shroudedsleep com/blog/topics/threat com/blogs/security com/en com/ko/47622/ com/pulse/626fd3461d762068c921f7c0 commands components conduct conjunction containing content control copyright countries creation cyber day decodes deep defender deliver description detection detections detects different disguised distribution dive dll documents does dolphin dolphin/ domainmanager dprk dubbed economic emails employ enabling encyclopedia ensure espionage evade evasion execute exfiltration exploits extracts file fileless files focus folder following full gathering geolocations glimpse goal goldbackdoor google government/ grants group groups has heuristic hijacking https://asec https://attack https://cloud https://otx https://research https://www identified impacting including infected infection ingelligence initial intelligence/mapping interest interests its known korea korean koreas leak least legitimate like likely link/ lnk long m2rat machines mainly maintain malicious malware malware: mandiant may meet methodical methods microsoft military ministry missing mitre modifications msr mss multiple name=trojan:msil/malgent name=trojan:win32/leonem name=trojandownloader:msil/small name=worm:win32/znyonm nature next north not notable observed once ongoing operation org/groups/g0067/ other others out over part payloads permission persistence persistent phishing placed political powershell primarily primary processes prohibited reaction reboot references registry reproduction research research/unintentional reserved rights rokrat rokrats scarcrufts scheduled script security securonix shortcut shrouded#sleep shrouded#sleep: since site sleep snapshot sophisticated south southeast spear sponsored startup state stealthy such support swimming system targeted targeting task team techniques thereof threat through times tools triggers trojan:msil/malgent trojan:win32/leonem trojan:win32/znyonm trojandownloader:msil/small until us/wdsi/threats/malware use using variety vectors veilshell victims waters welivesecurity which windows without written zero zip zscaler |
| Tags | Malware Tool Vulnerability Threat Cloud |
| Stories | APT 37 |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.