One Article Review
| Source |  RiskIQ |
|---|---|
| Identifiant | 8596112 |
| Date de publication | 2024-10-11 15:58:40 (vue: 2024-10-11 16:18:12) |
| Titre | Le loup-garou au noyau applique son arsenal contre les organisations gouvernementales de la Russie Core Werewolf hones its arsenal against Russia\\'s government organizations (Recyclage) |
| Texte | #### Géolocations ciblées - Russie ## Instantané Des chercheurs de BI.Zone ont publié un rapport détaillant l'activité de loup-garou principale continue ayant un impact sur l'industrie de la défense russe et les infrastructures critiques à l'aide d'un nouveau chargeur. ## Description Dans cette campagne, le chargeur est livré aux victimes à l'aide de messagers instantanés, principalement télégramme, susceptibles de permettre un ciblage plus précis.Le chargeur, écrit en autoit, est conçu pour recueillir et exfiltrer les informations du système compromis tout en facilitant le téléchargement et l'exécution de charges utiles malveillantes supplémentaires. Il commence par récupérer des détails sur le système, tels que le nom de l'ordinateur, le nom d'utilisateur, la version du système d'exploitation (OS) et le contenu du dossier de bureau, les enregistrant dans un fichier texte temporaire.Il exfiltre ensuite ces données sur un serveur de commande et de contrôle (C2) et tente de télécharger un fichier texte de suivi.Si le fichier contient une valeur spécifique, il déclenche le téléchargement et l'exécution d'un script AutOIT de deuxième étape.Ce processus se répète jusqu'à ce que le chargeur récupère et exécute les charges utiles nécessaires, garantissant que toutes les traces des fichiers téléchargées sont supprimées par la suite. ## Analyse Microsoft [Bi.ZUn report (https: // by. Zone / Engnens / Nevs / Kore- Vervolf-Impovohs Attack-on-Russian-Opk-i-subjects-kiy /) c'estLe loup-garou de minerai vise des organisations de défense russe et d'infraste critiques depuis au moins août 2021 pour mener un espionnage.L'acteur a été observé en tirant parti des outils légitimes comme [ultravnc] (https://www.uvnc.com/) et des leurres de documents Microsoft Word et PDF soigneusement conçu pour distribuer des logiciels malveillants.UltravNC est un logiciel d'accès à distance gratuit pour Windows qui permet aux attaquants de prendre le contrôle des machines compromises. ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/en-us/defender-endpoint/linux-preférences) dans Microsoft Defender Antivirus ou l'équivalent de votre produit antivirus pour couvrir rapidement les outils d'attaquant en évolution et et et les outils d'attaquant en évolution rapide ettechniques.Les protections d'apprentissage automatique basées sur le cloud bloquent la majorité des menaces nouvelles et inconnues. - Exécuter [EDR en mode bloc] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-block-mode?view=o365-worldwide?ocid=Magicti_TA_LearnDoc)Le défenseur du point final peut bloquer les artefacts malveillants, même lorsque votre antivirus non microsoft ne détecte pas la menace ou lorsque Microsoft Defender Antivirus fonctionne en mode passif.EDR en mode bloc fonctionne dans les coulisses pour corriger les artefacts malveillants qui sont détectés post-abri. - Autoriser [Investigation and Remediation] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/automated-investigations?view=o365-worldwide?ocid=Magicti_TA_LearnDoc) en mode automatisé complet pour permettre à Microsoft DefenderPour que le point final prenne des mesures immédiates sur les alertes pour résoudre les violations, réduisant considérablement le volume d'alerte. - [Activé] (https://learn.microsoft.com/en-us/defender-endpoint/enable-ctrelled-folders) Accès aux dossiers contrôlés. - Assurez-vous que [Protection de stimulation] (https://learn.microsoft.com/en-us/defender-endpoint/prevent-changes-to-security-settings-with-tamper-protection#how-do-i-configure-Or-Manage-Tamper-Protection) est activé dans Microsoft Defender pour Endpoint. - Activer [Protection réseau] (https://learn.microsoft.com/en-us/defender-endpoint/enable-network-protection) dans Microsoft Defender pour le poi |
| Notes | ★★ |
| Envoyé | Oui |
| Condensat | #### 2021 2024 21562b1004d5/analystreport 365/security/defender 4b5e 5155 Alle Kopyright Kore Opk Reserved Russian Rygnts Subjects/ That Verevolf Vervolf about access accessory action activity actor additional af74 afterward against age alert alerts all allow analysis antivirus any are arsenal artifacts attack attacker attackers attacks attempts august authority autoit automated based been begins behind block breach breaches budi campaign can carefully changes client cloud com/ com/en com/microsoft com/threatanalytics3/9382203e command common compromised computer conduct configure contains content contents continued control controlled copies;Microsoft core cover crafted credential criterion critical customers data defend defender defense deleted delivered description designed desktop detailing details detect detected distribute distribution document does download downloaded edr email enable enabled enables endpoint endpoint/attack endpoint/automated endpoint/edr endpoint/enable endpoint/linux endpoint/prevent ensure ensuring equivalent espionage even evolving executable executes execution exfiltrate exfiltrates faciliting file files folder folders follow following free from full gain gather geolocations gorgans/ government hardening has hones https://bi https://learn https://security https://www immediate impact impacting impoverishes impresses industry information infrastructure infrasture instant investigation investigations its learndoc learning least legitimate leveraging like likely like likho list loader local lsa lsass lures machine machines majority malicious malware manage meet messengers microsoft mitigations mode more name necessary network new non not observed ocid=magicti operating organizations over overview part passive payloads pdf permission post precise preferences premises prevalence prevent primarily process product prohibited protection protection#how protections ransomware rapidly recommendations recommends reduce reducing reduction reference#block references released remediate remediation remote repeats report reports reproduction researchers resolve retrieves retrieving rule rules run running russia russian saving scenes script second security server settings significantly since site snapshot software specific stage stealing subsystem successfully such surface system take tamper targeted targeting techniques telegram temporary text theft them then thereof threat threats tools traces triggers trusted turn ultravnc unknown unless until us/defender used username using uvnc value version victims view=o365 volume weRevolf webmail werewolf when windows without word works worldwide would written xdr your zone zone/eng/expertise/blog/ne zone/eng/nEvs/Kore |
| Tags | Ransomware Malware Tool Threat |
| Stories | |
| Move | 
|
Les reprises de l'article (1):
| Source | RiskIQ |
|---|---|
| Identifiant | 8595573 |
| Date de publication | 2024-10-10 18:05:48 (vue: 2024-10-10 18:18:18) |
| Titre | Analyse technique de Darkvision Rat Technical Analysis of DarkVision RAT |
| Texte | ## Instantané Zscaler a publié un rapport sur Darkvision Rat, est un Troie (rat) à accès à distance hautement personnalisable qui a émergé pour la première fois en 2020, qui a gagné en popularité en raison de son abordabilité et de son large éventail de fonctionnalités. ## Description Il permet aux attaquants d'effectuer diverses activités malveillantes, telles que le keylogging, la capture de capture d'écran, le vol de mot de passe et l'exécution du code distant.Zscaler a récemment observé que le rat DarkVision était déployé conjointement avec [Purecrypter] (https://www.zscaler.com/blogs/security-research/technical-analysis-purecrypter), un chargeur de logiciel malin connu, dans une campagne de juillet 2024.L'attaque implique plusieurs étapes, y compris le décryptage de Shellcode, l'utilisation du chargeur de beignets et, finalement, l'injection de rat Darkvision. Une fois installé, DarkVision Rat utilise plusieurs techniques pour échapper à la détection et à maintenir la persistance sur les systèmes infectés, tels que le détournement de la DLL, l'exclusion du défenseur Windows et la manipulation du registre.Il communique avec son serveur de commande et de contrôle (C2) à l'aide d'un protocole personnalisé et prend en charge une variété de commandes pour voler des informations, manipuler des fichiers et contrôler le système de la victime.Le rat est très modulaire, avec des plugins permettant des capacités supplémentaires, y compris la capture de webcam, l'arrêt du système et la configuration de proxy inversé. ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/en-us/defender-endpoint/linux-preférences) dans Microsoft Defender Antivirus ou l'équivalent de votre produit antivirus pour couvrir rapidement les outils d'attaquant en évolution et et et les outils d'attaquant en évolution rapide ettechniques.Les protections d'apprentissage automatique basées sur le cloud bloquent la majorité des menaces nouvelles et inconnues. - Exécuter [EDR en mode bloc] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-block-mode?view=o365-worldwide?ocid=Magicti_TA_LearnDoc)Le défenseur du point final peut bloquer les artefacts malveillants, même lorsque votre antivirus non microsoft ne détecte pas la menace ou lorsque Microsoft Defender Antivirus fonctionne en mode passif.EDR en mode bloc fonctionne dans les coulisses pour corriger les artefacts malveillants qui sont détectés post-abri. - Autoriser [Investigation and Remediation] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/automated-investigations?view=o365-worldwide?ocid=Magicti_TA_LearnDoc) en mode automatisé complet pour permettre à Microsoft DefenderPour que le point final prenne des mesures immédiates sur les alertes pour résoudre les violations, réduisant considérablement le volume d'alerte. - [Activé] (https://learn.microsoft.com/en-us/defender-endpoint/enable-ctrelled-folders) Accès aux dossiers contrôlés. - Assurez-vous que [Protection de stimulation] (https://learn.microsoft.com/en-us/defender-endpoint/prevent-changes-to-security-settings-with-tamper-protection#how-do-i-configure-Or-Manage-Tamper-Protection) est activé dans Microsoft Defender pour Endpoint. - Activer [Protection réseau] (https://learn.microsoft.com/en-us/defender-endpoint/enable-network-protection) dans Microsoft Defender pour le point de terminaison. - Suivez les recommandations de durcissement des informations d'identification dans la [vue d'ensemble de vol d'identification sur prémisse] (https://security.microsoft.com/Thereatanalytics3/9382203E-5155-4B5E-AF74-21562B1004D5/analyStreport) pour défendre contre des techniques de vol de divertissement communs comme LSASS comme LSASSS comme lsass.accéder. - [Activer] (https://learn.microsoft.com/en-us/defender-endpoint/attack-surface-redulation-Rules-reference |
| Notes | ★★★ |
| Envoyé | Oui |
| Condensat | **© 2020 2024 2024** 21562b1004d5/analystreport 365/security/defender 4b5e 5155 access accessed action activities additional af74 affordability against age alert alerts all allow allows analysis antivirus any are artifacts attack attacker attackers authority based behind being block breach breaches broad campaign can capabilities capture changes client cloud code com/blogs/security com/en com/microsoft com/threatanalytics3/9382203e command commands common communicates configure conjunction content control controlled copyright cover credential criterion custom customers customizable darkvision decryption defend defender delivered deployed description detect detected detection distribution dll does donut due edr email emerged employs enable enabled enabling endpoint endpoint/attack endpoint/automated endpoint/edr endpoint/enable endpoint/linux endpoint/prevent ensure equivalent evade even evolving exclusion executable execution features files first folder folders follow following from fullautomated gained hardening highly hijacking https://learn https://security https://www immediate impact including infected information injection installed investigation investigations involves its july keylogging known learndoc learning like list loader local lsa lsass machine maintain majority malicious malware manage manipulate manipulation meet microsoft mitigations mode modular multiple network new non not observed ocid=magicti once overview part passive password perform permission persistence plugins popularity post preferences premises prevalence prevent product prohibited protection protection#how protections protocol proxy purecrypter range ransomware rapidly rat recently recommendations recommends reduce reducing reduction reference#block references registry released remediate remediation remote report reproduction research/technical reserved resolve reverse rights rule rules run running scenes screenshot security server settings setup several shellcode shutdown significantly site snapshot stages steal stealing subsystem such supports surface system systems take tamper technical techniques theft thereof threat threats tools trojan trusted turn ultimately unknown unless us/defender use used using variety various victim view=o365 volume webcam webmail when which windows without works worldwide written xdr your zscaler |
| Tags | Ransomware Malware Tool Threat Technical |
| Stories | |
| Move |
|
L'article ne semble pas avoir été repris sur un précédent.