One Article Review
| Source |  RiskIQ |
|---|---|
| Identifiant | 8599428 |
| Date de publication | 2024-10-17 20:34:10 (vue: 2024-10-17 21:16:39) |
| Titre | Icepeony avec la culture de travail \\ '996 \\' IcePeony with the \\'996\\' work culture |
| Texte | #### Géolocations ciblées - Maurice - Inde - Brésil - Vietnam #### Industries ciblées - agences et services gouvernementaux - Éducation - des groupes politiques et autres ## Instantané Des chercheurs de "Nao \ _sec", une équipe de recherche en cybersécurité, ont publié un rapport mettant en évidence un groupe de menace persistant avancé (APT) nouvellement découvert, nommé "Icepeony", qu'ils évaluent comme étant lié à la Chine. ## Description Actif depuis au moins 2023, Icepeony a ciblé les agences gouvernementales, les institutions universitaires et les organisations politiques dans des pays comme l'Inde, le Vietnam, le Maurice et peut-être le Brésil.Nao \ _sec a notamment découvert plus de 200 tentatives d'attaquer les sites Web du gouvernement en Inde.(Iis). Les activités d'Icepeony \\ ont été découvertes en raison d'erreurs de sécurité opérationnelle, y compris des répertoires exposés contenant des outils d'attaque comme [Cobaltstrike] (https: //security.microsoft.com/intel-profiles/fd8511c1d61e93d39411acf36a31130a6795efe186497098fe0c6f2ccfb920fc) et sqlmap.Une découverte clé était un fichier "zsh \ _history", qui permettaitDes chercheurs pour reconstruire un calendrier détaillé des attaques du groupe.Pendant deux semaines, Icepeony a utilisé divers outils, notamment Stax (un outil de proxy modifié), URLFinder et la diamorphine Rootkit, pour compromettre les sites Web du gouvernement et voler des données sensibles. Selon Nao \ _sec, les attaques du groupe s'alignent sur les intérêts nationaux de la Chine et peuvent se concentrer sur la stratégie maritime chinoise.Le développement de logiciels malveillants d'Icepeony \\ révèle une utilisation approfondie d'outils open source, en combinaison avec IceCache et un autre malware, surnommé IceEvent.NAO \ _SEC évalue les Malwares montrent que les signes d'être créés par le même développeur.On pense que l'opération d'Icepeony \\ suivait le «système d'heure de travail 996 de la Chine», travaillant de longues heures six jours par semaine. L'attribution à la Chine est en outre soutenue par la présence de chinois simplifiés dans leurs outils et leur accent sur les pays engagés dans des tensions géopolitiques avec la Chine, comme l'Inde et Maurice.Selon NAO \ _SEC, le groupe devrait rester actif et un suivi continu de leurs activités est nécessaire. ## Analyse Microsoft et contexte OSINT supplémentaire Microsoft suit plusieurs groupes d'activités de l'État-nation basés en Chine qui ont été impliqués dans le ciblage des organisations maritimes dans le cadre de leurs cyber-opérations.Parmi ces groupes se trouve [Volt Typhoon] (https://security.microsoft.com/intel-profiles/8fe93ebfb3a03fb94a92ac80847790f1d6cfa08f57b2bcebfad328a5c3e762cb) accès, impactant particulièrement les organisations dansles États-Unis.Un autre groupe, [Typhoon Gingham] (https://security.microsoft.com/intel-profiles/A2FC1302354083F4E693158EFFDBC17987818A2433C04BA1F56F4F603268AAB6), les concentrations sur la région de Maritime et la South.Cependant, les activités du Groupe \\ s'étendent également aux États-Unis, au Canada, en Europe, au Moyen-Orient et en Asie du Sud-Est, pour effectuer un espionnage et un vol de données. ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/en-us/defender-endpoint/linux-preférences) dans Microsoft Defender Antivirus ou l'équivalent de votre produit antivirus pour couvrir rapidement les outils d'attaquant en évolution et et et les outils d'attaquant en évolution rapide ettechniques.Les protections d'apprentissage automatique basées sur le cloud bloquent la majorité des menaces nouvelles et inconnues. - Exécuter [EDR en mode bloc] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-block-mode?view=o365-worldwide?ocid=Magict |
| Notes | ★★★ |
| Envoyé | Oui |
| Condensat | ### #### **© 200 2021 2023 2024 2024** 21562b1004d5/analystreport 365/security/defender 4b5e 5155 996 academic access accessed according action active activities activity additional advanced af74 after against age agencies alert alerts align all allow allowed also among analysis another antivirus any apt are artifacts asia assess assesses attack attacker attacks attempts attribution authority automated backdoors based been behind being believed block both brazil breach breaches can canada changes china chinese client cloud cobaltstrike com/en com/intel com/microsoft com/threatanalytics3/9382203e combination common components compromise conduct configure containing content context continued controlled copyright countries cover created credential criterion culture custom customers cyber data days defend defender delivered deploy description detailed detect detected detections/hunting detects developer development diamorphine directories discovered discovery distribution does dubbed due east edr education email enable enabled encyclopedia endpoint endpoint/attack endpoint/automated endpoint/edr endpoint/enable endpoint/linux endpoint/prevent engaged ensure equivalent espionage europe even evolving executable expected exploits exposed extend extensive file files focus focuses folder folders follow following from full further geolocations geopolitical gingham government group groups hardening has have health highlighting history hour hours however html https://learn https://nao https://security https://www icecache iceevent icepeony iis immediate impact impacting including india industries information injection institutions interests internet investigation investigations involved key learndoc learning least like linked list local long lsa lsass machine majority malicious malware malware: malwares manage maritime mauritius may meet microsoft mid middle mistakes mitigations mode modified monitoring msr name=trojan:win64/malgent named nao nation national necessary network new newly non not notably ocid=magicti open operation operational operations org/2024/10/icepeony organizations osint other over overview part particularly passive permission persistent political possibly post preferences premises presence prevalence prevent primarily product profiles/8fe93ebfb3a03fb94a92ac80847790f1d6cfa08f57b2bcebfad328a5c3e762cb profiles/a2fc1302354083f4e693158effdbc17987818a2433c04ba1f56f4f603268aab6 profiles/fd8511c1d61e93d39411acf36a31130a6795efe186497098fe0c6f2ccfb920fc prohibited protection protection#how protections proxy queries ransomware rapidly recommendations recommends reconstruct reduce reducing reduction reference#block references region released remain remediate remediation report reproduction research researchers reserved resolve reveals rights rootkit rule rules run running same scenes sea sec security sensitive servers services settings several show significantly signs simplified since site six snapshot source south southeast sql sqlmap state states stax steal stealing strategy subsystem such supported surface system take tamper targeted targeting targets team techniques tensions theft thereof these threat threats through timeline tool tools tracks trojan:win64/malgent trusted turn two typhoon typically uncovered united unknown unless urlfinder us/defender us/wdsi/threats/malware use used various vietnam view=o365 volt volume vulnerabilities web webmail webshells websites week weeks when which windows without work working works worldwide written xdr your zsh |
| Tags | Ransomware Malware Tool Vulnerability Threat |
| Stories | |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.