One Article Review
| Source |  RiskIQ |
|---|---|
| Identifiant | 8601603 |
| Date de publication | 2024-10-24 19:05:47 (vue: 2024-10-24 20:07:47) |
| Titre | L'acteur de menace abuse de Gophish pour livrer un nouveau PowerRat et Dcrat Threat actor abuses Gophish to deliver new PowerRAT and DCRAT |
| Texte | ## Instantané Cisco Talos a découvert une campagne de phishing ciblant les utilisateurs russophones avec une boîte à outils appelée Gophish, le déploiement de PowerRat et DCRAT malware via des documents Word malveillants ou des fichiers HTML. ## Description Le vecteur d'infection de document Word nécessite une interaction utilisateur pour activer une macro, qui décode et exécute ensuite une application HTML malveillante et un chargeur PowerShell.Ce chargeur établit une persistance dans le registre Windows et exécute la charge utile PowerRat, capable de reconnaître et de recevoir des instructions d'un serveur C2. PowerRat maintient la persistance en se connectant périodiquement au serveur C2 pour recevoir et exécuter les commandes PowerShell codées Base64.Le vecteur d'infection HTML implique des victimes en cliquant sur un lien malveillant qui exécute JavaScript pour télécharger et exécuter la charge utile DCRAT. DCRAT, un rat modulaire, permet la télécommande, la gestion des fichiers, le vol d'informations et le keylogging.Il se déguise en exécutables Windows légitimes et gagne de la persistance à travers des tâches planifiées.Le malware modifie les paramètres antivirus Microsoft Defender pour échapper à la détection et communique avec un serveur C2 pour exfiltrer les données.L'infrastructure de la campagne \\ comprend des domaines contrôlés par l'attaquant et une instance AWS EC2, avec des techniques montrant des similitudes avec les attaques de Sparkrat précédentes, indiquant une gamme plus large d'outils utilisés par les acteurs de la menace. ## Recommandations Appliquez ces atténuations pour réduire l'impact de cette menace.Vérifiez la carte de recommandations pour l'état de déploiement des atténuations surveillées: - Empêcher les Javascripts de lancer automatiquement en modifiant les associations de fichiers pour les fichiers .js et .jse. - Créer un nouveau ouvrir avec les paramètres dans la console de gestion de stratégie de groupe sous Configuration de l'utilisateur> Préférences> Paramètres du panneau de configuration> Options de dossier. - Créer des paramètres pour les extensions de fichiers .jse et .js, en les associant à notepad.exe ou à un autre éditeur de texte. - Vérifiez votre pare-feu de périmètre et votre proxy pour empêcher les serveurs de créer des connexions arbitraires à Internet pour parcourir ou télécharger des fichiers.Ces restrictions aident à inhiber les téléchargements de logiciels malveillants et l'activité de commande et de contrôle (C2), y compris les appareils mobiles. - Encouragez les utilisateurs à utiliser Microsoft Edge et d'autres navigateurs Web qui prennent en charge SmartScreen, qui identifie et bloque des sites Web malveillants, y compris des sites de phishing, des sites d'arnaque et des sites contenant des exploits et hébergent des logiciels malveillants.Allumez la protection du réseau pour bloquer les connexions aux domaines malveillants et aux adresses IP. - Installez uniquement les applications à partir de sources de confiance, telles que l'App Store officiel de la plate-forme logicielle \\.Les sources tierces peuvent avoir des normes laxistes pour les applications hébergées, ce qui facilite le téléchargement et la distribuer des logiciels malveillants. - Allumez [Protection en cloud-étirement] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/enable-cloud-protection-microsoft-defender-antvirus?ocid=Magicti_TA_LearnDoc) et la soumission automatique de l'échantillon de l'échantillon automatiquesur [Microsoft Defender Antivirus](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/deploy-microsoft-defender-antivirus? Ocid = magicti_ta_learndoc).Ces capacités utilisent l'intelligence artificielle et l'apprentissage automatique pour identifier et arrêter rapidement les menaces nouvelles et inconnues. - Exécutez la [dernière version de vos systèmes d'exploitation] (https://support.microsoft.com/windo |
| Notes | ★★★ |
| Envoyé | Oui |
| Condensat | ### ##### **© *image 1984 2024 2024** 365 365/security/defender 365/security/intelligence/prevent 365/security/office 3c5ae7fc 4a86 78ed 8ef967292d54 9af1 9fb6 about about abuses accept accessed accounts acquired activity actor actors addresses admin advanced adverse against age all alto amc another antivirus any app application applications apply apps arbitrary artificial assess asset associated associating associations atp/attack attack attacker attacks audit auto automatic automatically available aws azureedge b2d7 b5e0412c556a backdoor:win32/dcrat base64 become before below: block blocking blocks broader browse browsers called campaign can capabilities capable card centralized changing check cisco click clicking client cloud com/en com/gophish com/microsoft com/windows/security/threat com/windows/update command commands communicates components: configuration configure connecting connections console contain content control control/select controlled copyright coverage create creation credential criterion data date dcrat dcrat/ decodes defender defender* delete deliver delivered deploy deploying deployment description details detection detections/hunting detects determine detonation devices disguises distribute distribution document documents domain domains download downloaded downloads easier ec2 edge editor educate efficient email emails enable enables enabling encoded encourage encyclopedia end endpoint/attack endpoint/deploy endpoint/enable enhanced ensure enterprise establishes evade event exe executable executables execute executes execution exfiltrate exploits extensions file files filtering firewall folder following following forensics from gains global good gophish group have help host hosted hour how html https://blog https://cdn https://learn https://support https://www hygiene identifies identify image impact incident includes including indicating infection infections information infrastructure inhibit initiated injection install instance instructions intelligence interaction internet inventories involves itself javascript javascripts jse keylogging latest launching lax learndoc learning legitimate limit link links list loader local logging machine macro mail maintain maintains making malicious malware management meet microsoft might mitigations mitigations: mobile mode modifies modular monitored mtb name=backdoor:win32/dcrat name=trojan:bat/starter name=trojan:msil/dcrat name=trojan:win32/leonem name=trojan:win32/wacatac name=worm:win32/znyonm net/5042d3f5 network new newly notepad obfuscated ocid=magicti office official only on open opening operating options other palo pane panel parameters part party payload percentage perimeter periodically permission persistence phishing platform policies policy polymorphic potentially powerrat powershell practice preferences prevalence prevent preventing previous privileges process productivity prohibited propagation protection protection/microsoft protection/windows proxy purge queries quickly range rat rdj ready receive receiving recheck recommendation recommendations reconnaissance reduce reduction references registry remote reproduction requires reserved response restrict restrictions rights riq rule rules run running russian sample scam scheduled screenshot scripts security security/anti security/safe security/zero see sent server servers services settings showing similarities site sites smartscreen snapshot software soon sources spam sparkrat speaking spoofed standards status stifle stop store submission such support surface systems talos talosintelligence targeting tasks techniques text theft them then thereof these the third threat threat: threats through toolkit tools to trojan:bat/starter trojan:msil/dcrat trojan:win32/leonem trojan:win32/wacatac trojan:win32/znyonm trusted turn types unauthorized uncovered under unit unknown unless updates upload us/wdsi/threats/malware use used user users use variants vbscript vector version victims vulnerability web webmail websites what which windows without with word written your  and  and  even  |
| Tags | Spam Malware Tool Vulnerability Threat Mobile |
| Stories | |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ressemble à 1 autre(s) article(s):
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
|
2024-10-25 16:15:13 | (Déjà vu) Défauts graves dans les plates-formes de stockage cloud E2EE utilisées par des millions Severe flaws in E2EE cloud storage platforms used by millions (lien direct) |
## Instantané Les chercheurs de Eth Zurich ont révélé des vulnérabilités importantes dans plusieurs plates-formes de stockage cloud cryptées de bout en bout (E2EE), notamment Sync, Pcloud, Icedrive, SeaFile et Tresorit, qui servent collectivement plus de 22 millions d'utilisateurs. ## Description Les vulnérabilités ont été identifiées sous le modèle de menace d'un attaquant contrôlant un serveur malveillant capable de lire, de modifier et d'injecter des données, un scénario plausible pour les acteurs de l'État-nation et les pirates sophistiqués.Les problèmes trouvés contredisent les assurances de sécurité annoncées par ces services. Les chercheurs ont analysé les systèmes de stockage cloud cryptés, découvrant des vulnérabilités importantes communes à travers l'écosystème de stockage crypté.Leurs résultats ont souligné des problèmes généralisés avec les pratiques cryptographiques, où plusieurs fournisseurs ont utilisé des méthodes de chiffrement obsolètes comme le mode CBC et le RSA-OEAP sans authentification, réutilisant parfois même les paires de paires Key-IV qui compromettent la sécurité des données.Cela révèle des faiblesses critiques dans les implémentations de cryptage, en particulier dans les systèmes prétendant offrir un cryptage de bout en bout (E2EE) pour protéger les données sensibles. L'étude a également mis en évidence la fuite des métadonnées comme une faille fréquente dans le stockage crypté.Bien que le contenu des fichiers soit souvent protégé, des détails sensibles tels que les structures de répertoires, les types de fichiers et les longueurs sont restés exposés, permettant aux attaquants de déduire certains aspects des données stockées sans avoir besoin d'accès direct.Ce chiffrement incomplet des métadonnées peut révéler les modèles d'interaction des utilisateurs, affaiblissant la confidentialité promise par E2EE. Une vulnérabilité finale découverte a été le manque de mesures d'intégrité, exposant des fichiers et des répertoires à une modification non autorisée.Sans chiffrement authentifié, les attaquants pourraient potentiellement modifier, échanger ou supprimer des fichiers non détectés, injecter du contenu malveillant ou compromettre des informations sensibles.Certains systèmes n'ont pas non plus utilisé l'authentification de la clé publique vérifiée, laissant les utilisateurs sensibles à l'identité et à l'accès non autorisé si les serveurs ont été violés.Ces vulnérabilités soulignent les lacunes critiques dans la sécurité du stockage chiffré, mettant en évidence la nécessité de pratiques de chiffrement robustes et protégées par l'intégrité pour protéger véritablement la confidentialité des utilisateurs. Les chercheurs ont informé les entreprises touchées de leurs résultats, avec des réponses variées.Icedrive a choisi de ne pas résoudre les problèmes.SeaFile prévoit de corriger le problème de rétrogradation du protocole.Sync a pris des mesures pour réparer certaines vulnérabilités mais n'a pas répondu à d'autres d'ici le 10 octobre 2024. Tresorit a reconnu la recherche et prévoit de mettre en œuvre des empreintes digitales clés publiques pour le partage de dossiers pour empêcher les attaques de remplacement clés.Les déclarations de Sync et Tresorit expriment un engagement à résoudre ces problèmes et à améliorer leurs plateformes, tandis que SeaFile, Icedrive et Pcloud n'ont pas fourni de commentaires substantiels ou n'ont pas répondu aux demandes de renseignements. ## Recommandations Appliquez ces atténuations pour réduire l'impact d'une menace par un attaquant contrôlant un serveur malveillant: - Vérifiez votre pare-feu de périmètre et votre proxy pour empêcher les serveurs de créer des connexions arbitraires à Internet pour parcourir ou télécharger des fichiers.Ces restrictions aident à inhiber les téléchargements de logiciels malveillants et l'activité de commande et de contrôle ( | Spam Malware Vulnerability Threat Studies Mobile Cloud | ★★ |