One Article Review
| Source |  RiskIQ |
|---|---|
| Identifiant | 8596273 |
| Date de publication | 2024-10-11 21:41:42 (vue: 2024-10-11 22:23:39) |
| Titre | Earth Simnavaz (alias Apt34) prélève des cyberattaques avancées contre les régions des EAU et du Golfe Earth Simnavaz (aka APT34) Levies Advanced Cyberattacks Against UAE and Gulf Regions |
| Texte | #### Géolocations ciblées
- Émirats arabes unis
## Instantané
Les chercheurs de Trend Micro ont identifié une campagne de cyber-espionnage par Earth Simnavaz, également connu sous le nom d'APT34 et suivi par Microsoft comme [Hazel Sandstorm] (https: //security.microsoft.com/intel-profiles/6cea89977cc2795bb1a80cad76f4de2ffff256ac3989e757c530047912450e2d), ciblant les entités gouvernementales enLes EAU et la région du Golfe.
## Description
Le groupe utilise des tactiques sophistiquées pour maintenir la persistance et exfiltrer des données sensibles, en utilisant une porte dérobée qui exploite les serveurs d'échange Microsoft pour le vol d'identification et le tirage de vulnérabilités comme le CVE-2024-30088 pour l'escalade des privilèges.Ils utilisent un mélange d'outils .NET personnalisés, de scripts PowerShell et de logiciels malveillants basés sur IIS, tels que la porte dérobée de Karkoff, pour mélanger l'activité malveillante avec le trafic réseau normal et l'évasion de la détection.
La méthode d'infiltration initiale consiste à télécharger un shell Web sur un serveur Web vulnérable, permettant l'exécution du code PowerShell et des transferts de fichiers pour se développer.Les acteurs de la menace télécharge ensuite l'outil de gestion à distance NGROK pour faciliter le mouvement latéral et atteindre le contrôleur de domaine.Le groupe enregistre une DLL de filtre de mot de passe pour capturer les modifications de mot de passe et exfiltrant les informations d'identification cryptées via des serveurs d'échange gouvernementaux légitimes à l'aide d'un outil identifié comme Stealhook.Ils utilisent également une tâche planifiée exécutant un script nommé "U.PS1" pour persévérance et sont connus pour remplacer ce script par un script non fonctionnel pour entraver les efforts d'enquête.
## Recommandations
Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace.
- durcir les actifs orientés Internet et identifier et sécuriser les systèmes de périmètre que les attaquants pourraient utiliser pour accéder à votre réseau.
- Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/en-us/defender-endpoint/configure-lock-at-first-sight-microsoft-defender-antivirus) dans Microsoft Defender Antivirus ou leÉquivalent pour que votre produit antivirus couvre des outils et techniques d'attaquant en évolution rapide.Les protections d'apprentissage automatique basées sur le cloud bloquent une majorité de variantes nouvelles et inconnues.
- Encouragez les utilisateurs à utiliser Microsoft Edge et d'autres navigateurs Web qui prennent en charge [SmartScreen] (https://feedback.smartscreen.microsoft.com/smartscreenfaq.aspx), qui identifie et bloque des sites Web malveillants, y compris des sites de phishing, des sites d'escroquerie et des sitesqui contiennent des exploits et hébergent des logiciels malveillants.
## Détections / requêtes de chasse
### Microsoft Defender pour le point de terminaison
Les alertes avec les titres suivants dans le centre de sécurité peuvent indiquer une activité de menace sur votre réseau:
- Activité de l'acteur de sable noisette détectée
## références
[Earth Simnavaz (alias APT34) LEVIES CYBERATTADES AVANCÉES AVANT LES ÉMORS ET GULFERégions] (https://www.trendmicro.com/en_us/research/24/j/arth-simnavaz-cyberattacks-uae-gulf-regions.html).Trendmicro (consulté en 2024-10-11)
[Hazel Sandstorm] (https://security.microsoft.com/intel-profiles/6cea89977cc2795bb1a80cad76f4de2ffff256ac3989e757c530047912450e2d).Microsoft (consulté en 2024-10-11)
## Copyright
**&copie;Microsoft 2024 **.Tousdroits réservés.La reproduction ou la distribution du contenu de ce site, ou de toute partie de celle-ci, sans l'autorisation écrite de Microsoft est interdite.
#### Targeted Geolocations - United Arab Emirates ## Snapshot Researchers at Trend Micro have identif |
| Notes | ★★★ |
| Envoyé | Oui |
| Condensat | ### #### **© 2024 2024** 30088 access accessed activity actor actors advanced against alerts all also antivirus any apt34 arab aspx assets attacker attackers backdoor based been blend block blocks browsers campaign can capture center changes cloud code com/en com/intel com/smartscreenfaq contain content controller copyright cover credential credentials customized cve cyber cyberattacks data defender delivered description detected detection detections/hunting distribution dll domain download earth edge efforts emirates employing enabling encourage encrypted endpoint endpoint/configure entities equivalent escalation espionage evade evolving exchange executing execution exfiltrate expand exploits facilitate facing file filter first following foothold functional geolocations government governmental group gulf harden have hazel hinder host html https://feedback https://learn https://security https://www identified identifies identify iis impact including indicate infiltration initial internet investigation involves karkoff known lateral learning legitimate leveraging levies like machine maintain majority malicious malware management method micro microsoft might mitigations mix movement named net network network: new ngrok non normal one other part password perimeter permission persistence phishing powershell privilege product profiles/6cea89977cc2795bb1a80cad76f4de2ffff256ac3989e757c530047912450e2d prohibited protection protections ps1 queries rapidly reach recommendations recommends reduce references region regions registers remote replace reproduction researchers reserved rights sandstorm scam scheduled script scripts secure security sensitive server servers shell sight simnavaz site sites smartscreen snapshot sophisticated stealhook such support systems tactics targeted targeting task techniques theft then thereof threat through titles tool tools tracked traffic transfers trend trendmicro turn uae united unknown uploading us/defender us/research/24/j/earth use users uses using utilize variants vulnerabilities vulnerable web websites which without written your |
| Tags | Malware Tool Vulnerability Threat Prediction |
| Stories | APT 34 |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.