One Article Review
| Source |  RiskIQ |
|---|---|
| Identifiant | 8595080 |
| Date de publication | 2024-10-09 22:06:48 (vue: 2024-10-09 22:18:15) |
| Titre | Palo Alto Networks découvre quatre nouvelles campagnes de tunneling DNS Palo Alto Networks Uncovers Four New DNS Tunneling Campaigns |
| Texte | ## Instantané
Des chercheurs de Palo Alto Networks ont identifié quatre campagnes de tunneling DNS non conçues, surnommées Finhealthxds, Russians, 8NS et NSFinder.
## Description
La première campagne, FinhealthXDS, cible les industries financières et de la santé avec 12 domaines utilisant un format DNS personnalisé pour Cobalt Strike C2 Communications, indiqué par un préfixe à trois lettres.La deuxième campagne, la RussieSite, implique plus de 100 domaines avec une IP de servante partagée partagée de la Russie, ayant un impact sur l'enseignement supérieur, le gouvernement et les entités de santé.
La troisième campagne, 8NS, comprend six domaines avec huit enregistrements NS chacun.Cette campagne utilise des logiciels malveillants, y compris certains de la famille Hiloti, pour tirer parti des requêtes DNS pour la communication C2.Enfin, la campagne NSFinder se compose de plus de 50 domaines et attire des victimes de sites Web pour adultes pour voler des informations sur les cartes de crédit.Ce Campign est lié à des chevaux de Troie comme Icedid et Redline Stealer et a eu un impact sur les victimes dans les secteurs de haute technologie, d'éducation et de fabrication.
## Recommandations
Azure Defender pour DNS offre une couche supplémentaire de protection pour vos ressources cloud en surveillant en continu toutes les requêtes DNS à partir de vos ressources Azure et exécute des analyses de sécurité avancées pour vous alerter lorsque l'activité suspecte est détectée.
Azure Defender pour DNS protège contre les questions, notamment:
- Exfiltration de données à partir de vos ressources Azure à l'aide de tunneling DNS.
- Communication malveillante avec le serveur de commande et de contrôle.
- Communication avec des domaines malveillants comme le phishing et l'extraction de crypto.
- DNS attaque la communication avec des résolveurs DNS malveillants.
[En savoir plus sur Azure Defender pour DNS] (http://aka.ms/defenderfordns).
## Détections / requêtes de chasse
### Microsoft Defender Antivirus
Microsoft Defender Antivirus détecte les composants de menace comme le FMALWOWIRS DE SOWNING:
- [Trojan: MSIL / AgentTesla] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-description?name=trojan:mil/agenttesla.dt!mtb)
- [Trojan: Win32 / Hiloti] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-description?name=trojan:win32/hiloti.gen!d)
- [Trojan: Win64 / IceDID] (https://www.microsoft.com/en-us/wdsi/Threats/Malware-encyClopedia-DEscription? Name = Trojan: Win64 / IceDID)
## références
[Palo Alto Networks découvre quatre nouvelles campagnes de tunneling DNS] (https://unit42.paloaltonetworks.com/Detecting-dns-Tunneling-Campaignes/#new_tab).Palo Alto Networks (consulté en 2024-10-08)
## Copyright
**&copie;Microsoft 2024 **.Tous droits réservés.La reproduction ou la distribution du contenu de ce site, ou de toute partie de celle-ci, sans l'autorisation écrite de Microsoft est interdite.
## Snapshot Researchers at Palo Alto Networks have identified four previously unrepored DNS tunneling campaigns dubbed FinHealthXDS, RussianSite, 8NS, and NSfinder. ## Description The first campaign, FinHealthXDS, targets the finance and healthcare industries with 12 domains using a customized DNS beaconing format for Cobalt Strike C2 communications, indicated by a three-letter prefix. The second campaign, RussianSite, involves over 100 domains with a shared nameserver IP from Russia, impacting higher education, government, and health entities. The third campaign, 8NS, features six domains with eight NS records each. This campaign uses malware, including some from the Hiloti family, to leverage DNS queries for C2 communication. Finally, the NSfinder campaign consists of over 50 domains and lures victims to adult websites to steal credit card information. This campiagn is linked to Trojans like IcedID and RedLine stealer and ha |
| Notes | ★★★ |
| Envoyé | Oui |
| Condensat | ### **© 100 2024 2024** 8ns about accessed activity additional adult advanced against alert all alto analytics antivirus any attacks azure beaconing campaign campaigns campaigns/#new campiagn card cloud cobalt com/detecting com/en command communicating communication communications components consists content continuously control copyright credit crypto customized data defender description detected detections/hunting detects distribution dns domains dubbed each education eight encyclopedia entities exfiltration family features finally finance finhealthxds first following format four from gen government has have health healthcare high higher hiloti http://aka https://unit42 https://www icedid identified impacted impacting including including: indicated industries information involves issues is layer learn letter leverage like linked lures malicious malware malware: manufacturing microsoft mining monitoring more ms/defenderfordns mtb name=trojan:msil/agenttesla name=trojan:win32/hiloti name=trojan:win64/icedid nameserver networks new nsfinder over palo paloaltonetworks part permission phishing prefix previously prohibited protection protects provides queries recommendations records redline references reproduction researchers reserved resolvers resources rights runs russia russiansite second sectors security server shared site six snapshot some steal stealer strike suspicious tab targets tech thereof third threat three trojan:msil/agenttesla trojan:win32/hiloti trojan:win64/icedid trojans tunneling uncovers unrepored us/wdsi/threats/malware uses using victims websites when without written your |
| Tags | Malware Threat Medical Cloud |
| Stories | |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.