One Article Review
| Source |  RiskIQ |
|---|---|
| Identifiant | 8595647 |
| Date de publication | 2024-10-10 21:13:00 (vue: 2024-10-10 21:18:10) |
| Titre | Analyse technique d'un nouveau cadre IMEEX Technical Analysis of a Novel IMEEX Framework |
| Texte | #### Géolocations ciblées - Afghanistan - Djibouti ## Instantané Des chercheurs d'Intezer ont publié un rapport détaillant le cadre IMEEX, un logiciel malveillant personnalisé sophistiqué conçu pour cibler les systèmes Windows. ## Description Le cadre IMEEX propose une gamme de fonctionnalités, telles que l'exécution de la commande distante, la manipulation de fichiers, le contrôle des processus et la modification du registre.Livré en tant que DLL 64 bits, il permet aux attaquants de prendre le contrôle total des machines compromises, tandis que ses capacités de reconnaissance collectent les informations critiques du système, qui est envoyée à un serveur de commande et de contrôle (C2).Les capacités d'Imeex \\ en font un outil puissant pour le contrôle du système distant, en utilisant une approche modulaire qui lui permet de charger et d'exécuter des composants à la demande, améliorant sa flexibilité. IMEEX a été identifié principalement dans Djibouti, avec une variante moins capable vue en Afghanistan.Cependant, Intezer évalue que la campagne ne se limite probablement pas uniquement à ces pays. Le malware est conçu pour la furtivité, se mélangeant à des processus système légitimes comme Svchost.exe et en utilisant une communication cryptée pour éviter la détection.Il utilise diverses techniques de persistance, telles que la modification des clés de registre et l'utilisation de mutex pour empêcher plusieurs instances. Notamment, la campagne IMEEX observée réutilise l'infrastructure précédemment observée distribuant [ShadowPad] (https://security.microsoft.com/intel-profiles/shadowpad), une plate-forme malware modulaire utilisée par les acteurs chinois de la menace, suggérant des liens possibles entre ces campagnes.Cependant, Intezer n'est pas en mesure d'attribuer en toute confiance l'activité pour le moment. Intezer note que IMEEX a été principalement déployé dans les régions de signification géopolitique, Djibouti et l'Afghanistan étant des domaines clés en raison de leur importance stratégique pour le commerce et la sécurité mondiales.La société évalue que les intérêts de la Chine dans les deux pays suggèrent que les logiciels malveillants comme IMEEX soient utilisés comme outil d'espionnage et de maintien de l'influence sans conflit direct. ## Analyse Microsoft Shadowpad est une porte dérobée modulaire identifiée par Kapersky en 2017, bien que les chercheurs aient souligné que des échantillons datant de 2015. Les preuves de ShadowPad dans votre réseau devraient susciter une réponse élevée en raison de son utilisation historique dans les attaques de la chaîne d'approvisionnement soutenue par le gouvernement.Le chef d'entre eux sont le [compromis de logiciel de gestion de serveur NetSarang 2017] (https://www.csoonline.com/article/562645/kaspersky-discovers-supply-chain-attack-at-netsarang.html) et [2017-2018Compromis du populaire Ccleaner d'Avast \\] (https://www.wired.com/story/inside-the-unnerving-supply-chain-attack- that-corrupted-cleaner/), à la fois le travail de chinois avancé persistant persistant persistantGroupes de menace (APT). Microsoft Threat Intelligence a observé des acteurs de menaces chinoises en tirant parti de ShadowPad pour maintenir un accès persistant et exfiltrer les données des environnements victimes.Par exemple, le thrEat Actor Microsoft suit comme [Storm-0147] (https://security.microsoft.com/intel-profiles/de13fce840ca95805ab1e06edb35a9b2a87faf1226230cbd36c3231727087d64), a ChinUn groupe de cyber-espionnage basé, a été observé en tirant parti de ShadowPad dans un certain nombre de ses attaques.Le groupe est connu pour cibler principalement les agences gouvernementales, les groupes de réflexion, les entités agricoles et les entités minières en Asie centrale et du Sud-Est, dans la région du Pacifique et en Amérique du Sud.Certains des activités du groupe se chevauchent avec au moins deux autres groupes d'activités basés sur |
| Notes | ★★ |
| Envoyé | Oui |
| Condensat | ### #### **© 0147 2015 2017 2018 2024 2024** 21562b1004d5/analystreport 365/security/defender 4b5e 5155 access accessed action activities activity actor actors advanced af74 affiliated afghanistan against age agencies agriculture alert alerts all allow allows also america among analysis antivirus any approach apt apt41 are areas artifacts asia assessed assesses as attack attacker attackers attacks attributable attribute august authority automated avast avoid backdoor backed based been behind being between bit blending block both brasstyphoon breach breaches campaign campaigns can capabilities capable ccleaner ccleaner/ central chain changes chief china chinese cisco client cloud cobaltstrike collect com/article/562645/kaspersky com/blog/research/technical com/chinese com/en com/intel com/microsoft com/story/inside com/threatanalytics3/9382203e command common communication company components compromise compromised confidence confidently configure confined conflict content control controlled copyright corrupted countries cover credential criterion critical csoonline custom customers cyber data dating defend defender delivered demand deployed description designed detailing detect detected detection detections/hunting detects direct discovers distributing distribution djibouti dll does due edr elevated email employs enable enabled encrypted encyclopedia endpoint endpoint/attack endpoint/automated endpoint/edr endpoint/enable endpoint/linux endpoint/prevent enhancing ensure entities environments equivalent espionage even evidence evolving example exe executable execute execution exfiltrate exfiltration file files first flexibility folder folders follow following framework framework/ from full functionalities gathering geolocations geopolitical global government granite group groups hacking hardening has have historic however html https://blog https://intezer https://learn https://security https://www identified imeex immediate impact impacted importance indicates influence information infrastructure instances institute intelligence interests intezer investigation investigations its kapersky key keys known learndoc learning least legitimate less leveraged leveraging like likely list load local lsa lsass machine machines maintain maintaining majority make malicious malware malware: manage management manipulation medium meet microsoft mining mitigations mode modification modifying modular multiple mutexes name=trojan:win32/casdet name=trojan:win32/multiverze name=trojan:win32/phonzy name=trojan:win32/wacatac netsarang network new non not notably notes novel number observed ocid=magicti osint other overlap overview pacific part passive permission persistence persistent platform pointed popular possible post potential powerful preferences premises prevalence prevent previously primarily process processes product profiles/3ffed77ebe49ef88a98fe6aa2ca401fa6095796e7ac3dd8f2b168af5fd57e472 profiles/b61d878d0aef6af9cba261cca965ca4482e1a0205860bd070fd7be2ea8be49d3 profiles/de13fce840ca95805ab1e06edb35a9b2a87faf1226230cbd36c3231727087d64 profiles/f0aaa62bfbaf3739bb92106688e6a00fc05eafc0d4158b0e389b4078112d37c6 profiles/shadowpad prohibited prompt protection protection#how protections queries range ransomware rapidly raspberry recommendations recommends reconnaissance reduce reducing reduction reference#block references region regions registry released remediate remediation remote report reported reporting reproduction research researchers reserved resolve response reuses rights rule rules run running samples scenes security seen sent server settings shadowpad should significance significantly site snapshot software solely some sophisticated south southeast stealing stealth storm strategic subsystem such suggest suggesting supply surface svchost system systems taiwanese take talos talosintelligence tamper tanks target targeted technical techniques theft them thereof these the think those though threat threats ties time tool tools tracked tracks trade trojan:win32/casdet trojan:win32/multiverze trojan:win32/phonzy trojan:win32/waca |
| Tags | Ransomware Malware Tool Threat Technical |
| Stories | APT 41 |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.