One Article Review
| Source |  RiskIQ |
|---|---|
| Identifiant | 8599361 |
| Date de publication | 2024-10-17 17:29:10 (vue: 2024-10-17 18:16:06) |
| Titre | Véritables certificats de signature trouvés utilisés par Hijackloader Genuine Signing Certificates Found Used by HijackLoader |
| Texte | ## Instantané Depuis septembre 2024, les chercheurs de Harfanglab ont observé une forte augmentation de la distribution du voleur de Lumma via Hijackloader.Certains de ces déploiements ont exploité des certificats de signature de code authentiques. ## Description La chaîne d'attaque commence généralement par les victimes visitant une fausse page Web Captcha qui déclenche un script PowerShell, conduisant au téléchargement et à l'exécution du malware.La variante Hijackloader signée a contourné les défenses traditionnelles et avait un faible taux de détection au moment de la découverte. Les chercheurs ont identifié plusieurs certificats compromis de différentes sociétés qui avaient été utilisés pour signer des logiciels malveillants, y compris des certificats de Lider LLC et Shanghai Yungpu Chemical Co., Ltd. Ils ont également constaté que les acteurs malveillants se faisaient l'identité d'un logiciel légitime pour cacher leurs activités.Grâce à cette enquête, ils ont découvert des certificats supplémentaires et des échantillons malveillants, qui ont tous été signalés et révoqués. Cette recherche met en évidence la menace croissante de logiciels malveillants signés et la nécessité de méthodes de détection complémentaires au-delà de la simple vérification de signature de code pour protéger les systèmes. ## Analyse Microsoft et contexte OSINT supplémentaire La signature de code est un mécanisme de sécurité où les développeurs signent numériquement un logiciel avec un certificat unique pour vérifier son origine et s'assurer qu'il n'a pas été modifié, faisant confiance aux utilisateurs dans l'authenticité du logiciel.Cependant, les acteurs de la menace peuvent exploiter ce processus en créant, en acquérant ou en volant des certificats pour signer des logiciels malveillants, ce qui le rend légitime.Cela permet aux logiciels malveillants de contourner les vérifications de sécurité, car la signature numérique crée un faux sentiment de confiance.La Miter Corporation suit les fichiers exécutables malveillants en tant que [Soupvert Trust Controls: Code Signing (T1553.002)] (https://attack.mitre.org/techniques/t1553/002/).Bien que largement utilisé sur les systèmes Windows et MacOS pour la validation des logiciels, la signature de code n'est pas utilisée sur Linux en raison de la nature décentralisée de la plate-forme. Microsoft a observé une variété d'acteurs de menaces à utiliser [des fichiers exécutables malveillants signés] (https://security.microsoft.com/intel-explorer/articles/702042f6) dans des campagnes, y compris les acteurs de menace nationale et financièrement motivés.Les acteurs de la menace criminelle ont développé un écosystème pour obtenir et vendre frauduleusement la possibilité de signer des dossiers exécutables malveillants, en particulier les conducteurs.Cet écosystème de signature de pilote en tant que service (DSAAS) rend la signature de code à la disposition de nombreux autres acteurs de menace. Des exemples notables d'acteurs de menace utilisant des exécutables malveillants signés incluent [Diamond Sleet] (https://security.microsoft.com/intel-profiles/b982c8daf198d93a2ff52b92b65c6284243aaa6af91dda5edd1fe8ec5365918c5) omettre la chaîne d'approvisionnement deLe logiciel Promeo de CyberLink \\ a] (https://security.microsoft.com/intel-explorer/articles/ec4552cc) et Storm-1232, un groupe basé en Chine qui a livré des logiciels malveillants avec une signature numérique valide via le [compromis baséd'un service de dépôt d'impôt américain] (https://security.microsoft.com/intel-explorer/articles/0cd099a9). Pour en savoir plus sur la façon dont les acteurs de la menace exploitent les fichiers exécutables malveillants signés dans les attaques, lisez Microsoft \\ S [Profil Technique] (https://security.microsoft.com/intel-explorer/articles/702042f6). ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette men |
| Notes | ★★★ |
| Envoyé | Oui |
| Condensat | ### **©microsoft 002 1232 2024 2024** ability about abusing accessed acquiring activities actors additional advertisements ahj all allows also altered analysis antivirus any appear application applications attack attacks attributes atypical authenticity available avoid based basedactivity been begins behavior beyond block blocklist bypass bypassed campaigns can captcha card certificate certificates certificates/#new chain check checks chemical china code com/en com/intel com/windows/security/application companies complementary components compromise compromised content context control/design/microsoft control/windows controls: copyright corporation creates creating criminal cyberlink decentralized defender defenses delivered deployment deployments description detecting detection detections/hunting detects developed developers diamond different digital digitally discovery distributed distribution download driver drivers dsaas due ecosystem encyclopedia end engine ensure especially examples executable executables execution exploit exploited explorer/articles/0cd099a9 explorer/articles/702042f6 explorer/articles/ec4552cc fake false file files filing financially focus following found fraudulently from gather genuine group growing had harfanglab has hasn have help hide highlights hijackloader how however https://attack https://harfanglab https://learn https://security https://www identified identify impact impersonating include including installing internet investigation io/insidethelab/hijackloader its just korea leading learn legitimate leverage leveraged lider linux llc low ltd lumma macos makes making malicious malware malware: many mechanism media metadata methods microsoft mitigations mitre monitored more motivated mtb name=program:win32/wacapew name=trojan:msil/znyonm name=trojan:win32/heavensgate name=trojan:win32/hijackloader name=trojan:win32/malgent name=trojan:win32/wacatac name=trojan:win64/convagent nation nature need north not notable observed obtain org/techniques/t1553/002/ origin osint part party permission platform powershell prevalence process profile profiles/b982c8daf198d93a2ff52b92b65c6284243aa6af91dda5edd1fe8ec5365918c5 program:win32/wacapew prohibited promeo promoted protect provide providing queries rate read recommendations recommended recommends reduce references regardless reported reproduction research researchers reserved results revoked rights rise risky rpy rules running samples script scrutinize search searching security security/application sell sense september service several shanghai sharp sign signature signed signing since site sleet snapshot social software some spge state status stealer stealing storm subvert such suggested supply system systems t1553 tab tax technique thereof these third threat threats through time tracks traditional training triggers trojan:win32/heavensgate trojan:win32/hijackloader trojan:win32/malgent trojan:win32/wacatac trojan:win32/znyonm trojan:win64/convagent trust turn typically uncovered unique unknown us/wdsi/threats/malware use used users using valid validation variant variety verification verify victims visiting webpage websites where which widely windows without written yungpu |
| Tags | Malware Threat |
| Stories | |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.