One Article Review
| Source |  ProofPoint |
|---|---|
| Identifiant | 8653588 |
| Date de publication | 2025-03-04 12:02:54 (vue: 2025-03-04 23:08:11) |
| Titre | Appelez cela comme vous voulez: l'acteur de menace offre un malware polyglotte à plusieurs étapes très ciblé Call It What You Want: Threat Actor Delivers Highly Targeted Multistage Polyglot Malware |
| Texte | Conclusions clés Les chercheurs de ProofPoint ont identifié une campagne de messagerie électronique très ciblée ciblant moins de cinq clients Proofpoint aux Émirats arabes unis avec un intérêt distinct pour les organisations de communication de l'aviation et des communications par satellite, ainsi que des infrastructures de transport critique. Les messages malveillants ont été envoyés à partir d'une entité compromise dans une relation commerciale de confiance avec les cibles et ont utilisé des leurres personnalisés à chaque cible. Cette campagne a conduit à la porte dérobée nouvellement découverte surnommée Sosano par Proofpoint, qui a exploité de nombreuses techniques pour obscurcir le malware et sa charge utile, indiquant probablement un adversaire avec des capacités de développement importantes avec un intérêt à protéger leurs charges utiles contre une analyse facile. La campagne a utilisé des fichiers polyglots pour obscurcir le contenu de la charge utile, une technique relativement rare pour les acteurs motivés à l'espionnage dans la télémétrie de preuves et témoigne du désir de l'opérateur de rester non détecté. ProofPoint suit ce nouveau cluster de menace sous le nom de Unk_craftyCamel. Aperçu À l'automne 2024, UNK_CraftyCamel a exploité une société d'électronique indienne compromise pour cibler moins de cinq organisations aux Émirats arabes unis avec un fichier zip malveillant qui a exploité plusieurs fichiers polyglots pour éventuellement installer un Sosano sur la porte de Backdoor sur mesure. Remarque d'analyste: Proofpoint utilise le concepteur UNK_ pour définir des grappes d'activités qui se développent encore et n'ont pas été suffisamment observées pour recevoir une désignation Numerical TA. Analyse de la chaîne de livraison et d'infection Fin octobre 2024, les acteurs de l'UNK_CraftyCamel ont mis l'accès à un compte de messagerie compromis appartenant à la société d'électronique indienne Indic Electronics pour envoyer des e-mails malveillants. Les e-mails contenaient des URL pointant vers le net indicèle du domaine contrôlé par l'acteur [.] Le net, qui imite le domaine électronique indicatif indicatif. Les URL malveillantes liées à https: // indicèlecléaire [.] Net / ou / 1 / orderlist.zip, qui a téléchargé une archive zip qui, à première vue, contenait un fichier XLS et deux fichiers PDF. Fichier sur le leurre-indic.pdf. Fichier Electronica-2024.pdf Lere. Cependant, à une enquête plus approfondie, ProofPoint a déterminé que le fichier XLS était en fait un fichier LNK utilisant une double extension, et les fichiers PDF étaient tous deux polyglots; Le premier, un fichier PDF a ajouté avec un HTA tandis que le deuxième fichier PDF avait une archive zip annexe. Visualisation du fichier zip. Les fichiers polyglot sont des fichiers qui peuvent être interprétés comme plusieurs formats différents, selon la façon dont ils sont lus. Ils sont créés en structurant soigneusement des données afin que différents analyseurs interprètent le même fichier différemment, souvent en exploitant des caprices spécifiques au format ou en en-têtes qui se chevauchent. Ils ne sont pas couramment utilisés dans le développement de logiciels de tous les jours mais restent un outil puissant de niche dans des domaines techniques spécialisés. Pour créer un fichier polyglot, un acteur doit d'abord identifier des formats compatibles avec des structures flexibles. Ensuite, ils doivent aligner les en-têtes et les pieds de page pour s'assurer qu'ils n'interfèrent pas avec la structure de l'autre format. Après cela, ils peuvent utiliser des éditeurs hexagonaux, Python ou même l'outil de ligne de commande CAT pour construire le polyglot. Une fois créé, il est important de tester le fichier pour comprendre comment différents programmes tels que les explorateurs de fichiers, les outils en ligne de commande et les navigateurs l'interprète. Un exemple de fichiers pol |
| Notes | ★★★ |
| Envoyé | Oui |
| Condensat | 0ad1251be48e25b7bc6f61b408e42838bf5336c1a68b0d60786b8610b82bd94c 0c2ba2d13d1c0f3995fc5f6c59962cee2eb41eb7bdbba4f6b45cba315fd56327 104 190 2024 2024 2060036 2060037 2060038 2060039 238 336d9501129129b917b23c60b01b56608a444b0fbe1f2fdea5d5beb4070f1f14 394d76104dc34c9b453b5adaf06c58de8f648343659c0e0512dd6e88def04de3 61 96 about accept access accessing account activity actor actors actually addition additional advanced adversaries adversary aerospace after algorithms align aligned allows along alternate amount analysis analysis analysis analyst analyze any appended approaching arab archive are artifacts assesses assistance associated attack attempting attempts attribution automated available aviation backdoor based been believe belong belonging besides bloated bokhoreshonline both broader browser browsers built business but c2 call called campaign campaigns can capabilities carefully carve cat chain chains change characteristics clear cluster clusters cmd code collaboration com command command commands commercial common commonly communications companies company compatible complicate compression compromise compromise compromised com conclusion conduct connect connection connections consisting construct contacts contained contains content contents context controlled corps craftycamel create created creates critical crowncloud crypto current currently custom customers customers; customized cybercriminal data debugging decodes defenses define delete/remove deliver delivering delivers delivery delivery demonstrated depending described description designated designation designator desire despite detection determined developer developing development different differently directories directory directory directory discovered distinct dll dll dll” dns does doesn domain domain domains domain double download downloaded dubbed during e692ff3b23bec757f967e3a612f8d26e45a87509a74f55de90833a0d04226626 easy editors either electronica electronics email emails embedded emirates emmenhtal end endpoint engineers enough ensure entity espionage established evade even eventually every everyday example exe executable execute executes executing execution exe exe” exploiting explorers extension extensions extensive extracted fall fewer file files findings finds first five flexible focus focused followed follows: footers format formats found frequently from frustrate function functionality functions further furthermore future generator get gets glance golang groups guard had has hash have header headers helps hex highly historically host hosting how however hta http https://indicelectronics hyper identified identify impersonation implement important imports include including indian indic indicate indicates indicating indicator indicators indicelectronics infection info information infrastructure initial install instruction instructions intelligence intentionally interact interest interfere internet interpret interpreted intn intrusion intrusions investigation ips ip iranian irgc islamic iterations its jpg jpgfile jpg” key keys known large late launches launching led legitimate level leveraged leveraging libraries like likelihood likely limited line linked list lnk lnk load loaded loader loads logging looks low lowers lunna lure lures mail malicious malware mandate math may megabytes memory messages mime mimics monday motivated mshta multiple multipurpose multistage must myriad named nature net net net/or/1/orderlist network new newly next niche not note note: now number numerical numerous obfuscate obfuscated obfuscation observed october offers often once one only operating operations operator operators opportunities opportunities orchestrator orderlist organizations originating other out overlap overlapping overlaps overview package parse parsers parsing parties partners past payload payloads pdf pdf/hta pdf/zip pdf periodically persistence pointing polyglot polyglots; portion |
| Tags | Malware Tool Threat Technical Commercial |
| Stories | |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.