One Article Review
| Source |  RiskIQ |
|---|---|
| Identifiant | 8594036 |
| Date de publication | 2024-10-08 05:14:51 (vue: 2024-10-08 05:18:08) |
| Titre | Awaken Likho is awake: new techniques of an APT group |
| Texte | #### Géolocations ciblées - Russie ## Instantané Des chercheurs de Kaspersky ont identifié une campagne par le groupe APT Awaken Likho, également connu sous le nom de Core Werewolf, ciblant les agences gouvernementales russes et les entreprises industrielles. ## Description La campagne, active de juin à au moins août 2024, a marqué un changement de tactique, le groupe utilisant désormais Meshagent, un agent de la plate-forme Meshcentral légitime, au lieu de leur module Ultravnc précédemment utilisé pour l'accès à distance du système.L'implant a été livré via une URL malveillante, probablement des e-mails de phishing, et a été emballé dans une archive auto-extraite à l'aide de UPX. La chaîne d'attaque comprenait un script AutOIT exécutant deux fichiers, NetworkDrivers \ [. \] EXE et NKKA9A82KJN8KJHA9 \ [. \] CMD, pour assurer la persistance.NetworkDrivers \ [. \] EXE est un maillant qui interagit avec le serveur C2, tandis que le script CMD NKKA9A82KJN8KJHA9 \ [. \] Fortement obscurci crée une tâche planifiée nommée MicrosoftepDatDateTaskMachinems, qui exécute EdgeBrowser.CMD et Deletes traces de l'attaque.Les attaquants ont également utilisé un fichier de configuration, NetworkDrivers \ [. \] MSH, pour que Meshagent établisse une connexion avec le serveur Meshcentral. Sur la base des tactiques, des techniques et des procédures (TTPS) utilisées, de la victiologie et de l'évolution de leurs méthodes, Kaspersky attribue ces attaques pour éveiller likho.Le groupe est actif depuis le début du conflit russo-ukrainien et continue d'évoluer ses méthodes, indiquant que leur malware est toujours en développement et que d'autres attaques sont probables. ## Analyse Microsoft Meshagent est un Source ouverte [outil de gestion à distance] (https://security.microsoft.com/intel-explorer/articles/9782a9ef) qui a été exploité par divers acteurs de menace pour obtenir un accès non autorisé aux victimes \\ ''.Il peut collecter des informations système essentielles pour la gestion à distance et propose des fonctionnalités telles que la gestion de l'alimentation et du compte, le chat ou les fenêtres contextuelles de message, le transfert de fichiers et l'exécution des commandes.De plus, il prend en charge les capacités de bureau à distance basées sur le Web telles que RDP et VNC.Bien que les utilisateurs puissent utiliser cet outil de gestion légitime du système à distance, ces fonctionnalités sont également très attrayantes pour les acteurs malveillants.Par exemple, en mai, [Cisco Talos a rapporté] (https://security.microsoft.com/intel-explorer/articles/39e87f2a) sur une campagne de vol de données utilisant Meshagent avec Quaserrat pour compromettre des serveurs d'application vulnérables exposés à Internet.Et en mars, [Ahnlab Security Intelligence Center (ASEC) a rapporté] (https://asec.ahnlab.com/en/63192/) sur le groupe Andariel parrainé par l'État exploitant Meshagent pour cibler les solutions de gestion des actifs coréens. ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace.Vérifiez la carte de recommandations pour l'état de déploiement des atténuations surveillées. - Passez en revue notre profil technique sur [Abus de surveillance à distance et d'outils de gestion] (https://security.microsoft.com/intel-explorer/articles/9782a9ef) pour bloquer et chasser des outils comme Meshagent. - Pilot et déploie [méthodes d'authentification résistantes à la phishing pour les utilisateurs.] (Https://learn.microsoft.com/en-us/entra/identity/authentication/concept-authentication-methods?ocid=Magicti_ta_learndoc) - Configurez Microsoft Defender pour Office 365 à [Rechercher les liens sur Click] (https://learn.microsoft.com/en-us/defender-office-365/safe-links-about?ocid=Magicti_TA_LearnDoc).Safe Links fournit une analyse et une réécriture des URL des e-mails entrants dans le flux de messagerie et une vérification du temps de clic des URL et |
| Notes | ★★★ |
| Envoyé | Oui |
| Condensat | ### #### **© 0198: 2024 2024** 365 365/anti 365/safe about abuse access accessed accessing account action active activity actors addition additionally age agencies agent ahnlab alert alerts all allow along also among analysis andariel anonvnc anti antivirus any application applications apps apt archive are artifacts asec asset associated attack attackers attacks attractive attributes august authentication autoit automated awake: awaken based been behind block blocking blocks breach breaches browsers campaign campaign/114101/ can capabilities card cards center chain chat check cisco click cloud cmd com/awaken com/en com/en/63192/ com/intel command common compromise computers configuration configure conflict connection content continues copyright core cover creates criterion customers data defender deletes delivered deploy deployment description desktop detect detected detection development distribution does domains edge edgebrowser edr email emails enable encourage endpoint endpoint/attack endpoint/automated endpoint/cloud endpoint/detect endpoint/edr endpoint/enable ensure enterprises eop equivalent essential establish even evolution evolve evolving example exchange exe executable executing execution exploited exploiting explorer/articles/39e87f2a explorer/articles/560ec243 explorer/articles/9782a9ef exposed extracting features file files flow following from full further gain gather geolocations government group has heavily help highly host however https://asec https://learn https://securelist https://security hunting identified identifies immediate impact implant inbound included including indicate indicating industrial information inkbox inkloader instead intelligence interacts internet investigation investigations its june kaspersky known korean learndoc learndoc#block learning least legitimate like likely likho lilacsquid: links list locations machine mail majority malicious malware management march marked mass may meet meshagent meshcentral message messages methods microsoft microsoftedgeupdatetaskmachinems mitigations mode module monitored monitoring msh named network networkdrivers new nkka9a82kjn8kjha9 non not now obfuscated occurs ocid=magicti offers office online open organization organizations other packed part passive permission persistence phishing pilot platform pop post potentially power prevalence prevent previously procedures product profile prohibited protect protection protections provided provides pua purpleink quaserrat rapidly rdp recheck recommendations recommends reduce reducing reduction reference references regular remediate remediation remote report reported reproduction researchers reserved resistant resolve response review rewriting rights rules run running runs russia russian russo safe scam scanning scenes scheduled script scripts securelist security self server servers sharepoint shift significantly since site sites smartscreen snapshot software solutions source spam sponsored start state status stealthy such support supports surface suspicious system tactics take talos target targeted targeting task teams technique techniques techniques: theft thereof these threat time tool tools traces transfer triggered trilogy trusted ttps turn two uac ukraine ukrainian ultravnc unauthorized unknown unless unrelated unwanted ups upx url urls us/defender us/deployedge/microsoft us/entra/identity/authentication/concept usage use used users using utilize utilizing variants various verification victimology victims vnc volume vulnerable web websites werewolf when which without works written xdr your |
| Tags | Malware Tool Threat Industrial |
| Stories | APT 45 |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.