What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2024-01-16 21:32:46 | Indicateurs connus de compromis associés au logiciel malveillant AndroxGH0st Known Indicators of Compromise Associated with Androxgh0st Malware (lien direct) |
#### Description
AndroxGH0st malware a été observé en établissant un botnet pour l'identification et l'exploitation des victimes dans les réseaux cibles.Selon les rapports Open Source, AndroxGH0ST est un logiciel malveillant spécifié par Python principalement utilisé pour cibler des fichiers .env qui contiennent des informations confidentielles, telles que les informations d'identification pour diverses applications de haut niveau (c'est-à-dire Amazon Web Services [AWS], Microsoft Office 365, SendGrid etTwilio du Framework d'application Web Laravel).AndroxGH0st Malware prend également en charge de nombreuses fonctions capables d'abuser du protocole de transfert de courrier simple (SMTP), tels que la numérisation et l'exploitation des informations d'identification exposées et les interfaces de programmation d'applications (API) et le déploiement de shell Web.
#### URL de référence (s)
1. https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-016a
#### Date de publication
12 janvier 2024
#### Auteurs)
Cisa
#### Description Androxgh0st malware has been observed establishing a botnet for victim identification and exploitation in target networks. According to open source reporting, Androxgh0st is a Python-scripted malware primarily used to target .env files that contain confidential information, such as credentials for various high profile applications (i.e., Amazon Web Services [AWS], Microsoft Office 365, SendGrid, and Twilio from the Laravel web application framework). Androxgh0st malware also supports numerous functions capable of abusing the Simple Mail Transfer Protocol (SMTP), such as scanning and exploiting exposed credentials and application programming interfaces (APIs), and web shell deployment. #### Reference URL(s) 1. https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-016a #### Publication Date January 12, 2024 #### Author(s) CISA |
Malware | ★★ | |
|
2024-01-12 19:55:57 | Explorer FBOT |Des logiciels malveillants basés sur Python ciblant les services de cloud et de paiement Exploring FBot | Python-Based Malware Targeting Cloud and Payment Services (lien direct) |
#### Description
FBOT est un outil de piratage basé sur Python distinct des autres familles de logiciels malveillants cloud, ciblant les serveurs Web, les services cloud et les plateformes SaaS comme AWS, Office365, PayPal, SendGrid et Twilio.Les caractéristiques clés incluent la récolte des informations d'identification pour les attaques de spam, les outils de détournement de compte AWS et les fonctions pour permettre des attaques contre PayPal et divers comptes SaaS.
FBOT possède plusieurs fonctionnalités qui ciblent les services de paiement ainsi que les configurations SaaS.La fonction Validator PayPal valide l'état du compte PayPal en contactant une URL codée en dur avec une adresse e-mail lue à partir d'une liste de saisies.L'e-mail est ajouté à la demande de la section Détails du client pour valider si une adresse e-mail est associée à un compte PayPal.
#### URL de référence (s)
1. https://www.sentinelone.com/labs/exploring-fbot-python-basked-malware-targeting-cloud-and-payment-services/
#### Date de publication
11 janvier 2024
#### Auteurs)
Alex Delamotte
#### Description FBot is a Python-based hacking tool distinct from other cloud malware families, targeting web servers, cloud services, and SaaS platforms like AWS, Office365, PayPal, Sendgrid, and Twilio. Key features include credential harvesting for spamming attacks, AWS account hijacking tools, and functions to enable attacks against PayPal and various SaaS accounts. FBot has several features that target payment services as well as SaaS configurations. The PayPal Validator feature validates PayPal account status by contacting a hardcoded URL with an email address read from an input list. The email is added to the request in the customer details section to validate whether an email address is associated with a PayPal account. #### Reference URL(s) 1. https://www.sentinelone.com/labs/exploring-fbot-python-based-malware-targeting-cloud-and-payment-services/ #### Publication Date January 11, 2024 #### Author(s) Alex Delamotte |
Malware Tool Cloud | ★★ | |
|
2024-01-10 21:33:16 | Black Basta-Affiliated Water Curupira\'s Pikabot Spam Campaign (lien direct) | #### Description
L'ensemble d'intrusion Water Curupera, connu pour avoir utilisé le ransomware Black Basta, a utilisé Pikabot, un logiciel malveillant de chargeur similaire à Qakbot, dans des campagnes de spam tout au long de 2023.
Pikabot est un logiciel malveillant en plusieurs étapes avec un chargeur et un module de base dans le même fichier, ainsi qu'un code shellcopted décrypté qui décrypte un autre fichier DLL à partir de ses ressources.Le malware gagne un premier accès à la machine de sa victime via des e-mails de spam contenant une archive ou une pièce jointe PDF.Les e-mails utilisent des filetages, une technique où les acteurs malveillants utilisent des fils de messagerie existants et créent des e-mails qui semblent être censés faire partie du fil pour inciter les destinataires à croire qu'ils sont légitimes.
#### URL de référence (s)
1. https://www.trendmicro.com/en_us/research/24/a/a-look-into-pikabot-spam-wave-campaign.html
#### Date de publication
10 janvier 2024
#### Auteurs)
Micro-recherche tendance
#### Description The Water Curupira intrusion set, known for using the Black Basta ransomware, has been using Pikabot, a loader malware similar to Qakbot, in spam campaigns throughout 2023. Pikabot is a multi-stage malware with a loader and core module within the same file, as well as a decrypted shellcode that decrypts another DLL file from its resources. The malware gains initial access to its victim\'s machine through spam emails containing an archive or a PDF attachment. The emails employ thread-hijacking, a technique where malicious actors use existing email threads and create emails that look like they were meant to be part of the thread to trick recipients into believing that they are legitimate. #### Reference URL(s) 1. https://www.trendmicro.com/en_us/research/24/a/a-look-into-pikabot-spam-wave-campaign.html #### Publication Date January 10, 2024 #### Author(s) Trend Micro Research |
Ransomware Spam Malware | ★★★ | |
|
2024-01-08 21:44:27 | Un joueur devenu développeur de logiciels malveillants: plongée en silverrat A Gamer Turned Malware Developer: Diving Into SilverRAT (lien direct) |
#### Description
Le Silver Rat V1.0 est un cheval de Troie (RAT) à accès à distance basé sur Windows qui a été observé pour la première fois en novembre 2023. Les développeurs de Silver Rat fonctionnent sur plusieurs forums de pirate et plateformes de médias sociaux, présentant une présence active et sophistiquée.
Le rat a des capacités de contourner les anti-virus et de lancer secrètement des applications cachées, des navigateurs, des keyloggers et d'autres activités malveillantes.Lors de la génération d'une charge utile à l'aide du constructeur de Silver Rat \\, les acteurs de la menace peuvent sélectionner diverses options avec une taille de charge utile jusqu'à un maximum de 50 Ko.Une fois connecté, la victime apparaît sur le panneau Silver Rat contrôlé par l'attaquant, qui affiche les journaux de la victime en fonction des fonctionnalités choisies.L'acteur de menace peut masquer les processus sous faux titres, et la charge utile finale peut être générée dans un fichier exécutable Windows, livré par diverses méthodes d'ingénierie sociale.
#### URL de référence (s)
1. https://www.cyfirma.com/outofband/a-gamer-turned-malware-developer-diving-into-silverrat-and-its-tyrian-roots/
#### Date de publication
8 janvier 2024
#### Auteurs)
Cyfirma
#### Description The Silver RAT v1.0 is a Windows-based Remote Access Trojan (RAT) that was first observed in November 2023. The developers of Silver RAT operate on multiple hacker forums and social media platforms, showcasing an active and sophisticated presence. The RAT has capabilities to bypass anti-viruses and covertly launch hidden applications, browsers, keyloggers, and other malicious activities. While generating a payload using Silver RAT\'s builder, threat actors can select various options with a payload size up to a maximum of 50kb. Once connected, the victim appears on the attacker controlled Silver RAT panel, which displays the logs from the victim based on the functionalities chosen. The threat actor can hide processes under false headings, and the final payload can be generated in a Windows executable file, delivered through various social engineering methods. #### Reference URL(s) 1. https://www.cyfirma.com/outofband/a-gamer-turned-malware-developer-diving-into-silverrat-and-its-syrian-roots/ #### Publication Date January 8, 2024 #### Author(s) Cyfirma |
Malware Threat | ★★★ | |
|
2024-01-05 21:14:02 | Bandook - A Persistent Threat That Keeps Evolving (lien direct) | #### Description
Bandook est un cheval de Troie à distance qui a été développé en permanence depuis 2007 et a été utilisé dans diverses campagnes par différents acteurs de menace au fil des ans.
Fortiguard Labs a identifié une nouvelle variante bandook distribuée via un fichier PDF en octobre dernier.Ce fichier PDF contient une URL raccourcie qui télécharge un fichier .7Z protégé par mot de passe.Une fois que la victime a extrait le malware avec le mot de passe dans le fichier PDF, le malware injecte sa charge utile dans MSInfo32.exe.Le composant d'injecteur décrypte la charge utile dans la table des ressources et l'injecte dans MSInfo32.exe.
Avant l'injection, une clé de registre est créée pour contrôler le comportement de la charge utile.Le nom de clé est le PID de MSInfo32.exe, et la valeur contient le code de contrôle de la charge utile.Une fois exécuté avec n'importe quel argument, Bandook crée une clé de registre contenant un autre code de contrôle qui permet à sa charge utile d'établir de la persistance, puis il injecte la charge utile dans un nouveau processus de MSInfo32.exe.La charge utile initialise les chaînes pour les noms clés des registres, drapeaux, API, etc. Après cela, il utilise le PID du MSInfo32.exe injecté pour trouver la clé de registre, puis décode et analyse la valeur clé pour effectuer la tâche spécifiée par lacode de contrôle.La variante que nous avons trouvée en octobre 2023 a deux codes de contrôle supplémentaires, mais son injecteur ne crée pas de registres pour eux.On demande à la charge utile de charger FCD.DLL, qui est téléchargé par un autre processus injecté et appelle la fonction d'initiation de FCD.DLL \\.L'autre mécanisme établit la persistance et exécute la copie de Bandook \\.Ces codes de contrôle inutilisés ont été supprimés de variantes encore plus récentes.
#### URL de référence (s)
1. https://www.fortinet.com/blog/thereat-research/bandook-persistent-thereat-that-keeps-volving
#### Date de publication
5 janvier 2024
#### Auteurs)
Pei Han Liao
#### Description Bandook is a remote access trojan that has been continuously developed since 2007 and has been used in various campaigns by different threat actors over the years. FortiGuard Labs identified a new Bandook variant being distributed via a PDF file this past October. This PDF file contains a shortened URL that downloads a password-protected .7z file. After the victim extracts the malware with the password in the PDF file, the malware injects its payload into msinfo32.exe. The injector component decrypts the payload in the resource table and injects it into msinfo32.exe. Before the injection, a registry key is created to control the behavior of the payload. The key name is the PID of msinfo32.exe, and the value contains the control code for the payload. Once executed with any argument, Bandook creates a registry key containing another control code that enables its payload to establish persistence, and it then injects the payload into a new process of msinfo32.exe. The payload initializes strings for the key names of registries, flags, APIs, etc. After this, it uses the PID of the injected msinfo32.exe to find the registry key and then decodes and parses the key value to perform the task specified by the control code. The variant we found in October 2023 has two additional control codes, but its injector doesn\'t create registries for them. One asks the payload to load fcd.dll, which is downloaded by another injected process and calls fcd.dll\'s Init function. The other mechanism establishes persistence and executes Bandook\'s copy. These unused control codes have been removed from even newer variants. #### Reference URL(s) 1. https://www.fortinet.com/blog/threat-research/bandook-persistent-threat-that-keeps-evolving #### Publication Date January 5, 2024 #### Author(s) Pei Han Liao |
Malware Threat | ★★★ | |
|
2024-01-04 22:13:12 | UAC-0050 Group Using New Phishing Tactics to Distribute Remcos RAT (lien direct) | #### Description
Le groupe de menaces UAC-0050 s'est avéré utiliser une stratégie avancée qui permet un canal de transfert de données plus clandestin, contournant efficacement les mécanismes de détection utilisés par la détection et la réponse des terminaux (EDR) et les systèmes antivirus.
L'arme de choix du groupe est Remcosrat, un logiciel malveillant notoire pour la surveillance et le contrôle à distance, qui a été à l'avant-garde de son arsenal d'espionnage.Cependant, dans leur dernière tournure opérationnelle, le groupe UAC-0050 a intégré une méthode de tuyau pour la communication interprodique, présentant leur adaptabilité avancée.Le vecteur d'attaque initial n'a pas encore été identifié, bien que des indications penchent vers le phishing ou les e-mails de spam.Le fichier LNK est chargé de lancer le téléchargement d'un fichier HTA.Dans ce fichier HTA se trouve unLe script VBS qui, lors de l'exécution, déclenche un script PowerShell.Ce script PowerShell s'efforce de télécharger un malveillantPayload (word_update.exe) à partir d'un serveur.Lors du lancement, word_update.exe exécute CMD.exe et partage des données malveillantes via un tuyau.Par conséquent, cela conduit au lancement d'Explorer.exe avec le remcosrat malveillant résidant à la mémoire d'Explorer.exe.
La version REMCOS identifiée est 4.9.2 Pro, et elle a recueilli avec succès des informations sur la victime, y compris le nom de l'ordinateur et le nom d'utilisateur.Le remcosrat supprime les cookies et les données de connexion des navigateurs suivants: Internet Explorer, Firefox et Chrome.
#### URL de référence (s)
1. https://www.uptycs.com/blog/remcos-rat-uac-0500-pipe-method
#### Date de publication
4 janvier 2024
#### Auteurs)
Recherche de menace de monture
#### Description The UAC-0050 threat group has been found to be using an advanced strategy that allows for a more clandestine data transfer channel, effectively circumventing detection mechanisms employed by Endpoint Detection and Response (EDR) and antivirus systems. The group\'s weapon of choice is RemcosRAT, a notorious malware for remote surveillance and control, which has been at the forefront of its espionage arsenal. However, in their latest operational twist, the UAC-0050 group has integrated a pipe method for interprocess communication, showcasing their advanced adaptability. The initial attack vector is yet to be pinpointed, though indications lean towards phishing or spam emails. The LNK file is responsible for initiating the download of an HTA file. Within this HTA file lies a VBS script that, upon execution, triggers a PowerShell script. This PowerShell script endeavors to download a malicious payload (word_update.exe) from a server. Upon launching, word_update.exe executes cmd.exe and shares malicious data through a pipe. Consequently, it leads to the launch of explorer.exe with the malicious RemcosRAT residing in the memory of explorer.exe. The Remcos version identified is 4.9.2 Pro, and it has successfully gathered information about the victim, including the computer name and username. RemcosRAT removes cookies and login data from the following browsers: Internet Explorer, Firefox, and Chrome. #### Reference URL(s) 1. https://www.uptycs.com/blog/remcos-rat-uac-0500-pipe-method #### Publication Date January 4, 2024 #### Author(s) Uptycs Threat Research |
Spam Malware Threat | ★★ | |
|
2024-01-03 19:16:54 | APT28: de l'attaque initiale à la création de menaces à un contrôleur de domaine en une heure APT28: From Initial Attack to Creating Threats to a Domain Controller in an Hour (lien direct) |
#### Description
Entre le 15 et 25 décembre, 2023, une série de cyberattaques a été identifiée impliquant la distribution des e-mails contenant des liens vers des «documents» présumés parmi les organisations gouvernementales.
Cliquer sur ces liens a entraîné une infection des logiciels malveillants.L'enquête a révélé que les liens ont redirigé les victimes vers un site Web où un téléchargement basé sur JavaScript a lancé un fichier de raccourci.L'ouverture de ce fichier a déclenché une commande PowerShell pour télécharger et exécuter un document de leurre, un interprète Python et un fichier Masepie classifié nommé client.py.Par la suite, divers outils, notamment OpenSSH, Steelhook PowerShell Scripts et la porte dérobée OceanMap ont été téléchargés, avec des outils supplémentaires comme Impacket et SMBEXEC créés pour la reconnaissance du réseau et le mouvement latéral.Les tactiques globales, les techniques et les outils utilisés ont indiqué le groupe APT28.Notamment, la stratégie d'attaque a indiqué un plan plus large pour compromettre l'ensemble du système d'information et de communication de l'organisation, mettant l'accent sur la menace potentielle pour l'ensemble du réseau.Des attaques similaires ont également été signalées contre des organisations polonaises.
#### URL de référence (s)
1. https://cert.gov.ua/article/6276894
#### Date de publication
3 janvier 2024
#### Auteurs)
Certificat
#### Description Between December 15-25, 2023, a series of cyberattacks were identified involving the distribution of emails containing links to purported "documents" among government organizations. Clicking on these links resulted in malware infecting computers. Investigation revealed that the links redirected victims to a website where a JavaScript-based download initiated a shortcut file. Opening this file triggered a PowerShell command to download and execute a decoy document, a Python interpreter, and a classified MASEPIE file named Client.py. Subsequently, various tools including OPENSSH, STEELHOOK PowerShell scripts, and the OCEANMAP backdoor were downloaded, with additional tools like IMPACKET and SMBEXEC created for network reconnaissance and lateral movement. The overall tactics, techniques, and tools used pointed to the APT28 group. Notably, the attack strategy indicated a broader plan to compromise the entire organization\'s information and communication system, emphasizing the potential threat to the entire network. Similar attacks were also reported against Polish organizations. #### Reference URL(s) 1. https://cert.gov.ua/article/6276894 #### Publication Date January 3, 2024 #### Author(s) CERT-UA |
Malware Tool Threat | APT 28 | ★★★★ |
|
2023-12-28 19:18:50 | Trend Analysis on Kimsuky Group\'s Attacks Using AppleSeed (lien direct) | #### Description
Le groupe de menaces Kimsuky, connu pour être soutenu par la Corée du Nord, est actif depuis 2013. Le groupe lance généralement des attaques de phishing de lance contre la défense nationale, les industries de la défense, les médias, la diplomatie, les organisations nationales et les secteurs académiques.
Leurs attaques visent à voler des informations internes et des technologies auprès des organisations.Alors que le groupe Kimsuky utilise généralement des attaques de phishing de lance pour un accès initial, la plupart de leurs attaques récentes impliquent l'utilisation de logiciels malveillants de type raccourci au format de fichier LNK.Bien que les logiciels malveillants LNK constituent une grande partie des attaques récentes, des cas utilisant des javascripts ou des documents malveillants continuent d'être détectés.Ces cas d'attaque qui utilisent des logiciels malveillants de type JavaScript impliquent généralement la distribution d'applications.En plus de JavaScript, des logiciels malwares de macro Excel sont également utilisés pour installer Appleseed.Appleseed est une porte dérobée qui peut recevoir les commandes de la menace acteur \\ du serveur C&C et exécuter les commandes reçues.L'acteur de menace peut utiliser Appleseed pour contrôler le système infecté.Il propose également des fonctionnalités telles qu'un téléchargeur qui installe des logiciels malveillants supplémentaires, Keylogging et prenant des captures d'écran, et en volant des informations en collectant des fichiers dans le système utilisateur et en les envoyant.Alphaseed est un logiciel malveillant développé dans Golang et prend en charge des fonctionnalités similaires à Appleseed telles que l'exécution des commandes et l'infostoritration.
#### URL de référence (s)
1. https://asec.ahnlab.com/en/60054/
#### Date de publication
27 décembre 2023
#### Auteurs)
Sanseo
#### Description The Kimsuky threat group, known to be supported by North Korea, has been active since 2013. The group usually launches spear phishing attacks against national defense, defense industries, media, diplomacy, national organizations, and academic sectors. Their attacks aim to steal internal information and technology from organizations. While the Kimsuky group typically uses spear phishing attacks for initial access, most of their recent attacks involve the use of shortcut-type malware in LNK file format. Although LNK malware comprise a large part of recent attacks, cases using JavaScripts or malicious documents are continuing to be detected. Such attack cases that use JavaScript-type malware usually involve the distribution of AppleSeed. In addition to JavaScript, Excel macro malware are also used to install AppleSeed. AppleSeed is a backdoor that can receive the threat actor\'s commands from the C&C server and execute the received commands. The threat actor can use AppleSeed to control the infected system. It also offers features such as a downloader that installs additional malware, keylogging and taking screenshots, and stealing information by collecting files from the user system and sending them. AlphaSeed is a malware developed in Golang and supports similar features to AppleSeed such as command execution and infostealing. #### Reference URL(s) 1. https://asec.ahnlab.com/en/60054/ #### Publication Date December 27, 2023 #### Author(s) Sanseo |
Malware Threat Prediction | APT 43 | ★★★ |
|
2023-12-26 20:55:57 | Stealth Backdoor “Android/Xamalicious” Actively Infecting Devices (lien direct) | #### Description
L'équipe de recherche mobile McAfee a découvert une porte arrière Android nommée Android / Xamalicious qui est implémentée avec Xamarin, un cadre open source qui permet de créer des applications Android et iOS avec .NET et C #.
Le malware essaie d'obtenir des privilèges d'accessibilité avec l'ingénierie sociale, puis communique avec le serveur de commandement et de contrôle pour évaluer s'il faut télécharger ou non une charge utile de deuxième étape qui \\ est injectée dynamiquement en tant que DLL d'assemblage au niveau de l'exécution pour prendre pleinementContrôle de l'appareil et potentiellement effectuer des actions frauduleuses telles que cliquer sur les annonces, installer des applications parmi d'autres actions motivées financièrement sans consentement des utilisateurs.La charge utile de la deuxième étape peut prendre le contrôle total de l'appareil infecté en raison des puissants services d'accessibilité qui ont déjà été accordés au cours de la première étape qui contient également des fonctions pour s'auto-mettre à jour le principal APK, ce qui signifie qu'il a le potentiel d'effectuer tout type d'activitécomme un logiciel espion ou un troyen bancaire sans interaction utilisateur.Les auteurs malveillants ont également implémenté différentes techniques d'obscurcissement et cryptage personnalisé pour exfiltrer les données et communiquer avec le serveur de commande et de contrôle.
Le malware a été distribué sur environ 25 applications malveillantes différentes qui portent cette menace.Certaines variantes sont distribuées sur Google Play depuis la mi-2020.Les applications identifiées dans ce rapport ont été supprimées de manière proactive par Google de Google Play avant les rapports.Sur la base du nombre d'installations, ces applications peuvent avoir compromis au moins 327 000 appareils de Google Play plus les installations provenant de marchés tiers qui produisent continuellement de nouvelles infections en fonction de la télémétrie de détection des clients McAfee du monde entier.Le malware est motivé financièrement et entraîne la fraude publicitaire.
#### URL de référence (s)
1. https://www.mcafee.com/blogs/other-logs/mcafee-nabs/stealth-backdoor-android-xamalicious-activetive-infecting-devices/
#### Date de publication
22 décembre 2023
#### Auteurs)
McAfee Labs
#### Description The McAfee Mobile Research Team has discovered an Android backdoor named Android/Xamalicious that is implemented with Xamarin, an open-source framework that allows building Android and iOS apps with .NET and C#. The malware tries to gain accessibility privileges with social engineering and then communicates with the command-and-control server to evaluate whether or not to download a second-stage payload that\'s dynamically injected as an assembly DLL at runtime level to take full control of the device and potentially perform fraudulent actions such as clicking on ads, installing apps among other actions financially motivated without user consent. The second stage payload can take full control of the infected device due to the powerful accessibility services that were already granted during the first stage which also contains functions to self-update the main APK which means that it has the potential to perform any type of activity like a spyware or banking trojan without user interaction. The malware authors also implemented different obfuscation techniques and custom encryption to exfiltrate data and communicate with the command-and-control server. The malware has been distributed through about 25 different malicious apps that carry this threat. Some variants have been distributed on Google Play since mid-2020. The apps identified in this report were proactively removed by Google from Google Play ahead of the reporting. Based on the number of installations these apps may have compromised at least 327,000 devices from Google Play plus the installations coming from thir |
Malware Threat Mobile | ★★★ | |
|
2023-12-22 21:21:54 | Nouvelles campagnes de malvertisation métassières New MetaStealer Malvertising Campaigns (lien direct) |
#### Description
Une nouvelle campagne de malvertising a été observée distribuant le malware du métaste.MetaStealer est un malware populaire qui a été vu pour la première fois en 2022 et a depuis été exploité par divers acteurs de menace.Le logiciel malveillant est principalement distribué via le logiciel Malspam et Cracked via des comptes YouTube volés.Cependant, il a également été vu dans une campagne de malvertising début décembre.La récente campagne a été observée en distribution de métastealer via deux annonces différentes pour Notepad ++ et AnyDesk via Google Recherches.La charge utile contenait un raccourci de lancement de PowerShell qui a utilisé un chemin à code dur vers le dossier de téléchargements.
La campagne de décembre s'est débarrassée du PowerShell et la DLL malveillante a été recompilée.Les développeurs de Metastealer améliorent leur produit et nous verrons probablement plus de leurs clients la distribution.Les voleurs peuvent servir plusieurs fins mais ont tendance à tourner autour des articles que les criminels peuvent facilement monétiser.Les portefeuilles cryptographiques sont généralement assez convoités, mais il en va de même pour divers services en ligne.Les voleurs peuvent également être utilisés par les courtiers d'accès initiaux, en ouvrant le chemin des acteurs de ransomwares.Les publicités malveillantes ont été signalées à Google et l'infrastructure derrière ces campagnes a été bloquée.
#### URL de référence (s)
1. https://www.malwarebytes.com/blog/thereat-intelligence/2023/12/new-metastealer-malvertising-campaignes
#### Date de publication
19 décembre 2023
#### Auteurs)
MalwareBytes Mende Intelligence Team
#### Description A new malvertising campaign has been observed distributing the MetaStealer malware. MetaStealer is a popular piece of malware that was first seen in 2022 and has since been leveraged by various threat actors. The malware is primarily distributed via malspam and cracked software via stolen YouTube accounts. However, it was also seen in a malvertising campaign in early December. The recent campaign was observed distributing MetaStealer via two different ads for Notepad++ and AnyDesk via Google searches. The payload contained a shortcut launching PowerShell that used a hardcoded path to the Downloads folder. The December campaign got rid of the PowerShell and the malicious DLL was recompiled. The developers of MetaStealer are improving their product, and we are likely to see more of their customers distributing it. Stealers can serve multiple purposes but tend to revolve around items that criminals can easily monetize. Crypto wallets are usually quite coveted, but so are credentials for various online services. Stealers can also be used by initial access brokers, paving the path for ransomware actors. The malicious ads have been reported to Google, and the infrastructure behind these campaigns has been blocked. #### Reference URL(s) 1. https://www.malwarebytes.com/blog/threat-intelligence/2023/12/new-metastealer-malvertising-campaigns #### Publication Date December 19, 2023 #### Author(s) Malwarebytes Threat Intelligence Team |
Ransomware Malware Threat | ★★★ | |
|
2023-12-21 21:09:57 | Apache ActiveMQ Vulnerability (CVE-2023-46604) Continuously Being Exploited in Attacks (lien direct) | #### Description
AHNLAB Security Emergency Response Center (ASEC) a signalé que la vulnérabilité d'Apache ActiveMQ (CVE-2023-46604) est exploitée par divers acteurs de menace.La vulnérabilité est une vulnérabilité d'exécution de code distant dans le serveur de modèle de messagerie et d'intégration open source apache activemq.
L'attaque de vulnérabilité consiste à manipuler un type de classe sérialisé dans le protocole OpenWire pour instancier la classe dans le chemin de classe.Lorsque l'acteur de menace transmet un paquet manipulé, le serveur vulnérable fait référence au chemin (URL) contenu dans le paquet pour charger le fichier de configuration XML pour la classe.Les logiciels malveillants utilisés dans les attaques comprennent Ladon, Netcat, AnyDesk et Z0min.Ladon est l'un des outils principalement utilisés par les acteurs de la menace chinoise.NetCAT est un utilitaire pour transmettre des données à et depuis certaines cibles dans un réseau connecté par le protocole TCP / UDP.AnyDesk, Netsupport et Chrome Remote Desktop ont récemment été utilisés pour contourner les produits de sécurité.Z0miner a été signalé pour la première fois en 2020 par l'équipe de sécurité de Tencent et a été distribué via des attaques exploitant les vulnérabilités d'exécution du code distant Oracle Weblogic (CVE-2020-14882 / CVE-2020-14883).
#### URL de référence (s)
1. https://asec.ahnlab.com/en/59904/
#### Date de publication
18 décembre 2023
#### Auteurs)
Sanseo
#### Description AhnLab Security Emergency Response Center (ASEC) has reported that the Apache ActiveMQ vulnerability (CVE-2023-46604) is being exploited by various threat actors. The vulnerability is a remote code execution vulnerability in the open-source messaging and integration pattern server Apache ActiveMQ. The vulnerability attack involves manipulating a serialized class type in the OpenWire protocol to instantiate the class in classpath. When the threat actor transmits a manipulated packet, the vulnerable server references the path (URL) contained in the packet to load the XML configuration file for the class. The malware used in the attacks includes Ladon, NetCat, AnyDesk, and z0Miner. Ladon is one of the tools that are mainly used by Chinese-speaking threat actors. Netcat is a utility for transmitting data to and from certain targets in a network connected by TCP/UDP protocol. AnyDesk, NetSupport, and Chrome Remote Desktop have recently been used for bypassing security products. z0Miner was first reported in 2020 by the Tencent Security Team and was distributed via attacks exploiting the Oracle Weblogic remote code execution vulnerabilities (CVE-2020-14882/CVE-2020-14883). #### Reference URL(s) 1. https://asec.ahnlab.com/en/59904/ #### Publication Date December 18, 2023 #### Author(s) Sanseo |
Malware Tool Vulnerability Threat | ★★★ | |
|
2023-12-21 20:49:26 | Pikabot distribué via des annonces de recherche malveillante PikaBot Distributed via Malicious Search Ads (lien direct) |
#### Description
Pikabot était auparavant distribué via des campagnes de Malspam et est devenu l'une des charges utiles préférées d'un acteur de menace connu sous le nom de TA577.La campagne cible Google recherche l'application distante AnyDesk.Les acteurs de la menace contournent les vérifications de sécurité de Google \\ avec une URL de suivi via une plate-forme marketing légitime pour rediriger vers leur domaine personnalisé derrière CloudFlare.À ce stade, seules les adresses IP propres sont transmises à l'étape suivante.Ils effectuent des empreintes digitales via JavaScript pour déterminer, entre autres, si l'utilisateur exécute une machine virtuelle.Ce n'est qu'après le chèque qui réussit que nous voyons une redirection vers la page de destination principale (site de leurre AnyDesk).Le malware est distribué via un installateur MSI signé numériquement.Cependant, l'aspect le plus intéressant est de savoir comment il échappe à la détection lors de l'exécution.Le module de base du malware \\ est ensuite injecté dans le processus SearchProtoColhost.exe légitime.Le chargeur de Pikabot \\ cache également son injection en utilisant des systèmes de système indirects, ce qui rend le malware très furtif.
#### URL de référence (s)
1. https://www.malwarebytes.com/blog/thereat-intelligence/2023/12/pikabot-stribed-via-malicious-ads
#### Date de publication
15 décembre 2023
#### Auteurs)
#### Description PikaBot was previously distributed via malspam campaigns and emerged as one of the preferred payloads for a threat actor known as TA577. The campaign targets Google searches for the remote application AnyDesk. The threat actors are bypassing Google\'s security checks with a tracking URL via a legitimate marketing platform to redirect to their custom domain behind Cloudflare. At this point, only clean IP addresses are forwarded to the next step. They perform fingerprinting via JavaScript to determine, among other things, if the user is running a virtual machine. Only after the check is successful do we see a redirect to the main landing page (decoy AnyDesk site). The malware is distributed via a digitally signed MSI installer. However, the more interesting aspect is how it evades detection upon execution. The malware\'s core module is then injected into the legitimate SearchProtocolHost.exe process. PikaBot\'s loader also hides its injection by using indirect syscalls, making the malware very stealthy. #### Reference URL(s) 1. https://www.malwarebytes.com/blog/threat-intelligence/2023/12/pikabot-distributed-via-malicious-ads #### Publication Date December 15, 2023 #### Author(s) |
Malware Threat | ★★ | |
|
2023-12-18 21:38:02 | Rhadamanthys V0.5.0 - une plongée profonde dans les composants du voleur \\ Rhadamanthys v0.5.0 - a Deep Dive into the Stealer\\'s Components (lien direct) |
#### Description
Le voleur de Rhadamanthys est un logiciel malveillant multicouche, vendu sur le marché noir et fréquemment mis à jour.Récemment, l'auteur a publié une nouvelle version majeure, 0.5.0.
La version 0.5.0 actuellement analysée prend en charge plusieurs langages de script, de Lua (dont l'interprète est intégré au module principal) à PowerShell et à d'autres langages de script, qui sont pris en charge via un module supplémentaire.Cette version introduit des capacités élargies et des fonctionnalités d'espionnage, ainsi qu'un nouveau système de plugin pour la personnalisation.
Il est évident qu'avec le rythme rapide et le développement continu, Rhadamanthys s'efforce de devenir un grand acteur sur le marché des logiciels malveillants et est très probablement ici pour rester.
#### URL de référence (s)
1. https://research.checkpoint.com/2023/rhadamanthys-v0-5-0-a-deep-dive-into-the-staders-components/
#### Date de publication
14 décembre 2023
#### Auteurs)
Recherche de point de contrôle
#### Description The Rhadamanthys stealer is a multi-layer malware, sold on the black market, and frequently updated. Recently the author released a new major version, 0.5.0. The currently analyzed version 0.5.0 supports multiple scripting languages, from LUA (whose interpreter is built-in to the main module) to PowerShell and other scripting languages, that are supported via an additional module. This version introduces expanded capabilities and spy functionalities, along with a new plugin system for customization. It is evident that with the fast pace and ongoing development, Rhadamanthys is trying hard to become a big player on the malware market and is most likely here to stay. #### Reference URL(s) 1. https://research.checkpoint.com/2023/rhadamanthys-v0-5-0-a-deep-dive-into-the-stealers-components/ #### Publication Date December 14, 2023 #### Author(s) Check Point Research |
Malware | ★★★ | |
|
2023-12-14 21:32:32 | Security Brief: TA4557 Targets Recruiters Directly via Email (lien direct) | #### Description
Depuis octobre 2023, TA4557 cible les recruteurs avec des e-mails directs qui mènent à la livraison de logiciels malveillants.Les courriels initiaux sont bénins et expriment leur intérêt pour un rôle ouvert.Si la cible répond, la chaîne d'attaque commence.
TA4557 a utilisé à la fois la nouvelle méthode d'envoyer des courriels recruteurs ainsi que l'ancienne technique de postulation à des emplois publiés sur des services d'emploi publics pour commencer la chaîne d'attaque.Une fois que le destinataire a répondu à l'e-mail initial, l'acteur a été observé en répondant avec une URL liant à un site Web contrôlé par l'acteur se faisant passer pour un curriculum vitae candidat.Si les victimes potentielles visitent le «site Web personnel» comme indiqué par l'acteur de menace, la page imite un curriculum vitae d'un candidat ou un chantier pour le candidat (TA4557) postule pour un rôle affiché.Le site Web utilise le filtrage pour déterminer s'il faut diriger l'utilisateur vers l'étape suivante de la chaîne d'attaque.Si la victime potentielle ne passe pas les vérifications de filtrage, elle est dirigée vers une page contenant un curriculum vitae en texte brut.Alternativement, s'ils passent les chèques de filtrage, ils sont dirigés vers le site Web des candidats.
Le site Web des candidats utilise un captcha qui, s'il est terminé, lancera le téléchargement d'un fichier zip contenant un fichier de raccourci (LNK).Le LNK, s'il est exécuté, abuse des fonctions logicielles légitimes dans "ie4uinit.exe" pour télécharger et exécuter un script à partir d'un emplacement stocké dans le fichier "ie4uinit.inf".Cette technique est communément appelée «vivre de la terre» (LOTL).Le scriptlet déchiffre et laisse tomber une DLL dans le dossier% AppData% \ Microsoft.Ensuite, il tente de créer un nouveau processus RegSRV32 pour exécuter la DLL à l'aide de Windows Management Instrumentation (WMI) et, si cela échoue, essaie une approche alternative à l'aide de la méthode de run d'objet ActiveX.La DLL utilise des techniques de sous-sanche et d'anti-analyse.Il intègre une boucle spécifiquement conçue pour récupérer la clé RC4 nécessaire pour déchiffrer la porte dérobée More_Eggs.Cette boucle est stratégiquement conçue pour prolonger son temps d'exécution, améliorant ses capacités d'évasion dans un environnement de bac à sable.En outre, la DLL utilise plusieurs vérifications pour déterminer si elle est actuellement en cours de débogage, en utilisant la fonction NTQueryInformationProcess.La DLL laisse tomber la porte dérobée More_Eggs avec l'exécutable MSXSL.Par la suite, il initie la création du processus MSXSL à l'aide du service WMI.
#### URL de référence (s)
1. https://www.proofpoint.com/us/blog/thereat-insight/security-brieF-TA4557-Targets-recruteurs
#### Date de publication
14 décembre 2023
#### Auteurs)
Kelsey Merriman
Selena Larson
Xavier Chambrier
#### Description Since October 2023, TA4557 has been targeting recruiters with direct emails that lead to malware delivery. The initial emails are benign and express interest in an open role. If the target replies, the attack chain commences. TA4557 used both the new method of emailing recruiters directly as well as the older technique of applying to jobs posted on public job boards to commence the attack chain. Once the recipient replies to the initial email, the actor was observed responding with a URL linking to an actor-controlled website posing as a candidate resume. If the potential victims visit the “personal website” as directed by the threat actor, the page mimics a candidate\'s resume or job site for the candidate (TA4557) applying for a posted role. The website uses filtering to determine whether to direct the user to the next stage of the attack chain. If the potential victim does not pass the filtering checks, they are directed to a page containing a resume in plain text. Alternatively, if they pa |
Malware Threat | ★★ | |
|
2023-12-13 19:34:57 | Opération forgeron: Lazarus cible les organisations du monde Operation Blacksmith: Lazarus Targets Organizations Worldwide Using Novel Telegram-Based Malware Written in DLang (lien direct) |
#### Description
Cisco Talos a découvert une nouvelle campagne menée par le groupe Lazare, appelé "Operation Blacksmith", qui emploie au moins trois nouvelles familles de logiciels malveillants basés sur Dlang, dont deux sont des chevaux de Troie (rats), où l'un d'eux utilise des robots télégrammes etcanaux comme moyen de communications de commandement et de contrôle (C2).
Les rats sont nommés "ninerat" et "dlrat", et le téléchargeur s'appelle "Bottomloader".La campagne consiste en un ciblage opportuniste continu des entreprises à l'échelle mondiale qui hébergent et exposent publiquement leur infrastructure vulnérable à l'exploitation de la vulnérabilité des jours tels que CVE-2021-44228 (log4j).Lazare a ciblé les sociétés de fabrication, d'agriculture et de sécurité physique.Le malware est écrit dans DLANG, indiquant un changement définitif dans les TTP des groupes APT qui relèvent du parapluie de Lazare, l'adoption accrue de logiciels malveillants étant rédigée à l'aide de cadres non traditionnels tels que le framework QT, y compris MagicRat et Quiterat.
#### URL de référence (s)
1. https://blog.talosintelligence.com/lazarus_new_rats_dlang_and_telegram/
#### Date de publication
11 décembre 2023
#### Auteurs)
Jungsoo an
#### Description Cisco Talos has discovered a new campaign conducted by the Lazarus Group, called "Operation Blacksmith," which employs at least three new DLang-based malware families, two of which are remote access trojans (RATs), where one of these uses Telegram bots and channels as a medium of command and control (C2) communications. The RATs are named "NineRAT" and "DLRAT," and the downloader is called "BottomLoader." The campaign consists of continued opportunistic targeting of enterprises globally that publicly host and expose their vulnerable infrastructure to n-day vulnerability exploitation such as CVE-2021-44228 (Log4j). Lazarus has targeted manufacturing, agricultural, and physical security companies. The malware is written in DLang, indicating a definitive shift in TTPs from APT groups falling under the Lazarus umbrella with the increased adoption of malware being authored using non-traditional frameworks such as the Qt framework, including MagicRAT and QuiteRAT. #### Reference URL(s) 1. https://blog.talosintelligence.com/lazarus_new_rats_dlang_and_telegram/ #### Publication Date December 11, 2023 #### Author(s) Jungsoo An |
Malware Vulnerability | APT 38 | ★★★ |
|
2023-12-12 15:21:32 | Dévoiler «Vetta Loader»: un chargeur personnalisé frappant l'Italie et se propage dans les disques USB infectés Unveiling “Vetta Loader”: A Custom Loader Hitting Italy and Spread Through Infected USB Drives (lien direct) |
#### Description
Dans une récente enquête menée par l'équipe malveillante du malware de Yoroi \\, une menace persistante affectant plusieurs sociétés italiennes, principalement dans les secteurs de l'industrie, de la fabrication et de l'impression numérique, a été dévoilé.Le modus operandi de cette menace implique l'utilisation de disques USB infectés, exploitant la forte dépendance à l'égard des rédrivits pour le partage de données au sein de ces secteurs.
Le logiciel malveillant identifié, nommé "Vetta Loader", utilise les services vidéo publics comme un conduit pour fournir sa charge utile malveillante.Le rapport suggère un niveau de confiance moyen-élevé que l'acteur de menace derrière cette campagne est italien.Notamment, la recherche a révélé quatre variantes distinctes du chargeur Vetta, chacune codée dans différents langages de programmation-nodejs, Golang, Python et .NET - tout en partageant une approche commune de la communication avec les serveurs de commande et de contrôle et les téléchargements de stade ultérieurs.
#### URL de référence (s)
1. https://yoroi.company/en/research/unveiling-vetta-loader-a-custom-loader-hitting-italy-and-spread-harthrough-Enfini-usb-drives /
#### Date de publication
6 décembre 2023
#### Auteurs)
Luigi Marre
Carmelo ragusa
Giovanni pirozzi
Marco Giorgi
#### Description In a recent investigation conducted by Yoroi\'s malware ZLab team, a persistent threat affecting several Italian companies, primarily in industrial, manufacturing, and digital printing sectors, has been unveiled. The modus operandi of this threat involves the utilization of infected USB drives, exploiting the heavy reliance on pen-drives for data sharing within these sectors. The identified malware, named "Vetta Loader," employs public video services as a conduit for delivering its malicious payload. The report suggests a medium-high confidence level that the threat actor behind this campaign is Italian-speaking. Notably, the research uncovered four distinct variants of the Vetta Loader, each coded in different programming languages-NodeJS, Golang, Python, and .NET-while sharing a common approach to communication with command and control servers and subsequent stage downloads. #### Reference URL(s) 1. https://yoroi.company/en/research/unveiling-vetta-loader-a-custom-loader-hitting-italy-and-spread-through-infected-usb-drives/ #### Publication Date December 6, 2023 #### Author(s) Luigi Martire Carmelo Ragusa Giovanni Pirozzi Marco Giorgi |
Malware Threat Industrial | ★★★ | |
|
2023-12-08 21:21:52 | 40 nouveaux domaines du vétéran Magecart ATMZow trouvé dans Google Tag Manager 40 New Domains of Magecart Veteran ATMZOW Found in Google Tag Manager (lien direct) |
#### Description
Une analyse approfondie de la façon dont Magecart Group Atmzow exploite Google Tag Manager pour diffuser des logiciels malveillants de commerce électronique.Découvrez leurs dernières tactiques, évolution, techniques d'obscurcissement et étapes pour protéger les sites contre les infections Magecart et de commerce électronique.
L'écumoire d'Amzow est lié à des infections généralisées sur le site Web de Magento depuis 2015 et est toujours active.Le malware continue d'évoluer et la dernière variation utilise une complexité supplémentaire pour masquer tous les domaines et les conditions d'activation.Le code malveillant sélectionne au hasard deux des domaines "CDN. *" Dans une liste de 40 domaines nouvellement enregistrés utilisés pour injecter une autre couche de l'écumoire.Ces domaines sont cachés derrière un pare-feu Cloudflare pour échapper à la détection.L'écumateur d'Amzow continue de cibler spécifiquement les sites Magento, et tout script qui n'a pas été initialement placé sur une page par un webmaster devrait soupçonner des soupçons et être considéré comme un signe de compromis potentiel.
#### URL de référence (s)
1. https://blog.sucuri.net/2023/12/40-new-domains-of-magecart-veteran-atmzow-found-in-google-tag-manager.html
#### Date de publication
7 décembre 2023
#### Auteurs)
Denis Sinegubko
#### Description An in-depth analysis of how Magecart Group ATMZOW exploits Google Tag Manager to spread ecommerce malware. Learn about their latest tactics, evolution, obfuscation techniques, and steps to protect sites against Magecart and ecommerce infections. The ATMZOW skimmer has been linked to widespread Magento website infections since 2015 and is still active. The malware keeps evolving, and the latest variation uses extra complexity to hide all the domains and activation conditions. The malicious code randomly selects two of the "cdn.*" domains from a list of 40 newly registered domains used to inject another layer of the skimmer. These domains are hidden behind a CloudFlare firewall to evade detection. The ATMZOW skimmer continues to specifically target Magento sites, and any script that was not initially placed on a page by a webmaster should raise suspicions and be considered a sign of potential compromise. #### Reference URL(s) 1. https://blog.sucuri.net/2023/12/40-new-domains-of-magecart-veteran-atmzow-found-in-google-tag-manager.html #### Publication Date December 7, 2023 #### Author(s) Denis Sinegubko |
Malware | ★★ | |
|
2023-12-01 21:32:00 | Des pirates nord-coréens attaquant des macos en utilisant des documents armées North Korean Hackers Attacking macOS Using Weaponized Documents (lien direct) |
#### Description
En 2023, les acteurs de la menace nord-coréenne ont intensifié leur concentration sur MacOS par le biais de deux campagnes majeures nommées Rustbucket et Kandykorn.
RustBucket a utilisé \\ 'swiftloader, \' se faire passer pour une visionneuse PDF, pour déployer un malware de deuxième étape écrit de la rouille.Pendant ce temps, la campagne de Kandykorn a utilisé des scripts Python ciblant les ingénieurs de la blockchain, livrant un rat de porte dérobée C ++ appelé \\ 'Kandykorn \' en détournant l'application Discord sur les hôtes.L'attaque en cinq étapes contre les utilisateurs de discorde impliquait l'ingénierie sociale pour les inciter à télécharger une application Python malveillante déguisée en bot d'arbitrage crypto, distribué sous le nom de \\ 'ponts multiplateaux.zip. \' l'application, contenant des scripts de python apparemment inoffensifs, a progressé à travers des étapes impliquant l'exécution de Findertools, Sugarloader, Hloader et, finalement, exécuter Kandykorn.
La campagne Rustbucket a présenté des techniques évolutives, en utilisant une application basée sur Swift nommée SecurePDF Viewer.App, signée par "BBQ Bazaar Private Limited".Une autre variante, Crypto-Assets App.zip, signée par "Northwest Tech-Con Systems Ltd", a indiqué une infrastructure partagée, des objectifs et des tactiques avec Kandykorn Rat, soulignant la sophistication des campagnes malveillantes du macos nord-coréen.
#### URL de référence (s)
1. https://gbhackers.com/korean-macos-weaponized-ocuments/
#### Date de publication
30 novembre 2023
#### Auteurs)
Tushar Subhra Dutta
#### Description In 2023, North Korean threat actors intensified their focus on macOS through two major campaigns named RustBucket and KandyKorn. RustBucket utilized \'SwiftLoader,\' masquerading as a PDF Viewer, to deploy a Rust-written second-stage malware. Meanwhile, the KandyKorn campaign employed Python scripts targeting blockchain engineers, delivering a C++ backdoor RAT called \'KandyKorn\' by hijacking the Discord app on hosts. The five-stage attack on Discord users involved social engineering to trick them into downloading a malicious Python app disguised as a crypto arbitrage bot, distributed as \'Cross-Platform Bridges.zip.\' The app, containing seemingly harmless Python scripts, progressed through stages involving the execution of FinderTools, SUGARLOADER, HLOADER, and ultimately running KANDYKORN. he RustBucket campaign showcased evolving techniques, using a Swift-based app named SecurePDF Viewer.app, signed by "BBQ BAZAAR PRIVATE LIMITED." Another variant, Crypto-assets app.zip, signed by "Northwest Tech-Con Systems Ltd," indicated shared infrastructure, objectives, and tactics with KandyKorn RAT, underscoring the sophistication of North Korean macOS malware campaigns. #### Reference URL(s) 1. https://gbhackers.com/korean-macos-weaponized-documents/ #### Publication Date November 30, 2023 #### Author(s) Tushar Subhra Dutta |
Malware Threat | ★★ | |
|
2023-11-21 21:19:53 | Agent Tesla: le format d'archive ZPAQ inhabituel fournit des logiciels malveillants Agent Tesla: Unusual ZPAQ Archive Format Delivers Malware (lien direct) |
#### Description
Une nouvelle variante de l'agent Tesla a été découverte qui utilise l'extension de fichier archive ZPAQ et .wav pour infecter les systèmes et voler des informations à environ 40 navigateurs Web et divers clients de messagerie.ZPAQ est un format de compression de fichiers qui offre un meilleur rapport de compression et une fonction de journalisation par rapport à des formats largement utilisés comme ZIP et RAR.Cependant, le ZPAQ a un support logiciel limité, ce qui rend difficile le travail, en particulier pour les utilisateurs sans expertise technique.Le fichier exécutable .NET est gonflé avec zéro octets, ce qui permet aux acteurs de menace de contourner les mesures de sécurité traditionnelles et d'augmenter l'efficacité de leur attaque.
L'utilisation du format de compression ZPAQ soulève plus de questions que de réponses.Les hypothèses ici sont que les acteurs de la menace ciblent un groupe spécifique de personnes qui ont des connaissances techniques ou utilisent des outils d'archives moins connus, ou ils testent d'autres techniques pour diffuser plus rapidement les logiciels malveillants et contourner les logiciels de sécurité.
Le malware utilise Telegram en tant que C&C en raison de son utilisation juridique généralisée et du fait que son trafic est souvent autorisé à travers des pare-feu, ce qui en fait un support utile pour une communication secrète.Comme tout autre voleur, l'agent Tesla peut nuire non seulement aux particuliers mais aussi aux organisations.Il a gagné en popularité parmi les cybercriminels pour de nombreuses raisons, notamment la facilité d'utilisation, la polyvalence et l'abordabilité sur le Dark Web.
#### URL de référence (s)
1. https://www.gdatasoftware.com/blog/2023/11/37822-agent-Tesla-zpaq
#### Date de publication
20 novembre 2023
#### Auteurs)
Anna Lvova
#### Description A new variant of Agent Tesla has been discovered that uses the ZPAQ archive and .wav file extension to infect systems and steal information from approximately 40 web browsers and various email clients. ZPAQ is a file compression format that offers a better compression ratio and journaling function compared to widely used formats like ZIP and RAR. However, ZPAQ has limited software support, making it difficult to work with, especially for users without technical expertise. The .NET executable file is bloated with zero bytes, which allows threat actors to bypass traditional security measures and increase the effectiveness of their attack. The usage of the ZPAQ compression format raises more questions than answers. The assumptions here are that either threat actors target a specific group of people who have technical knowledge or use less widely known archive tools, or they are testing other techniques to spread malware faster and bypass security software. The malware uses Telegram as a C&C due to its widespread legal usage and the fact that its traffic is often allowed through firewalls, making it a useful medium for covert communication. Like any other stealer, Agent Tesla can harm not only private individuals but also organizations. It has gained popularity among cybercriminals for many reasons including ease of use, versatility, and affordability on the Dark Web. #### Reference URL(s) 1. https://www.gdatasoftware.com/blog/2023/11/37822-agent-tesla-zpaq #### Publication Date November 20, 2023 #### Author(s) Anna Lvova |
Malware Tool Threat Technical | ★★★ | |
|
2023-11-13 20:19:45 | Oracleiv - Un botnet DDOS docking OracleIV - A Dockerised DDoS Botnet (lien direct) |
#### Description
Les chercheurs de CADO Security Labs ont récemment découvert une nouvelle campagne ciblant les instances exposées publiquement de l'API Docker Engine.Les attaquants exploitent cette erreur de configuration pour livrer un conteneur Docker malveillant, construit à partir d'une image nommée «Oracleiv_latest» et contenant des logiciels malveillants Python compilés sous forme d'exécutable ELF.Le malware lui-même agit comme un agent de bot de déni de service distribué (DDOS), capable de mener des attaques DOS via un certain nombre de méthodes.
#### URL de référence (s)
1. https://www.cadosecurity.com/oracleiv-a-dockerisherised-ddos-botnet/
#### Date de publication
13 novembre 2023
#### Auteurs)
Nate Bill
Matt Muir
#### Description Cado Security Labs researchers recently discovered a novel campaign targeting publicly-exposed instances of the Docker Engine API. Attackers are exploiting this misconfiguration to deliver a malicious Docker container, built from an image named “oracleiv_latest” and containing Python malware compiled as an ELF executable. The malware itself acts as a Distributed Denial of Service (DDoS) bot agent, capable of conducting DoS attacks via a number of methods. #### Reference URL(s) 1. https://www.cadosecurity.com/oracleiv-a-dockerised-ddos-botnet/ #### Publication Date November 13, 2023 #### Author(s) Nate Bill Matt Muir |
Malware | ★★★ | |
|
2023-11-08 21:19:17 | Arid Viper | APT\'s Nest of SpyC23 Malware Continues to Target Android Devices (lien direct) | #### Description
Le groupe Arid Viper a une longue histoire d'utilisation de logiciels malveillants mobiles, y compris au moins quatre familles spyware Android et un implant iOS de courte durée, la phénakite.La famille des logiciels malveillants Android Spyc23 existe depuis au moins 2019, bien que le code partagé entre les familles de spyware Arid Viper remonte à 2017. Il a été signalé pour la première fois en 2020 par ESET dans une campagne où l'acteur a utilisé une boutique d'applications tierces pour distribuer des armes à l'armement.Packages Android (APK).Cette campagne comportait plusieurs applications conçues pour imiter les gestionnaires de télégrammes et d'applications Android.
Jusqu'à 2022 et au début de 2023, Arid Viper a développé plusieurs nouvelles versions SPYC23 qui partagent ces thèmes: deux applications imitent Telegram, tandis qu'un autre est appelé en interne, mais est basé sur une application de messagerie sur le thème de la romance appelée Skipped Messenger.Cisco Talos a récemment rendu compte de l'histoire de Sauted Messenger, révélant que l'application de rencontres autrefois-benon a probablement été transmise du développeur d'origine à l'acteur Arid Viper.
#### URL de référence (s)
1.https://www.sentinelone.com/labs/arid-viper-apts-st-of-spyc23-malware-continues-to-target-android-devices/
#### Date de publication
6 novembre 2023
#### Auteurs)
Alex Delamotte
#### Description The Arid Viper group has a long history of using mobile malware, including at least four Android spyware families and one short-lived iOS implant, Phenakite. The SpyC23 Android malware family has existed since at least 2019, though shared code between the Arid Viper spyware families dates back to 2017. It was first reported in 2020 by ESET in a campaign where the actor used a third-party app store to distribute weaponized Android packages (APK). That campaign featured several apps designed to mimic Telegram and Android application update managers. Through 2022 and early 2023, Arid Viper developed several newer SpyC23 versions that share these themes: two apps mimick Telegram, while another is internally called APP-UPGRADE but is based on a romance-themed messaging app called Skipped Messenger. Cisco Talos recently reported on the history of Skipped Messenger, revealing that the once-benign dating application was likely passed from the original developer to the Arid Viper actor. #### Reference URL(s) 1. https://www.sentinelone.com/labs/arid-viper-apts-nest-of-spyc23-malware-continues-to-target-android-devices/ #### Publication Date November 6, 2023 #### Author(s) Alex Delamotte |
Malware Mobile | APT-C-23 APT-C-23 | ★★★ |
|
2023-11-03 19:41:09 | Opérations malveillantes à grande échelle de Hive0051 \\ activées par fluxage DNS multicanal synchronisé Hive0051\\'s Large Scale Malicious Operations Enabled by Synchronized Multi-Channel DNS Fluxing (lien direct) |
#### Description
IBM X-FORCE surveillait les capacités de logiciels malveillants de Hive0051 \\ depuis un an et demi.L'acteur de la menace russe a apporté trois modifications clés à ses capacités: une approche multi-canal améliorée du fluxage du DNS, des scripts à plusieurs étages obscurcis et l'utilisation de variantes PowerShell sans fidèle du malware gamma.
Le fluxage DNS standard ou le flux rapide, est une menace technique que les acteurs des acteurs pour faire tourner rapidement les infrastructures en modifiant régulièrement l'adresse IP de leur domaine C2 pointe dans les enregistrements DNS publics.HIVE0051 a adopté l'utilisation nouvelle de plusieurs canaux pour stocker les enregistrements DNS par opposition à une configuration d'enregistrement DNS traditionnelle.Dans cette méthodologie, les canaux télégrammes publics et les sites télégraphiques sont essentiellement utilisés comme serveurs DNS et sont fluxés en synchronie avec les enregistrements DNS.Cela permet à HIVE0051 de se rendre aux canaux secondaires afin de résoudre le serveur C2 actuellement actif, si le domaine était bloqué via l'un des autres canaux.
#### URL de référence (s)
1. https://securityintelligence.com/x-force/hive0051-malicious-operations-enabled-dns-fluxing/
#### Date de publication
3 novembre 2023
#### Auteurs)
Golo m & uuml; hr
Claire Zaboeva
Joe Fasulo
#### Description IBM X-Force has been monitoring Hive0051\'s malware capabilities for the past year and a half. The Russian threat actor has made three key changes to its capabilities: an improved multi-channel approach to DNS fluxing, obfuscated multi-stage scripts, and the use of fileless PowerShell variants of the Gamma malware. Standard DNS fluxing or fast-fluxing, is a technique threat actors use to rapidly rotate infrastructure by regularly changing the IP address their C2 domain points to in public DNS records. Hive0051 has adopted the novel use of multiple channels to store DNS records as opposed to a traditional DNS record configuration. In this methodology, public Telegram channels and Telegraph sites are essentially used as DNS servers and are fluxed in synchrony together with the DNS records. This enables Hive0051 to fallback to secondary channels in order to resolve the currently active C2 server, should the domain be blocked via any of the other channels. #### Reference URL(s) 1. https://securityintelligence.com/x-force/hive0051-malicious-operations-enabled-dns-fluxing/ #### Publication Date November 3, 2023 #### Author(s) Golo Mühr Claire Zaboeva Joe Fasulo |
Malware Threat | ★★★★ | |
|
2023-10-31 20:56:15 | Arid Viper déguiser les logiciels espions mobiles comme mises à jour pour les applications Android non malveillantes Arid Viper Disguising Mobile Spyware as Updates for Non-Malicious Android Applications (lien direct) |
#### Description
Depuis avril 2022, Cisco Talos suit une campagne malveillante exploitée par le groupe de menace persistante (APT) de vipère avancée (APT), de menace persistante avancée (APT), ciblant les utilisateurs Android arabes.Dans cette campagne, les acteurs exploitent des logiciels malveillants mobiles personnalisés, également appelés fichiers de packages Android (APK), pour collecter des informations sensibles à partir de cibles et déployer des logiciels malveillants supplémentaires sur des appareils infectés.
Le logiciel malveillant mobile utilisé dans cette campagne partage des similitudes avec une application de rencontres en ligne non malveillante, appelée sautée.Le malware utilise spécifiquement un nom similaire et le même projet partagé sur la plate-forme de développement Applications \\ '.Ce chevauchement suggère que les opérateurs de vipères arides sont liés au développeur de \\ sauté ou en quelque sorte acquis un accès illicite à la base de données du projet partagé.L'analyse de Cisco \\ a découvert un éventail d'applications de rencontres simulées liées aux sauts, nous amenant à évaluer que les opérateurs Arid Viper peuvent chercher à tirer parti de ces applications supplémentaires dans de futures campagnes malveillantes.Afin de contraindre les utilisateurs à télécharger leurs logiciels malveillants mobiles, les opérateurs Arid Viper partagent des liens malveillants se faisant passer pour des mises à jour des applications de rencontres, qui fournissent plutôt des logiciels malveillants à l'appareil de l'utilisateur \\.
Android malware d'Arid Viper \\ a un certain nombre de fonctionnalités qui permettent aux opérateurs de désactiver les notifications de sécurité, de collecter des informations sensibles aux utilisateurs et de déployer des applications malveillantes supplémentaires sur l'appareil compromis.
#### URL de référence (s)
1. https://blog.talosintelligence.com/arid-viper-mobile-spyware/
#### Date de publication
31 octobre 2023
#### Auteurs)
Cisco Talos
#### Description Since April 2022, Cisco Talos has been tracking a malicious campaign operated by the espionage-motivated Arid Viper advanced persistent threat (APT) group targeting Arabic-speaking Android users. In this campaign, the actors leverage custom mobile malware, also known as Android Package files (APKs), to collect sensitive information from targets and deploy additional malware onto infected devices. The mobile malware used in this campaign shares similarities with a non-malicious online dating application, referred to as Skipped. The malware specifically uses a similar name and the same shared project on the applications\' development platform. This overlap suggests the Arid Viper operators are either linked to Skipped\'s developer or somehow gained illicit access to the shared project\'s database. Cisco\'s analysis uncovered an array of simulated dating applications that are linked to Skipped, leading us to assess that Arid Viper operators may seek to leverage these additional applications in future malicious campaigns. In order to coerce users into downloading their mobile malware, Arid Viper operators share malicious links masquerading as updates to the dating applications, that instead deliver malware to the user\'s device. Arid Viper\'s Android malware has a number of features that enable the operators to disable security notifications, collect users\' sensitive information, and deploy additional malicious applications on the compromised device. #### Reference URL(s) 1. https://blog.talosintelligence.com/arid-viper-mobile-spyware/ #### Publication Date October 31, 2023 #### Author(s) Cisco Talos |
Malware Threat | APT-C-23 APT-C-23 | ★★★ |
|
2023-10-31 19:45:32 | From Albania to the Middle East: The Scarred Manticore is Listening (lien direct) | #### Description
Check Point Research (RCR) surveille une campagne d'espionnage iranienne en cours par Scarred Manticore, un acteur affilié au ministère du renseignement et de la sécurité (MOIS).Les attaques reposent sur Liontail, un cadre de logiciel malveillant passif avancé installé sur les serveurs Windows.À des fins de furtivité, les implants liionnal utilisent les appels directs vers Windows HTTP Stack Driver Http.SYS pour charger les charges utiles des résidents de mémoire.
La campagne actuelle a culminé à la mi-2023, passant sous le radar pendant au moins un an.La campagne cible les organisations de haut niveau au Moyen-Orient en mettant l'accent sur les secteurs du gouvernement, des militaires et des télécommunications, en plus des fournisseurs de services informatiques, des organisations financières et des ONG.Scarred Manticore poursuit des objectifs de grande valeur depuis des années, utilisant une variété de déambulations basées sur l'IIS pour attaquer les serveurs Windows.Ceux-ci incluent une variété de shells Web personnalisés, de bornes de dos de DLL personnalisées et d'implants basés sur le pilote.Bien que la principale motivation derrière l'opération de Manticore \\ ne soit que l'espionnage, certains des outils décrits dans ce rapport ont été associés à l'attaque destructrice parrainée par MOIS contre l'infrastructure du gouvernement albanais (appelé Dev-0861).
#### URL de référence (s)
1. https://research.checkpoint.com/2023/from-albania-to-the-middle-East-the-scarred-Manticore-is-Listening/
#### Date de publication
31 octobre 2023
#### Auteurs)
Recherche de point de contrôle
#### Description Check Point Research (CPR) is monitoring an ongoing Iranian espionage campaign by Scarred Manticore, an actor affiliated with the Ministry of Intelligence and Security (MOIS). The attacks rely on LIONTAIL, an advanced passive malware framework installed on Windows servers. For stealth purposes, LIONTIAL implants utilize direct calls to Windows HTTP stack driver HTTP.sys to load memory-residents payloads. The current campaign peaked in mid-2023, going under the radar for at least a year. The campaign targets high-profile organizations in the Middle East with a focus on government, military, and telecommunications sectors, in addition to IT service providers, financial organizations and NGOs. Scarred Manticore has been pursuing high-value targets for years, utilizing a variety of IIS-based backdoors to attack Windows servers. These include a variety of custom web shells, custom DLL backdoors, and driver-based implants. While the main motivation behind Scarred Manticore\'s operation is espionage, some of the tools described in this report have been associated with the MOIS-sponsored destructive attack against Albanian government infrastructure (referred to as DEV-0861). #### Reference URL(s) 1. https://research.checkpoint.com/2023/from-albania-to-the-middle-east-the-scarred-manticore-is-listening/ #### Publication Date October 31, 2023 #### Author(s) Check Point Research |
Malware Tool | APT 34 APT 34 | ★★ |
|
2023-10-26 20:11:18 | Fakeupdateru Chrome Update Infection Spreads Trojan Malware (lien direct) | #### Description
SUCURI rapporte une nouvelle variante du faux logiciel malveillant de mise à jour Google Chrome, surnommé "Fakeupdateu".Le malware informe les utilisateurs de téléchargement de ce qui semble être une mise à jour de leur navigateur Chrome, mais est en fait un cheval de Troie à distance (RAT).Le malware écrase le fichier principal index.php pour le thème actif sur le site Web, affectant les sites Web WordPress et autres plates-formes CMS.La page de mise à jour de la mise à jour du navigateur Bogus Chrome ressemble à la page de téléchargement officielle de Google Chrome, mais les acteurs ont légèrement modifié la page d'origine.La charge utile malware est hébergée sur d'autres sites Web piratés, probablement complètement inconnus des propriétaires de sites Web.
#### URL de référence (s)
1. https://blog.sucuri.net/2023/10/fakeupdateru-prome-update-infection-spreads-trojan-malware.html
#### Date de publication
25 octobre 2023
#### Auteurs)
Ben Martin
#### Description Sucuri reports a new variant of the Fake Google Chrome update malware, nicknamed "FakeUpdateRU". The malware tricks users into downloading what appears to be an update to their Chrome browser, but is actually a remote access trojan (RAT). The malware overwrites the main index.php file for the active theme on the website, affecting WordPress websites and other CMS platforms. The bogus Chrome browser update landing page looks like the official Google Chrome download page, but the actors slightly modified the original page. The malware payload is hosted on other hacked websites, likely completely unknown to the website owners. #### Reference URL(s) 1. https://blog.sucuri.net/2023/10/fakeupdateru-chrome-update-infection-spreads-trojan-malware.html #### Publication Date October 25, 2023 #### Author(s) Ben Martin |
Malware | ★★★ | |
|
2023-10-23 19:58:03 | Organisations attaquées par Cryptominer-KeyLogger-Backdoor Combo Organizations Under Attack from Cryptominer-Keylogger-Backdoor Combo (lien direct) |
#### Description
Les chercheurs de Kaspersky ont découvert une campagne qui cible le gouvernement, l'application des lois et les organisations à but non lucratif.Les attaquants téléchargent des scripts sur les appareils victimes, offrant plusieurs types de logiciels malveillants à la fois.L'objectif principal est d'utiliser les ressources de l'entreprise pour l'exploitation minière, de voler des données à l'aide de KeyLoggers et d'obtenir un accès de porte dérobée aux systèmes.
Selon les données de télémétrie de Kasperky \\, ils ont détecté de nombreux scripts, exécutables et liens associés sous cette campagne depuis la fin 2022.
#### URL de référence (s)
1. https://seecurelist.com/min-keylogger-backdoor-attack-b2b/110761/
#### Date de publication
19 octobre 2023
#### Auteurs)
Vasily Kolesnikov
#### Description Kaspersky researchers have discovered a campaign that targets government, law enforcement, and non-profit organizations. Attackers download scripts onto victims\' devices, delivering several types of malware all at once. The main aim is to utilize company resources for mining, steal data using keyloggers, and gain backdoor access to systems. According to Kasperky\'s telemetry data, they have detected numerous scripts, executables, and associated links under this campaign since late 2022. #### Reference URL(s) 1. https://securelist.com/miner-keylogger-backdoor-attack-b2b/110761/ #### Publication Date October 19, 2023 #### Author(s) Vasily Kolesnikov |
Malware | ★★★ |
To see everything:
Our RSS (filtrered)
