One Article Review
| Source |  RiskIQ |
|---|---|
| Identifiant | 8606604 |
| Date de publication | 2024-11-05 19:25:00 (vue: 2024-11-05 20:10:11) |
| Titre | Spotlight des menaces: chaleur / badspace Threat Spotlight: WarmCookie/BadSpace |
| Texte | ## Instantané Des chercheurs de Cisco Talos ont découvert les activités d'une famille de logiciels malveillants connue sous le nom de chaleur, également appelée Badspace, qui est active depuis au moins avril 2024. ## Description Le malware est distribué par le biais de campagnes de calspam et de malvertisation, tirant parti des thèmes liés aux factures et aux agences d'emploi pour attirer les victimes en cliquant sur des hyperliens malveillants dans les e-mails ou les pièces jointes PDF. Warmcookie permet aux adversaires de déployer des charges utiles, de manipuler des fichiers, d'exécuter des commandes, de collecter des captures d'écran et de maintenir la persistance.Il est utilisé pour l'accès initial et pour faciliter la livraison de logiciels malveillants supplémentaires, notamment CSHARP-Streamer-Rat et Cobalt Strike.Les acteurs de la menace derrière Warmcookie, associés à TA866, seraient les mêmes développeurs de la porte dérobée résidente.La chaîne d'infection de Warmcookie implique généralement des téléchargeurs JavaScript obscurs qui sont livrés via des archives zip ou directement à partir de l'infrastructure de distribution, qui désobfuscate et exécutent une commande PowerShell pour récupérer et exécuter la DLL de la chaleur.Le malware a évolué, avec des échantillons récents montrant des améliorations de l'exécution, des mécanismes de persistance et des communications C2, y compris un mécanisme d'auto-mise à jour et une détection améliorée de bacs de sable et un support de commande C2. TA866, également connu sous le nom d'Asylum Ambuscade, a été lié à CSHARP-Streamer-RAT via des certificats SSL avec des champs peuplés au hasard, conduisant à la découverte de trois serveurs C2 supplémentaires.TA866 a déployé le rat CSHARP-Streamher lors des intrusions précédentes, fonctionnant directement sur des systèmes compromis.Malgré les chevauchements, la porte dérobée résidente et les chaleurs sont classées comme des familles de logiciels malveillants distinctes, avec des chaleurs contenant des fonctionnalités plus robustes et généralement déployées plus tôt dans le cycle de vie de l'attaque. ## Analyse Microsoft et contexte OSINT supplémentaire L'activité TA866 chevauche l'acteur suivi par Microsoft en tant que [Storm-1010] (https://security.microsoft.com/intel-profiles/78179AD3D64811A4F7C6AF982C25C00D6A01E001111B6CF2A1F1CBDB5F5A59B?Microsoft a identifié le groupe menant une campagne de phishing fin octobre 2022 impliquant des téléchargements de fichiers d'installation de logiciels Microsoft malveillants (MSI), d'interprètes, de scripts de téléchargement, d'un outil d'accès à distance nommé * RUTServ.exe *, et un dropper PowerShell contenant une frappe de Cobalt à chargée réfléchie avec réflectbalise.Microsoft a également observé que les intrusions Storm-1010 (Dev-1010) conduisaient souvent à [Royal Ransomware] (https: // security.microsoft.com/thereatanalytics3/e26decec-fcd9-40bb-8dc4-058341c9707f/analyStreport?ocid=Magicti_TA_TA2) Déployance C'est Al AlAinsi, lié à un groupe Microsoft suit en tant que Storm-0676 (DEV-0676), un groupe Access as a Service (AAAS) qui cible les utilisateurs travaillant pour des institutions gouvernementales en Moldavie, en Arménie, au Kazakhstan et en Ukraine. ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace.Vérifiez la carte de recommandations pour l'état de déploiement des atténuations surveillées. - Encourage users to use Microsoft Edge and other web browsers that support [Microsoft Defender SmartScreen](https://learn.microsoft.com/deployedge/microsoft-edge-security-smartscreen?ocid=magicti_ta_learndoc), which identifies and blocks malicious websites, y compris les sites de phishing, les sites d'arnaque et les sites qui contiennent des exploits et hébergent des logiciels malveillants. - Allumez [Protection en cloud-élieuse] (https://learn.microsoft.com/microsoft-365/secu |
| Notes | ★★★ |
| Envoyé | Oui |
| Condensat | **© *rutserv 0583 058341c9707f/analystreport 0676 1010 2021 2022 2024 2024** 365/security/defender 40bb 496d 50fb 601ecf5d774f 67fe 7384 8dc4 9280 9bdf2bce454d aaas abbreviatedmktgpage access accessed action active activities activity actor actors ad3c additional advanced adversaries aebd against age agency alert alerts all allow also ambuscade among analysis analysis/ antivirus any april archives are armenia associated asylum attachments attack attacks automated backdoor badspace based beacon been behind believed block blocks breaches browsers but c6a795a33c27/analystreport campaign campaigns can card certain certificates chain changes check cisco classes classified clicking cloud cobalt collect com/defender com/deployedge/microsoft com/en com/intel com/microsoft com/threatanalytics3/05658b6c com/threatanalytics3/e26decec com/warmcookie com/windows/turn command commands common communication communications compatibility compromised conducting contain containing content context copyright cover creations criterion csharp customers dc62 defender delivered delivery deobfuscate deploy deployed deployment deployment it description despite detection dev developers device devices directly discovery distributed distribution dll downloaded downloader downloaders downloads dropper during earlier ec0844f7 edge effective emails enable enables encourage endpoint endpoint/attack endpoint/automated endpoint/device endpoint/enable endpoint/prevent endpoints enhanced entire equivalent evolved evolving exe* executable execute execution experience exploits explorer/articles/68bca450 facilitate families family fcd9 features fields files finding firewall following from full functionality general government group hardening has have highlighting host https://blog https://learn https://security https://support huge human hyperlinks identified identifies immediate impact improvements including increase infection infrastructure initial installer institutions interpreters intrusion intrusions investigation investigations invoice involves involving issues javascript job kazakhstan known late lateral launching lead leading learndoc learndoc#block learndoc#use learning least leveraging lifecycle limits linked list loaded lure machine maintain majority malicious malspam malvertising malware manipulate mechanism mechanisms meet microsoft might mitigations mode moldova monitored more movement msi named network new obfuscated observed ocid=magicti october off often ofthe onboarding operated operating organizations originating osint other overlaps overview part payloads pdf permission persistence phishing populated possible potentially powershell prevalence prevent prevention previous process product profiles/78179ad3d64811a4f7c6af982c25c00d6a01e001011b6cf2a1ef1cbdb5f5a59b prohibited protection protections psexec randomly ransomware rapidly rat recent recommendations recommends reduce reducing reduction refer reference references referred reflectively related remediation remote reproduction researchers reserved resident resolve retrieve rights robust royal rpc rule rules running same samples sandbox scam screenshots scripts security self separate server servers service services settings should showing significantly since site sites smartscreen smb snapshot software some spotlight: ssl status stopping storm streamer strike support surface sweeping systems ta2 ta866 ta866/asylum tab=description& take talos talosintelligence tamper targets techniques them themes thereof threat threats: three through tool tools tracked tracks trusted turn typically ukraine uncovered unknown unless unmanaged updating us/defender use used users utilize variants vbscript victims visibility volume warmcookie warmcookie/badspace web websites well whenever which without wmi working written your zip in |
| Tags | Ransomware Malware Tool Threat |
| Stories | |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.