One Article Review
| Source |  RiskIQ |
|---|---|
| Identifiant | 8604363 |
| Date de publication | 2024-10-31 20:29:50 (vue: 2024-10-31 21:07:31) |
| Titre | Pacific Rim Timeline: Informations pour les défenseurs contre une tresse de campagnes d'attaque entrelacées Pacific Rim timeline: Information for defenders from a braid of interlocking attack campaigns |
| Texte | ## Instantané Depuis plus de cinq ans, Sophos a suivi plusieurs groupes basés en Chine ciblant leurs pare-feu grâce à des botnets sophistiqués, des exploits uniques et des logiciels malveillants personnalisés. ## Description La collaboration avec divers fournisseurs de cybersécurité, les agences gouvernementales et les forces de l'ordre a permis aux Sophos d'attribuer des activités spécifiques à des groupes comme [Volt Typhoon] (https: // Security.Microsoft.com/intel-profiles/8fe93ebfb3a03fb94a92ac80847790f1d6cfa08f57b2bcebfad328a5c3e762cb), APT31 (suivi par Microsoft comme [Violet.Micoft 8039ED98462546859F2AC987E7EC77A6C7DA15D760E7AC0AAF173AC486)), et APT41 (suivi par Microsoft comme [Typhoon en laiton] (https://security.microsoft.com/intel-profiles/f0aaa62bfbaf3739bb92106688e6a00fc05afc0d4158b0e389b4078112d37c6)).Enquêtes récentesPar Sophos X-OPS a révélé que le développement d'exploitation de confiance élevée se produisait à Sichuan, où ces exploits seraient partagés entre des groupes parrainés par l'État avec des objectifs et des capacités variables. L'analyse met également en évidence l'exploitation de vulnérabilités spécifiques, notamment [CVE-2020-12271] (https://security.microsoft.com/intel-Explorer / CVE / CVE-2020-12271 /), [CVE-2020-15069] (https://security.microsoft.com/intel-explorer/cves/cve-2020-15069/), [CVE-2020-29574] (https://security.microsoft.com/intel-explorer/cves/cve-2020-29574/), [CVE-2022-1040] (https://secuth-2022-3236 /). Sophos a noté un changement significatif dans les comportements des attaquants, passant de larges attaques bruyantes destinées à établir des boîtes de relais opérationnelles (ORB) à des opérations plus ciblées et furtives ciblant les infrastructures de grande valeur, en particulier dans la région indo-pacifique.Les victimes comprennent des organisations dans les secteurs nucléaire, militaire, télécom et gouvernemental.Les tactiques employées par ces adversaires reflètent une amélioration de la furtivité et de la persistance, notamment l'utilisation de techniques de vie, de classes Java en arrière, de chevaux de Troie uniquement et d'un rootkit complexe nommé Cloud Snooper, qui est remarquable pour ses capacités multiplategiennes. ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/en-us/defender-endpoint/linux-preférences) dans Microsoft Defender Antivirus ou l'équivalent de votre produit antivirus pour couvrir rapidement les outils d'attaquant en évolution et et et les outils d'attaquant en évolution rapide ettechniques.Les protections d'apprentissage automatique basées sur le cloud bloquent la majorité des menaces nouvelles et inconnues. - Exécutez [EDR en mode bloc] (https: // apprendre.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-block-mode?view=o365-worldwide?ocid=magicti_ta_learnDoc) de sorte que Microsoft Defender pour le point final peut bloquer les artefacts malveillants, même lorsque votre antivirus non microsoft ne détecte pas la menace ou lorsque Microsoft Defender Antivirus fonctionne en mode passif.EDR en mode bloc fonctionne dans les coulisses pour corriger les artefacts malveillants qui sont détectés post-abri. - Autoriser [Investigation and Remediation] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/automated-investigations?view=o365-worldwide?ocid=Magicti_TA_LearnDoc) en mode automatisé complet pour permettre à Microsoft DefenderPour que le point final prenne des mesures immédiates sur les alertes pour résoudre les violations, réduisant considérablement le volume d'alerte. - [Activé] (https://learn.microsoft.com/en-us/defender-endpoint/enable-ctrelled-folders) Accès aux dossiers contrôlés. - Assurez-vous que [Protection de stimulation] (https://learn.microsoft.com/en-us/defender-endpoint/prevent-changes-to-security-settings-with-tamper-protection#how-do-i-configure-O |
| Notes | ★★★ |
| Envoyé | Oui |
| Condensat | ### ##references **© 1040 1040/ 12271 12271/ 15069 15069/ 2020 2022 2024 2024** 21562b1004d5/analystreport 29574 29574/ 3236 3236/ 365/security/defender 4b5e 5155 access accessed action activities adversaries af74 against agencies alert alerts all allow allowed also among analysis antivirus any apt31 apt41 are artifacts attack attacker attacks attribute authority automated backdoored based behaviors behind believed block botnets boxes braid brass breach breaches broad campaigns can capabilities changes china classes cloud collaboration com/en com/intel com/microsoft com/threatanalytics3/9382203e common complex components confidenceexploit configure content controlled copyright cover credential cross custom cve cybersecurity defend defender defenders delivered description detect detected detections/hunting detects development distribution does edr employed enable enabled encyclopedia endpoint endpoint/attack endpoint/automated endpoint/edr endpoint/enable endpoint/linux endpoint/prevent enforcement ensure equivalent establish even evolving exploitation exploits explorer/cves/cve firewalls five focused folder folders follow following from full goals government groups hacktool:linux/chisel hardening has have high highlights https://learn https://news https://security https://www immediate impact improved include including indo information infrastructure intended interlocking investigation investigations its java land law learndoc learning like living local lsa lsass machine majority malicious malware malware: manage memory microsoft military mitigations mode more moving mtb name=hacktool:linux/chisel name=trojan:linux/multiverze name=trojan:msil/znyonm named network new noisy non not notable noted nuclear occurring ocid=magicti off only operational operations ops orbs organizations over overview pacific part particularly passive permission persistence platform post preferences premises product profiles/8fe93ebfb3a03fb94a92ac80847790f1d6cfa08f57b2bcebfad328a5c3e762cb profiles/978d728039ed98462546859f2ac987e7ec77a6c7da15d760e7ac0aaf173ac486 profiles/f0aaa62bfbaf3739bb92106688e6a00fc05eafc0d4158b0e389b4078112d37c6 prohibited protection protection#how protections queries rapidly recent recommendations recommends reduce reducing reduction reference#block reflect region relay remediate remediation reproduction reserved resolve revealed rights rim rootkit rules run running scenes sectors security settings several shared shift sichuan significant significantly site snapshot snooper sophisticated sophos specific sponsored state stealing stealth stealthy subsystem surface tactics take tamper targeting techniques telecom theft thereof these threat threats through timeline/ timeline: tools tracked trojan:linux/multiverze trojan:win32/znyonm trojans turn typhoon unique unknown us/2024/10/31/pacific us/defender us/wdsi/threats/malware use value various varying vendors victims view=o365 violet volt volume vulnerabilities when where which windows without works worldwide written years your |
| Tags | Malware Tool Vulnerability Threat Legislation Cloud |
| Stories | APT 41 APT 31 |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.