One Article Review
| Source |  RiskIQ |
|---|---|
| Identifiant | 8606106 |
| Date de publication | 2024-11-04 19:38:34 (vue: 2024-11-04 20:07:19) |
| Titre | Cyberattack UAC-0050 en utilisant des sujets d'impôt et LiteManager Cyberattack UAC-0050 using tax topics and LITEMANAGER |
| Texte | #### Géolocations ciblées - Ukraine ## Instantané Le 28 octobre 2024, l'équipe gouvernementale d'intervention d'urgence informatique d'Ukraine (CERT-UA) a révélé une campagne de phishing à grande échelle impliquant des courriels avec des thèmes d'impôt et de fausses pièces jointes imitant les demandes du service fiscal de l'État de l'Ukraine.Cette activité financière, attribuée au groupe de menaces UAC-0050, est conçue pour tromper les comptables d'entreprise, en particulier celles qui gèrent les systèmes bancaires à distance, pour permettre un accès à distance non autorisé à leurs systèmes. ## Description Les e-mails de phishing distribués par UAC-0050 contiennent des pièces jointes PDF avec des liens vers des sites de partage de fichiers externes (Qaz.im, Qaz.is, Qaz.su) où les destinataires téléchargent une archive intitulée "DPS \ _Tax \ _gov \ _UA \ _0739220983.RAR. "Grâce à plusieurs couches de fichiers imbriqués de mot de passe, l'exécutable final lance un document fiscal de leurre tout en installant silencieusement l'outil de gestion à distance LiteManager, accordant aux attaquants un accès caché à l'appareil de la victime.Cela permet à l'UAC-0050 de mener potentiellement un vol financier dans l'heure suivant le compromis initial, exploitant faibles contrôles d'accès sur les systèmes utilisés dans les transactions financières. ## Analyse Microsoft et contexte OSINT supplémentaire [UAC-0050] (https://thehackernews.com/2024/01/UAC-0050-group-using-new-phishing.html) est un acteur de menace actif depuis 2020 qui cible principalement les agences gouvernementales ukrainiennes et les réseaux d'entreprise.Connu pour la conduite d'espionnage, de vol financier et d'influence] (https://sip.security.microsoft.com/intel-explorer/articles/1bdfb795), UAC-0050 exploite les campagnes de phishing pour livrer des malices malveillantes, y compris le REMCOS RAT,Souvent usurpant l'identité d'entités comme le Service de sécurité de l'Ukraine.Le groupe a également maltraité [outils d'administration à distance] (https://socprime.com/blog/uac-0050-activité-dection-hackers-impersonate-sscip-and-state-mergency-service-of-ukraine-using-Remote-Utilitys /) pour permettre la surveillance et maintenir un accès non autorisé. Chaque année, les cybercriminels utilisent des vacances et des événements importants comme des opportunités de tirer parti de l'ingénierie sociale pour essayer de voler des informations sur les cibles.Les taxes présentent une telle opportunité et peuvent entraîner le vol d'informations financières, le vol d'identité et la perte monétaire.Microsoft observe fréquemment les e-mails de phishing avec des leurres impôt.En savoir plus à ce sujet et les moyens de défendre contre TAMenaces X-centriques [ici] (https://sip.security.microsoft.com/intel-explorer/articles/5cfe2fe9). ## Recommandations Microsoft RecOmence les atténuations suivantes pour réduire l'impact de cette menace. - Vérifiez les paramètres de filtrage des e-mails Office 365 pour vous assurer de bloquer les e-mails, le spam et les e-mails avec des logiciels malveillants.Utilisez [Microsoft Defender pour Office 365] (https://learn.microsoft.com/microsoft-365/security/office-365-security/defender-foro-office-365?ocid=Magicti_Ta_learnDoc) pour une protection et une couverture de phishing améliorées contrenouvelles menaces et variantes polymorphes.Configurez Microsoft Defender pour Office 365 à [Rechercher les liens sur Click] (https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-links-about?ocid=magicti_ta_learndoc) et [derete SenteMail] (https://learn.microsoft.com/microsoft-365/security/office-365-security/zero-hour-auto-purge?ocid=Magicti_ta_learndoc) en réponse à l'intelligence de menace nouvellement acquise.Allumez [les politiques de pièces jointes de sécurité] (https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-attachments-polies-configure?ocid=Magicti_TA_LearnDoc) pour v |
| Notes | ★★ |
| Envoyé | Oui |
| Condensat | ### #### **© 0050 0739220983 2020 2024 2024** 365 365/security/defender 365/security/office about abused access accessed accountants accounts acquired active activity actor additional administration adopted advanced advice: against age agencies alerts all allowed also analysis antivirus any app apps archive are article attachments attack attacker attackers attributed atypical authentication authenticator auto available banking based because been before being benign block blocking blocks browser browsers bullet campaign campaigns can can case cases center centric cert check classes click clicking cloud code com com/2024/01/uac com/azure/active com/blog/uac com/deployedge/microsoft com/en com/intel com/jischell com/microsoft common compromise computer conduct conducting configurations configure connection contain content context controls copyright cover coverage create credential credentials criterion custom customers cyberattack cybercriminals deceive decoy default defend defender delete deliver delivered description designed detect detection detections/hunting device devices different directory/authentication/concept directory/authentication/how directory/identity disclosed discovering distributed distribution document domain download dps due edge email emails emergency employees enable enabled enables enabling encourage endorsed endpoint endpoint/attack endpoint/configure endpoint/detect endpoint/web enforce engineering enhanced ensure enterprise entire entities environment equivalent especially espionage even events every evolving example excluded executable execution exploiting explorer/articles/1bdfb795 explorer/articles/5cfe2fe9 external fake features fidelity fido file files filtering final financial financially first following frequent frequently from functionality further geolocations github gov government granting group guidance hackers handling has have hello here hidden high holidays host hour however html https://cert https://github https://learn https://sip https://socprime https://thehackernews hunting identifies identity impact impersonate impersonating implementing important inbound include including indicate infections influence information infostealer infostealers initial installed installing instances intelligence intrusions investigated investigation; involving keys known large launches layers learndoc learndoc#block learning legitimate leverage leverages like links list litemanager locate locations loss lures machine mail maintain majority malicious malware managed management many match may meet methods mfa microsoft mimicking mitigation mitigations mode monetary more motivated msft/remotemanagementmonitoringtools multiple nested network networks new newly not number obfuscated observes ocid=magicti october off offer office often on operations opportunities opportunity organization organizations osint other overview part password passwordless passwords pdf permission personal phishing phones points policies policy polymorphic port portal ports ports; possible potentially present one prevalence prevent previous primarily product prohibited prompt protected protection protection/howto protections pua purge qaz queries query ransomware rapidly rar rat recheck recipients recommend recommendations recommends reduce reduction refer reference references regardless related remcos remind remote remove reproduction requests require requires reserved response result results rights rmm rule rules running safe scale scam scripts scrutinized search secured security security/defender security/safe security/zero sent service services settings sharing should sight silently since site sites smartscreen snapshot social software some some instances spam specific spoofed ssscip standard state steal stolen stop stored strictly succeeded such support support surface surveillance suspicious sweeping sync#sync syncing systems targeted targeting targets tax taxes team techniques theft their themes thereof these those threat threats threats through times titled titles tool tools topics to transactions tr |
| Tags | Ransomware Spam Malware Tool Threat |
| Stories | |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.