One Article Review
| Source |  RiskIQ |
|---|---|
| Identifiant | 8608313 |
| Date de publication | 2024-11-08 21:31:05 (vue: 2024-11-08 22:07:26) |
| Titre | QSC: A multi-plugin framework used by CloudComputating group in cyberespionage campaigns |
| Texte | ## Instantané
Securelist de Kaspersky a identifié un changement dans la tactique de la compartation Cloud, également connue sous le nom de backoordindiplomacy, un groupe de cyber-espionnage qui a été observé ciblant le secteur des télécommunications.
## Description
La nouvelle approche du groupe \\ implique le framework QSC, un cadre de logiciel malveillant multi-plugine qui charge et exécute des modules en mémoire, améliorant sa furtivité et sa persistance.La conception modulaire de QSC \\ utilise un chargeur pour initier une infection, injectant les modules de noyau et de réseau dans la mémoire, ce qui permet aux attaquants de mener des actions sur mesure comme la collecte de données et l'exploration du réseau sans laisser de traces sur le disque.
En plus de QSC, CloudComptating continue d'utiliser une version évoluée de leur porte dérobée Quarian, qui comprend désormais des capacités d'évasion de détection, permettant un accès prolongé à des systèmes compromis.Le groupe a également déployé GoClient, une porte dérobée écrite à Golang, qui facilite la communication cryptée avec des serveurs de commande et de contrôle (C2).Cette combinaison d'outils a permis au groupe de collecter les informations du système, de se déplacer latéralement à travers les réseaux et de sécuriser l'accès continu.
Selon SecureList, l'adaptabilité montrée par Cloudcompotting souligne la nécessité d'une surveillance solide et continue dans les secteurs touchés, car ces acteurs affinent leur boîte à outils pour échapper à la détection et maintenir leurs campagnes.
## Analyse Microsoft et contexte OSINT supplémentaire
Selon les rapports de [Bitdefender] (https://www.bitdefender.com/en-au/blog/labs/backdoor-diplomacy-wields-new-tools-in-fresh-middle-est-campaign/), la menaceLe groupe connu sous le nom de backdoordiplomacy and cloudcompotting est un acteur de menace chinois, actif depuis au moins 2017.La backdoordiplomatie a été observée ciblant les organisations diplomatiques, les organisations caritatives et les sociétés de télécommunications.
In its attacks, BackdoorDiplomacy has been observed exploiting [CVE-2020-5902](https://security.microsoft.com/intel-explorer/cves/CVE-2020-5902/), a Remote Code Execution (RCE) vulnerability inBig-ip, et employant une gamme d'outils, notamment Earthworm, [Mimikatz] (https://security.microsoft.com/intel-profiles/2dffdfcf7478886ee7de79237e5aeb52b0ab0cd350f Shell qui a été utilisé par diversGroupes depuis 2013.
Un certain nombre d'acteurs Microsoft Tracks a utilisé Chinachopper dans le cadre de leurs opérations, y compris [Silk Typhoon] (https://security.microsoft.com/intEl-Profiles / 4Fe46ed1e8116901052cca3df4c03fca1c56b72c3aaa769b3907ebb7dcbf875d), [Flax-Typhoon] (https://security.microsoft.com/intel-profiles/1d86849881abbbbbbbbbbbb39539393939393939393939393939390 9ad57e901d557fa8c25e0b3fd281e13764ff0), [Granite 472), [Shadow Typhoon] (https://security.microsoft.com/intel-profiles/d4c57dac5bef57ade80e2934610388b82a0120c58fbae9d86c9101fd18d549ef0?tab=Traraft& microsoft.com/intel-profiles/64C6DECA650949DF6465DBA5FE64BC7BD0BD9A4B1DB77CD9D3F6C0FE758FD721).
## Détections / requêtes de chasse
### Microsoft Defender Antivirus
Microsoft Defender Antivirus détecte ThrMangez les composants comme logiciels malveillants suivants:
- [Trojan: Win32 / Casdet] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-description?name=trojan:win32/casdet!rfn)
## références
[QSC: un cadre multi-plugins utilisé par le groupe CloudComptating dans les campagnes de cyberespionnage] (https://securelist.com/cloudcompautant-qc-framework/114438/).SecureList par Kapersky (consulté en 2024-11-08)
## Copyright
**&copie;Microsoft 2024 **.Tous droits réservés.La reproduction ou la distribution du contenu de ce site, ou de toute partie de celle-ci, sans l'autorisation écrite de Microsoft est interdite.
## Snapshot SecureList by K |
| Notes | ★★ |
| Envoyé | Oui |
| Condensat | ### **© 0247 2013 2017 2020 2024 2024** 5902 5902/ access accessed according across actions active actor actors adaptability addition additional affected africa against all allowing allows also analysis antivirus any approach are asia attackers attacks au/blog/labs/backdoor backdoor backdoordiplomacy been big bitdefender campaign/ campaigns capabilities charity chinachopper chinese cloudcomputating code collect collection com/cloudcomputating com/en com/intel combination command communication companies components compromised conduct content context continues continuous control copyright core cve cyber cyberespionage data defender deployed description design detection detections/hunting detects diplomacy diplomatic disk distribution earthworm east employing enabled encrypted encyclopedia enhancing espionage europe evade evasion evolved execution exploiting exploration explorer/cves/cve facilitates flax focused following framework framework/114438/ fresh from goclient golang granite group groups has have https://securelist https://security https://www identified includes including including infection information initiate injecting involves its kapersky kaspersky known laterally least leaving like loader loads malware malware: memory microsoft middle mimikatz modular modules monitoring move multi name=trojan:win32/casdet need network networks new now number observed ongoing operations organizations organiztions osint part permission persistence plugin profiles/1d86849881abbb395d908d2739d9ad57e901d557fa8c25e0b3fd281e13764ff0 profiles/2dffdfcf7478886ee7de79237e5aeb52b0ab0cd350f1003a12064c7da2a4f1cb profiles/3ffed77ebe49ef88a98fe6aa2ca401fa6095796e7ac3dd8f2b168af5fd57e472 profiles/4fe46ed1e8116901052cca3df4c03fca1c56b72c3aaa769b3907ebb7dcbf875d profiles/64c6deca650949df6465dba5fe64bc7bd0bd9a4b1db77cd9d3f6c0fe758fd721 profiles/d4c57dac5bef57ade80e293461038b82a0120c58fbae9d86c9101fd18d549ef0 prohibited prolific prolonged qsc qsc: quarian quasarrat queries range rce references refine remote reporting reproduction reserved rfn rights robust runs sector sectors secure securelist servers shadow shift shown silk since site snapshot states stealth storm sustain system systems tab=tradecraft&tid tactics tailored targeting telecommunications thereof these threat toolkit tools traces tracks trojan:win32/casdet typhoon underscores united us/wdsi/threats/malware use used uses various version vulnerability webshell which wields without written |
| Tags | Malware Tool Vulnerability Threat |
| Stories | |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.