What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2024-08-02 20:39:07 | Black Basta ransomware switches to more evasive custom malware (lien direct) | ## Instantané Le Black Basta Ransomware Gang a été une menace mondiale importante, responsable de plus de 500 attaques réussies contre les entreprises du monde entier selon le site de fuite de données Black Basta.Le groupe utilise une stratégie à double extension, combinant le vol de données et le chiffrement et exige des paiements de rançon importants.Black Basta a été observé en utilisant des outils accessibles au public aux logiciels malveillants personnalisés développés en interne. ## Description Des recherches chez Mandiant Suspects Black Basta utilisent un modèle d'affiliation privé à invitation fermée pour distribuer des ransomwares de Basta, se différenciant des ransomwares traditionnels commercialisés en tant que service (RAAS).Mandiant nommé "UNC4393" comme principal utilisateur de [BASTA Ransomware] (https://security.microsoft.com/intel-profiles/0146164ed5ffa131074fa7e985f779597d2522865baaa088f25cd80c3Ded8d726).UNC4393, également connu sous le nom de Cardinal Cybercrime Group, est suivi par Microsoft sous le nom de [Storm-1811.] (Https://security.microsoft.com/intel-profiles/0a78394b205d9b9d6cbcbd5f34053d7fc1912c3fa7418ffd0ebf1d00f67777718 Initialement, le Black Basta Gang s'est associé à la [Qakbot (également connu sous le nom de QBOT)] (https: // Security.microsoft.com/intel-profiles/65019CE99508DD6A7ED35BA221524B6728A564600616C7229BAA0ECDEC21701B) pour l'accès réseau Distribution de Botnet en botnetFections via des e-mails de phishing et de la contrebande de HTML, mais après [les forces de l'ordre ont perturbé Qakbot] (https://www.bleepingcomputer.com/news/security/how-the-fbi-nuked-qakbot-malware-from-infected-windows-pcs/), ils ont dû former de nouveaux partenariats pour violer les réseaux d'entreprise.Black Basta est passé à des grappes de distribution d'accès initiales comme celles qui livrent [Darkgate] (https://sip.security.microsoft.com/intel-profiles/52fa311203e55e65b161aa012eba65621f91Be78) MALAFACT.Quelques mois plus tard, le groupe est passé de Darkgate via le phishing au malvertising à l'aide de Silentnight, un malware de porte dérobée.Silentnight (alias Terdot et Deloader), passe également par [Zloader] (https://security.microsoft.com/intel-profiles/cbcac2a1de4e52fa5fc4263829d11ba6f2851d6822569a3d3ba9669e72aff789).Zloader est remarquable pour sa capacité à s'adapter à différentes campagnes.Les logiciels malveillants de porte dérobée ont été observés dans les campagnes de phishing à des campagnes de malvertising plus récentes comme le Ransomware Black Basta. Des outils et tactiques supplémentaires de Basta noirs ont évolué pour inclure l'utilisation d'un compte-gouttes sur la mémoire personnalisé nommé DawnCry, qui a lancé une infection en plusieurs étapes, suivie de Daveshell, qui a conduit au Portyard Tunneler qui se connecte à la commande noire de Black \\et contrôle (C2).D'autres outils personnalisés remarquables utilisés dans les opérations récentes incluent COGSCAN, [SystemBC] (https://security.microsoft.com/intel-profiles/530f5cd2221c4bfcf67ea158a1e674ec5a210dbd611dfe9db652c9adf97292b), knknotrock.En outre, le gang continue d'utiliser des binaires "vivant hors du terrain" et des outils facilement disponibles dans leurs dernières attaques, y compris l'utilitaire de ligne de commande Windows Certutil pour télécharger Silentnight et le [Rclone] (https://security.microsoft.com/Intel-Profiles / 3C39892A30F3909119605D9F7810D693E502099AE03ABBD80F34D6C70D42D165) Tool to Exfiltrate Data. Le groupe a été soupçonné d'être lié à [un récent exploit de vulnérabilité du zéro-jour] (https://security.microsoft.com/intel-explorer/articles/94661562), y compris l'élévation du privilège Windows, et Vmware Esxi Authentication Bypass Flaws ([[[[[[[ByPass Flaws VMware ESXi ESXI ([[[[[[[[Flaws de VMware ESXi Esxi Bypass Flaws ([CVE-2024-37085] (https://security.microsoft.com/intel-profiles/cve-2024-37085)).Leur objectif est l'extorsion aux multiples facettes, tirant parti de la menace de fuite de do | Ransomware Malware Tool Vulnerability Threat Legislation Cloud | ||
|
2024-08-02 20:30:41 | Social Media Malvertising Campaign Promotes Fake AI Editor Website for Credential Theft (lien direct) | ## Snapshot Researchers at Trend Micro identified a malvertising campaign where threat actors hijack social media pages, rename them to mimic popular AI photo editors, and post malicious links to fake websites. ## Description These attackers use spam messages with phishing links to steal admin credentials, leading to fake account protection pages. Once they gain control, they post ads promoting the AI photo editor, which directs victims to download an endpoint management utility disguised as the photo editor. The ITarian software is then used to execute additional payloads like Lumma Stealer, which exfiltrates sensitive data such as cryptocurrency wallet files, browser data, and password manager databases. This campaign exploits the popularity of AI tools by using them as lures for malicious activities. Cybercriminals have been observed changing social media page names to those of popular AI tools and using paid ads to boost their malicious posts. Victims are tricked into downloading software that allows attackers to remotely control their devices, leading to data and credential theft. ## Additional Analysis Threat actors frequently capitalize on current trends and events to enhance the credibility of their phishing scams, and the recent surge in interest around AI is no exception. By leveraging the excitement surrounding new AI technologies, cybercriminals create convincing phishing sites and promotional materials that mimic legitimate AI platforms. These scams often employ sophisticated social engineering tactics, including the use of compromised social media accounts, to distribute malware under the guise of AI applications. Security researchers at [Cyble Research and Intelligence Labs](https://cyble.com/blog/threat-actors-exploit-sora-ai-themed-branding-to-spread-malware/) have observed cybercriminals using branding for OpenAI\'s Sora, to create convincing phishing sites promoted through compromised social media accounts. This strategy not only increases the perceived legitimacy of their malicious campaigns but also exploits the public\'s eagerness to engage with cutting-edge technologies, thereby maximizing the reach and impact of their attacks. ## Recommendations Microsoft recommends the following mitigations to reduce the impact of this threat. - Turn on [cloud-delivered protection](https://learn.microsoft.com/en-us/defender-endpoint/linux-preferences) in Microsoft Defender Antivirus or the equivalent for your antivirus product to cover rapidly evolving attacker tools and techniques. Cloud-based machine learning protections block a majority of new and unknown threats. - Run [EDR in block mode](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-block-mode?view=o365-worldwide?ocid=magicti_ta_learndoc) so that Microsoft Defender for Endpoint can block malicious artifacts, even when your non-Microsoft antivirus does not detect the threat or when Microsoft Defender Antivirus is running in passive mode. EDR in block mode works behind the scenes to remediate malicious artifacts that are detected post-breach. - Allow [investigation and remediation](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/automated-investigations?view=o365-worldwide?ocid=magicti_ta_learndoc) in full automated mode to allow Microsoft Defender for Endpoint to take immediate action on alerts to resolve breaches, significantly reducing alert volume. - [Enable](https://learn.microsoft.com/en-us/defender-endpoint/enable-controlled-folders) controlled folder access. - Ensure that [tamper protection](https://learn.microsoft.com/en-us/defender-endpoint/prevent-changes-to-security-settings-with-tamper-protection#how-do-i-configure-or-manage-tamper-protection) is enabled in Microsoft Defender for Endpoint. - Enable [network protection](https://learn.microsoft.com/en-us/defender-endpoint/enable-network-protection) in Microsoft Defender for Endpoint. - Follow the credential hardening recommendations in the [on-premises credential theft overview](http | Ransomware Spam Malware Tool Threat Prediction | ||
|
2024-08-02 17:13:44 | Mise à jour de la recherche: les acteurs de la menace derrière la campagne Dev # Popper se sont réoutillants et continuent de cibler les développeurs de logiciels via l'ingénierie sociale Research Update: Threat Actors Behind the DEV#POPPER Campaign Have Retooled and are Continuing to Target Software Developers via Social Engineering (lien direct) |
#### Géolocations ciblées - Corée - Amérique du Nord - Moyen-Orient - L'Europe de l'Est - Europe du Nord - Europe du Sud - Europe de l'Ouest #### Industries ciblées - Informatique - Produits informatiques et services ## Instantané Les chercheurs de Securonix ont découvert une campagne de [Dev # Popper] (https://security.microsoft.com/intel-explorer/articles/7309c) par des acteurs de la menace nord-coréenne, ciblant les développeurs de logiciels par le biais de techniques avancées d'ingénierie sociale. ## Description La campagne est répandue et a eu un impact sur les victimes en Corée du Sud, en Amérique du Nord, en Europe et au Moyen-Orient.De plus, la campagne a élargi son pool de victimes pour cibler les utilisateurs de Windows, Linux et MacOS.L'attaque est lancée par de fausses entretiens d'embauche, où les acteurs de la menace présentent à la personne interrogée un package de fichiers zip contenant des logiciels malveillants. Ce malware utilise un code JavaScript fortement obscurci, C2 Communications, Téléchargements de charge utile et exécution Python, avec de nouvelles fonctionnalités de persistance à l'aide de AnyDesk RMM.Le logiciel malveillant basé sur Python comprend des capacités de vol de données sensibles, une prise en charge du système multi-opératoires, une obscurité améliorée et un codage, un réseau, une exécution de commande distante, une exfiltration de données, une journalisation du presse-papiers et des casques de touche et une fonctionnalité FTP étendue.La campagne implique également l'abus des tactiques d'ingénierie sociale et l'extraction des références stockées et des cookies de session de divers navigateurs. ## Analyse Microsoft Les acteurs de la menace exploitent de plus en plus des outils légitimes dans leurs cyberattaques, en particulier les outils de surveillance et de gestion à distance (RMM) comme AnyDesk.Ces outils, conçus à des fins de support informatique et administratifs, offrent aux attaquants un moyen d'obtenir un accès persistant et souvent non détecté aux systèmes cibles.En utilisant des outils RMM, les cybercriminels peuvent contrôler à distance les appareils compromis, exécuter des commandes et exfiltrater les données sans augmenter les suspicions immédiates car ces outils sont couramment utilisés dans les environnements commerciaux. Anydesk, en particulier, a été utilisé pour maintenir un accès à long terme, contourner les mesures de sécurité traditionnelles et se fondre dans un trafic réseau régulier.Cette approche améliore non seulement la furtivité de leurs opérations, mais complique également les efforts de détection et d'atténuation pour les professionnels de la sécurité. Microsoft a observé un certain nombre de groupes de cybercrimins et de groupes d'activités de l'État-nation utilisant des outils RMM dans le cadre de leurs attaques.Notamment, [Lemon Sandstorm] (https://security.microsoft.com/intel-profiles/0d4189e06940820f500aaad47d944280b34339bc24e7608df130c202bb36f2fa), un groupe d'activités national-state à partir de l'IRAN, [TEMPER-1] (HTTTS] (HTTT ecurity.microsoft.com/ Intel-Profiles / E056344786FAB8E389EACCBCB99C39A2764BB85B26AA55013D968E12FBD073AE), un groupe cybercriminal connu pour le déploiement de Lockbit et [BlackSuit] (https://Secucule.Microsoft.com. B47726C23F206E47B5253B45F3BFF8D17F68A0461EF8398CCDA9) Ransomware et [Storm0824] (https: // Security.microsoft.com/intel-profiles/895ade70af7fabf57b04ad178de7ee1c1ced8e2b42d21769c1e012f440215862), un groupe cybercriminal connu pour mener R opportuniste R opportunisteLes attaques Ansomware ont mis à profit les RMM, entre autres acteurs. ## Détections / requêtes de chasse Comme les outils utilisés dans ces types de campagnes peuvent avoir des utilisations légitimes, elles ne sont généralement pas détectées comme malveillantes et la chasse proactive est recommandée. ## Recommandations Microsof | Ransomware Malware Tool Threat | ||
|
2024-08-01 19:22:03 | CISA prévient le bogue VMware Esxi exploité dans les attaques de ransomwares CISA warns of VMware ESXi bug exploited in ransomware attacks (lien direct) |
## Instantané La CISA a ordonné aux agences fédérales de direction de la Federal Civil Executive (FCEB) de sécuriser leurs serveurs contre une vulnérabilité de contournement d'authentification VMware ESXi (CVE-2024-37085) qui permet aux attaquants d'ajouter un nouvel utilisateur au groupe \\ 'ESX \' ', groupe,accordant des privilèges administratifs complets. ## Description Malgré la cote de gravité moyenne de VMware, les chercheurs de Microsoft Security ont révélé que les gangs de ransomware, y compris Storm-0506, Storm-1175, Octo Tempest et Manatee Tempest, exploitent cette vulnérabilité pour augmenter les privilèges administratifs sur les hyperviseurs d'administration du domaine.Une fois obtenu des autorisations d'administration, les acteurs de la menace volent des données sensibles à des machines virtuelles, se déplacent latéralement dans les réseaux et cryptent le système de fichiers de l'hyperviseur ESXi, provoquant des pannes et perturbant les opérations commerciales.CISA a ajouté la vulnérabilité de sécurité à ses [\\ 'Catalogue exploités connues \'] (https://www.cisa.gov/known-exploted-vulnerabilities-catalog) exigeant que les agences du FCEB sécurisent leurs systèmes dans les trois semaines.[CISA strongly urges all organizations to prioritize fixing the flaw to thwart ransomware attacks targeting their networks.](https://www.cisa.gov/news-events/alerts/2024/07/30/cisa-adds-one-known-Catalogue-vulnérabilité exploitée) ## Analyse Microsoft Les chercheurs en sécurité de Microsoft ont identifié de nouvelles techniques utilisées dans de nombreuses attaques d'opérateurs Ransomeware tels que [Storm-0506] (https: //security.microsoft.com/intel-profiles/ffe489b3f6c378d8a86f821af0f53814e8d5c7630fc041273972d9b824ef0312), [Storm-1175] (https://security.microsoft.com/intel-profiles/ 79270601AAC97D735449F7463A8CB0D06D3F117D4C29CDB83), [Octo Tempest] (https://security.microsoft.com/ Intel-Profiles / 205381037ed05d275251862061dd923309ac9ecdc2a9951d7c344d890a61101a), et [manatee tempest] ( 7936BFA9CF8B58AD9F55B7987F7F3B390F4FC).Les acteurs ransomeware ciblent ESXiHyperviseurs en raison de sa popularité au sein des enrivons de coprorisation et de la possibilité pour les acteurs ransomeware de faciliter l'impact de cryptage de masse en quelques clics.De plus, il permet aux opérateurs de ransomware de fonctionner sous le radar d'un SOC en raison d'une visiabité limitée et de la capacité de se déplacer latéralement.Les chercheurs de Microsoft Seurty ont identifié trois méthodes d'exploitation: l'ajout du groupe «Admins ESX» au domaine et l'ajout d'un utilisateur, de renommer n'importe quel groupe dans le domaine aux «administrateurs ESX» et d'ajouter un utilisateur au groupe ou d'utiliser un membre existant du groupe existantet mener une rafraîchissement des privilèges d'hyperviseur ESXi.L'utilisation de cette technique a conduit à [akira,] (https://security.microsoft.com/intel-profiles/eb747f064dc5702e50e28b63e4c74ae2e6ae19ad7de416902e9986777b4ad72ff) [blacK BASTA] (https://security.microsoft.com/intel-profiles/0146164ed5ffa131074fa7e985f779597d2522865baa088f25cd80c3d8d726), Babuk, Lockbit, AND Kuiper Ransomware Deployments.Le nombre d'engagements de réponse aux incidents de Microsoft impliquant des attaques d'hyperviseur ESXi a plus que doublé au cours des trois dernières années.En savoir plus sur CVE-2024-307085. En savoir plus sur CVE-2024-37085 [ici] (https://security.microsoft.com/intel-profiles/cve-2024-37085). ## Détections / requêtes de chasse ** Microsoft Defender pour le point de terminaison ** Le défenseur Microsoft suivant pour l'alerte de point final peut indiquer une activité de menace associée: - Modifications suspectes au groupe d'administrateurs ESX Les alertes suivantes pourraient également indiquer une activité de menace liée à cette menace.Notez cependant que ces alertes peuvent également être déclenchées par une activité de menace non liée: - Un nouveau groupe a ajo | Ransomware Vulnerability Threat | ★★★ | |
|
2024-08-01 15:51:01 | (Déjà vu) Dangers invisibles qui se cachent derrière Evasive SecureServer.NET URL Unseen Dangers Lurking Behind Evasive Secureserver.net URLs (lien direct) |
#### Géolocations ciblées - Le Portugal - Espagne - L'Amérique centrale et les Caraïbes - Amérique du Sud #### Industries ciblées - Services financiers ## Instantané Des chercheurs de X-Labs ont identifié une campagne ciblant les grandes organisations financières dans le monde, avec un accent spécifique sur les régions espagnoles et portugais, en particulier l'Amérique latine. ## Description Les acteurs de la menace utilisent le domaine net SecureServer \ [. \] Pour distribuer des chevaux de Troie bancaires via des URL géoloyantes intégrées dans les e-mails.Lors de l'accès à l'URL, un fichier d'archive est supprimé, lançant une série d'activités qui conduisent finalement à l'injection de processus dans la mémoire du système.Le malware est conçu pour échapper à la détection en vérifiant la langue du système, l'emplacement et d'autres variables environnementales.Après une exécution réussie, il se connecte aux serveurs de commandement et de contrôle malveillants, de vol d'informations sensibles et d'utiliser des techniques de phishing. ## Analyse supplémentaire Les acteurs de la menace personnalisent souvent les chevaux de Troie bancaires pour cibler des pays ou des régions spécifiques en raison de plusieurs facteurs: - Langue et localisation: les cybercriminels élaborent leurs e-mails de phishing et leurs logiciels malveillants pour correspondre à la langue et aux nuances culturelles du pays cible, augmentant leurs chances de succès. - Environnement réglementaire: les pays diffèrent dans leurs niveaux de réglementation et d'application de la cybersécurité.Les attaquants ciblent souvent les pays avec des défenses de cybersécurité plus faibles ou des réglementations plus indulgentes. - Infrastructure bancaire: Certains pays peuvent avoir des systèmes bancaires moins sûrs ou des applications bancaires populaires plus sensibles à l'exploitation. - Facteurs économiques: les nations ayant une plus grande activité économique et la richesse sont des objectifs plus lucratifs, offrant un potentiel plus élevé de rendements financiers. - Succès antérieur: les cybercriminels peuvent persister à cibler un pays où ils ont déjà réussi, améliorant continuellement leurs méthodes en fonction des stratégies efficaces passées. ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/en-us/defender-endpoint/linux-preférences) dans Microsoft Defender Antivirus ou l'équivalent de votre produit antivirus pour couvrir rapidement les outils d'attaquant en évolution et et et les outils d'attaquant en évolution rapide ettechniques.Les protections d'apprentissage automatique basées sur le cloud bloquent la majorité des menaces nouvelles et inconnues. - Exécuter [EDR en mode bloc] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-block-mode?view=o365-worldwide?ocid=Magicti_TA_LearnDoc)Le défenseur du point final peut bloquer les artefacts malveillants, même lorsque votre antivirus non microsoft ne détecte pas la menace ou lorsque Microsoft Defender Antivirus fonctionne en mode passif.EDR en mode bloc fonctionne dans les coulisses pour corriger les artefacts malveillants qui sont détectés post-abri. - Autoriser [Investigation and Remediation] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/automated-investigations?view=o365-worldwide?ocid=Magicti_TA_LearnDoc) en mode automatisé complet pour permettre à Microsoft DefenderPour que le point final prenne des mesures immédiates sur les alertes pour résoudre les violations, réduisant considérablement le volume d'alerte. - [Activé] (https://learn.microsoft.com/en-us/defender-endpoint/enable-ctrelled-folders) Accès aux dossiers contrôlés. - Assurez-vous que [Protection de stimulation] (https://learn.microsoft.com/en-us/defender-e | Ransomware Malware Tool Threat Legislation | ★★★ | |
|
2024-08-01 01:09:55 | Sceau de menthe: une étude complète d'un voleur d'informations basé sur un python Mint Stealer: A Comprehensive Study of a Python-Based Information Stealer (lien direct) |
## Snapshot Researchers at Cyfirma have identified Mint Stealer, an [information-stealing malware](https://sip.security.microsoft.com/intel-profiles/2296d491ea381b532b24f2575f9418d4b6723c17b8a1f507d20c2140a75d16d6) operating within a malware-as-a-service (MaaS) framework. Mint Stealer is designed to covertly exfiltrate a wide-range of sensitive data from compromised systems, including web browser data, cryptocurrency wallet details, gaming credentials, VPN client information, messaging app data, FTP client data, and more. ## Description Mint-stealer\'s capabilities include capturing system information, detecting debuggers and analysis tools, continuously capturing clipboard data through PowerShell commands, encrypting exfiltrated data, and communicating with its C2 server for updates and instructions. Mint Stealer is created using the Nuitka Python compiler and relies on Python dynamic modules to support its functionality. The initial payload acts as a dropper, with the main payload hidden in a compressed form within the resources section of the executable. It uploads stolen data to free file-sharing websites and communicates with its command-and-control server (C2) for updates and instructions. The threat actor behind Mint Stealer is associated with another malware-selling website, cashout\[.\]pw, and offers hosting services that do not respect DMCA requests. ## Microsoft Analysis In recent years, Microsoft has tracked the growing risk that infostealers pose to enterprise security. Infostealers are commodity malware used to steal information from a target device and send it to the threat actor. The popularity of this class of malware led to the emergence of an infostealer ecosystem and a new class of threat actors who leveraged these capabilities to conduct their attacks. Often, infostealers are advertised as a malware as a service (MaaS) offering – a business model where the developers lease the infostealer payload to distributers for a fee. The new class of actors enabled by the infostealer ecosystem demonstrate that it is possible to gain initial access to an organization with minimal native malware development skills, by purchasing tools already available. Information stealers are versatile and can be distributed in various forms including through phishing email campaigns, malvertising, and trojanized software, games and tools. They can target a range of information like session tokens and cookies, saved passwords, financial information, and credentials for internet-facing systems and applications. ## Detections/Hunting Queries ### Microsoft Defender Antivirus Microsoft Defender Antivirus detects threat components as the following malware: - Trojan:Win32/Casdet ### Microsoft Defender for Endpoint Alerts with the following titles in the security center can indicate threat activity on your network: - Information stealing malware activity ## Recommendations Microsoft recommends the following mitigations to reduce the impact of this threat. Check the recommendations card for the deployment status of monitored mitigations. - Check your Office 365 email filtering settings to ensure you block spoofed emails, spam, and emails with malware. Use [Microsoft Defender for Office 365](https://learn.microsoft.com/microsoft-365/security/office-365-security/defender-for-office-365?ocid=magicti_ta_learndoc) for enhanced phishing protection and coverage against new threats and polymorphic variants. Configure Microsoft Defender for Office 365 to [recheck links on click](https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-links-about?ocid=magicti_ta_learndoc) and [delete sent mail](https://learn.microsoft.com/microsoft-365/security/office-365-security/zero-hour-auto-purge?ocid=magicti_ta_learndoc) in response to newly acquired threat intelligence. Turn on [safe attachments policies](https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-attachments-policies-configure?ocid=magic | Ransomware Spam Malware Tool Threat Studies | ★★★ | |
|
2024-07-31 22:40:07 | Rapport trimestriel de la cyber-menace: MITER ATT & CK Framework Trends in Osint (avril 2024 & # 8211; juin 2024) Quarterly cyber threat report: MITRE ATT&CK framework trends in OSINT (April 2024 – June 2024) (lien direct) |
## Snapshot This report presents an analysis of recent trends in cyber threats based on 111 articles published by threat researchers across the security community between April and June 2024. These articles are curated by Microsoft Threat Intelligence from across a number of trusted sources and included in Microsoft Defender Threat Intelligence as open source intelligence (OSINT) articles. The analysis focuses on the nearly 1,000 MITRE ATT&CK framework tags correlated to the content in each article. By distilling insights from these tags and the related intelligence, we can highlight prevalent tactics, techniques, and procedures (TTPs) observed in the cyber security landscape over the past quarter. This dataset is not exhaustive but represents a curated set of most high-profile cyber threat intelligence reporting from across the security community. When prioritizing cyber security efforts, it\'s essential to understand the trending TTPs observed in the wild. This knowledge helps defenders make informed decisions about the most effective strategies to implement, especially where to focus engineering efforts and finite resources. ## Activity Overview - **Initial access: Phishing**: Phishing remains a prevalent initial access method, mentioned in a third of reports, including spear-phishing attachments and links. The persistence of this technique underscores its effectiveness and the ongoing need for robust user education and email security measures. - **Defense evasion: Obfuscated files or information:** Over a third of reports highlighted the use of obfuscation techniques, such as dynamic API resolution and steganography, to evade detection. This trend is likely underpinned by factors such as the cybercrime market for obfuscating even basic credential theft malware as well as the growing sophistication in some malware to bypass traditional security measures. - **Command and control: Ingress tool transfer:** Ingress tool transfer was the most frequently referenced technique, involving the transfer of tools from an external system to a compromised one. Key threats driving the prevalence of this tactic included an increase in OSINT reporting on threat actors misusing the ms-appinstaller URI scheme (App Installer) to distribute malware. - **Execution: Command and scripting interpreter/PowerShell:** Execution through PowerShell was prominent, continuing its trend of broad adoption in attacks over the past decade. The widespread adoption of PowerShell to launch malicious code is in part due to numerous toolkits that have been developed to allow quick deployment of a wide range of attacks. - **Exfiltration: Exfiltration over C2 channel:** The most commonly referenced exfiltration method was over the command-and-control (C2) channel, highlighting the critical need for network monitoring and anomaly detection to identify and mitigate data breaches. The frequent reports on infostealers such as Lumma and DarkGate-commodity malware used to steal information from a target device and send it to the threat actor-are likely key drivers of this MITRE tag\'s prominence. - **Impact: Data encrypted for impact:** Ransomware involving data encryption was the most frequently observed impact technique, with LockBit and other groups exploiting vulnerabilities. The use of Bring Your Own Vulnerable Driver (BYOVD) tactics, such as Warp AV Killer, remained common. #### Initial access: Phishing Phishing remains a significant initial access method in open-source research, with a third of the reports mentioning its use. This includes both spear-phishing attachments and spear-phishing links. Phishing involves deceptive attempts to trick individuals into divulging sensitive information or installing malicious software, often through seemingly legitimate emails. The persistence of this technique underscores its effectiveness and the ongoing need for robust user education and email security measures. Phishing remains a dominant method for initial access in cyber threat landscapes due to its effective | Ransomware Spam Malware Tool Vulnerability Threat Legislation Prediction Cloud | ★★★ | |
|
2024-07-31 21:17:43 | (Déjà vu) «Echospoofing» - une campagne de phishing massive exploitant la protection par e-mail de Proofpoint \\ pour envoyer des millions de courriels parfaitement usurpés “EchoSpoofing” - A Massive Phishing Campaign Exploiting Proofpoint\\'s Email Protection to Dispatch Millions of Perfectly Spoofed Emails (lien direct) |
## Snapshot In a coordinated report, Guardio Labs and Proofpoint detailed spam campaigns, which exploited weak permissions in Proofpoint\'s email protection service to send millions of spoofed emails impersonating major entities like Disney, Nike, IBM, and Coca-Cola to Fortune 100 companies. ## Description The campaign, which began in January 2024, involved an average of 3 million spoofed emails per day, peaking at 14 million emails in early June. Threat actors utilized their own SMTP (Simple Mail Transfer Protocol) servers to create spoofed emails with manipulated headers and relayed them through compromised or rogue Microsoft Office 365 accounts via Proofpoint\'s relay servers. As of July 30th, Guardio Labs reported that a number of the Microsoft accounts have been removed. The attackers leveraged Virtual Private Servers (VPS) hosted by OVHCloud and Centrilogic, as well as various domains registered through Namecheap to conduct the campaign. Proofpoint assesses that this activity was likely conducted by one actor, who is currently unknown. The phishing emails were designed to steal sensitive personal information and incur unauthorized charges, and they passed SPF and DKIM checks, allowing them to bypass spam filters and reach recipients\' inboxes. Proofpoint, after being notified by Guardio Labs, tightened security measures and provided new settings and advice to mitigate these attacks. ## Recommendations Microsoft recommends the following mitigations to reduce the impact of this threat. - Turn on [cloud-delivered protection](https://learn.microsoft.com/en-us/defender-endpoint/linux-preferences) in Microsoft Defender Antivirus or the equivalent for your antivirus product to cover rapidly evolving attacker tools and techniques. Cloud-based machine learning protections block a majority of new and unknown threats. - Run [EDR in block mode](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-block-mode?view=o365-worldwide?ocid=magicti_ta_learndoc) so that Microsoft Defender for Endpoint can block malicious artifacts, even when your non-Microsoft antivirus does not detect the threat or when Microsoft Defender Antivirus is running in passive mode. EDR in block mode works behind the scenes to remediate malicious artifacts that are detected post-breach. - Allow [investigation and remediation](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/automated-investigations?view=o365-worldwide?ocid=magicti_ta_learndoc) in full automated mode to allow Microsoft Defender for Endpoint to take immediate action on alerts to resolve breaches, significantly reducing alert volume. - [Enable](https://learn.microsoft.com/en-us/defender-endpoint/enable-controlled-folders) controlled folder access. - Ensure that [tamper protection](https://learn.microsoft.com/en-us/defender-endpoint/prevent-changes-to-security-settings-with-tamper-protection#how-do-i-configure-or-manage-tamper-protection) is enabled in Microsoft Defender for Endpoint. - Enable [network protection](https://learn.microsoft.com/en-us/defender-endpoint/enable-network-protection) in Microsoft Defender for Endpoint. - Follow the credential hardening recommendations in the [on-premises credential theft overview](https://security.microsoft.com/threatanalytics3/9382203e-5155-4b5e-af74-21562b1004d5/analystreport) to defend against common credential theft techniques like LSASS access. - [Enable](https://learn.microsoft.com/en-us/defender-endpoint/attack-surface-reduction-rules-reference#block-credential-stealing-from-the-windows-local-security-authority-subsystem) LSA protection. - Microsoft Defender XDR customers can turn on the following [attack surface reduction rule](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/attack-surface-reduction) to prevent common attack techniques used for ransomware. - - [Block](https://learn.microsoft.com/en-us/defender-endpoint/attack-surface-reduction-rules-reference#block-executable-content-from-email-client-and-webmai | Ransomware Spam Tool Threat | ★★★ | |
|
2024-07-31 20:02:49 | (Déjà vu) Socgholish malware attaquant les utilisateurs de Windows à l'aide d'une fausse mise à jour du navigateur SocGholish Malware Attacking Windows Users Using Fake Browser Update (lien direct) |
## Snapshot GData Software analysts found that the [SocGholish](https://security.microsoft.com/intel-profiles/7e30959d011aa33939afaa2477fd0cd097cee346fa3b646446a6b1e55f0c007f) malware, favored by threat groups like Evil Corp (tracked by Microsoft as [Manatee Tempest](https://security.microsoft.com/intel-profiles/1b66d1619b5365957ba8c785bfd7936bfa9cf8b58ad9f55b7987f7f3b390f4fc)) and TA569 (tracked by Microsft as [Mustard Tempest](https://security.microsoft.com/intel-profiles/79a9547522d81fe6c1f5e42d828009656892f3976c547360db52c33f0ba16db9)), is actively targeting Windows users with fake browser updates. ## Description This complex JavaScript downloader uses drive-by download techniques to silently install malware on user machines. It has evolved to exploit vulnerable WordPress plugins using the Keitaro traffic distribution system, with its infrastructure traced to Russian-hosted servers. The malware employs advanced techniques such as user profiling, browser fingerprinting, and fake browser update pages as lures. Potential payloads associated with SocGholish include backdoors, information stealers, remote access Trojans, and ransomware. Recent infections indicate the use of PowerShell scripts for persistence on compromised systems, enhancing its adaptability and evasion capabilities. ## Microsoft Analysis Microsoft researchers have investigated multiple incidents involving fake software updates served by the SocGholish malware distribution framework. [SocGholish](https://security.microsoft.com/intel-profiles/7e30959d011aa33939afaa2477fd0cd097cee346fa3b646446a6b1e55f0c007f) is an attack framework that malicious attackers have used since at least 2020. The attacker framework entices users to install fake software updates that eventually let attackers infiltrate target organizations. SocGholish can be tweaked to deliver any payload an attacker chooses. Threat actors [Mustard Tempest](https://security.microsoft.com/intel-profiles/79a9547522d81fe6c1f5e42d828009656892f3976c547360db52c33f0ba16db9?tab=tradeCraft) and [Manatee Tempest](https://security.microsoft.com/intel-profiles/1b66d1619b5365957ba8c785bfd7936bfa9cf8b58ad9f55b7987f7f3b390f4fc) use SocGholish/FakeUpdates as their primary technique to gain intial access. ## Detections/Hunting Queries Microsoft Defender Antivirus detects threat components as the following malware: - [TrojanDownloader:JS/FakeUpdates](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=TrojanDownloader:JS/FakeUpdates.J&threatId=-2147133367?ocid=magicti_ta_ency) - [Behavior:Win32/FakeUpdates](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Behavior:Win32/FakeUpdates.A&threatId=-2147140656?ocid=magicti_ta_ency) - [Trojan:JS/FakeUpdate](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Trojan:JS/FakeUpdate.C) - [Behavior:Win32/Socgolsh](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Behavior:Win32/Socgolsh.SB&threatId=-2147152249?ocid=magicti_ta_ency) - [TrojanDownloader:JS/SocGholish](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=TrojanDownloader:JS/SocGholish!MSR&threatId=-2147135220?ocid=magicti_ta_ency) - [Trojan:JS/Socgolsh.A](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Trojan:JS/Socgolsh.A) - [Behavior:Win32/Socgolsh.SB](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Behavior:Win32/Socgolsh.SB) - [Trojan:Win32/Blister](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Trojan:Win32/Blister.A&threatId=-2147152044?ocid=magicti_ta_ency) - [Trojan:Win64/Blister](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Trojan:Win64/Blister.A&threatId=-2147153518?ocid=magicti_ta_ency) - [Behavior:Win32/SuspRclone](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Behavior:Win32/Sus | Ransomware Malware Tool Threat | ★★★ | |
|
2024-07-31 18:17:54 | (Déjà vu) Donot APT GROUP ciblant le Pakistan Donot APT Group Targeting Pakistan (lien direct) |
#### Targeted Geolocations - United States - Eastern Europe - Northern Europe - Western Europe - Southern Europe - Central Asia - East Asia - South Asia - Southeast Asia #### Targeted Industries - Government Agencies & Services - Information Technology - Defense Industrial Base ## Snapshot Rewterz published a profile on APT-C-35, also known as the Donot APT group, a cyber espionage group active since at least 2013. ## Description The Donot APT group is known to target government and military organizations, as well as companies in the aerospace, defense, and high-tech industries. Their activities have been observed in several regions, including the United States, Europe, and Asia. The Donot group\'s motivations are information theft and espionage. The group is known for targeting Pakistani users with Android malware named StealJob, disguised under the name “Kashmiri Voice” to steal confidential information and intellectual property. In July 2022, they used Comodo\'s certificate to sign their spyware, demonstrating their high level of technical skill. The Donot APT group employs various tactics such as spear-phishing emails, malware, and custom-developed tools, often using third-party file-sharing websites for malware distribution. They are well-funded and use sophisticated techniques to evade detection, including encryption and file-less malware. ## Additional Analysis According to a number of additional sources, Donot group is likely [linked to the Indian government](https://socradar.io/apt-profile-apt-c-35-donot-team/). Initial access to victim environments is typically achieved through phishing campaigns and the group has been observed exploiting vulnerabilities in Microsoft Office, including [CVE-2018-0802](https://security.microsoft.com/intel-explorer/cves/CVE-2018-0802/), [CVE-2017-0199](https://security.microsoft.com/intel-explorer/cves/CVE-2017-0199/), and [CVE-2017-8570](https://security.microsoft.com/intel-explorer/cves/CVE-2017-8570/). Donot group is a persistent and consistent actor. [ESET researchers](https://www.welivesecurity.com/2022/01/18/donot-go-do-not-respawn/) note the group is known to repeatedly attacks the same target, even if they are removed fromt he victim environment. In some cases, the Donot group launched spearphishing campaigns against targets every two to four months. ## Recommendations Microsoft recommends the following mitigations to reduce the impact of this threat. - Turn on [cloud-delivered protection](https://learn.microsoft.com/en-us/defender-endpoint/linux-preferences) in Microsoft Defender Antivirus or the equivalent for your antivirus product to cover rapidly evolving attacker tools and techniques. Cloud-based machine learning protections block a majority of new and unknown threats. - Run [EDR in block mode](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-block-mode?view=o365-worldwide?ocid=magicti_ta_learndoc) so that Microsoft Defender for Endpoint can block malicious artifacts, even when your non-Microsoft antivirus does not detect the threat or when Microsoft Defender Antivirus is running in passive mode. EDR in block mode works behind the scenes to remediate malicious artifacts that are detected post-breach. - Allow [investigation and remediation](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/automated-investigations?view=o365-worldwide?ocid=magicti_ta_learndoc) in full automated mode to allow Microsoft Defender for Endpoint to take immediate action on alerts to resolve breaches, significantly reducing alert volume. - [Enable](https://learn.microsoft.com/en-us/defender-endpoint/enable-controlled-folders) controlled folder access. - Ensure that [tamper protection](https://learn.microsoft.com/en-us/defender-endpoint/prevent-changes-to-security-settings-with-tamper-protection#how-do-i-configure-or-manage-tamper-protection) is enabled in Microsoft Defender f | Ransomware Malware Tool Vulnerability Threat Mobile Industrial Technical | ★★★ | |
|
2024-07-31 16:40:35 | (Déjà vu) Phishing targeting Polish SMBs continues via ModiLoader (lien direct) | #### Géolocations ciblées - Pologne - Roumanie - Italie ## Instantané Des chercheurs de l'ESET ont détecté des campagnes de phishing généralisées ciblant les petites et moyennes entreprises (PME) en Pologne, en Roumanie et en Italie en mai 2024. ## Description Les campagnes visant à distribuer diverses familles de logiciels malveillants, y compris les remcos à distance à distance (rat), [agent Tesla] (https://security.microsoft.com/intel-profiles/0116783AB9DA099992EC014985D7C56BFE2D8C360C6E7DD6CD39C8D6555555538) et FormBook) et Forme Modiloader (également connu sous le nom de dbatloader).Cela marque un changement de tactique comme dans les campagnes précédentes, les acteurs de la menace ont exclusivement utilisé l'accryptor pour offrir des charges utiles de suivi. Dans les campagnes les plus récentes, les attaquants ont utilisé précédemment les comptes de messagerie et les serveurs d'entreprise pour diffuser des e-mails malveillants, héberger des logiciels malveillants et collecter des données volées.Les e-mails de phishing contenaient des pièces jointes avec des noms comme RFQ8219000045320004.TAR ou ZAM & OACUTE; WIENIE \ _NR.2405073.IMG, qui ont été utilisés pour livrer Modiloader.Une fois lancé, Modiloader a téléchargé et exécuté la charge utile finale, qui variait entre les différentes campagnes.Les attaquants ont exfiltré des données utilisant différentes techniques, y compris SMTP et des serveurs Web compromis. ## Détections / requêtes de chasse ** Microsoft Defender Antivirus ** Microsoft Defender Antivirus détecte les composants de la menace comme le malware suivant: - [Trojan: Win32 / Modiloader] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=trojan:win32/modiloader) - [Backdoor: JS / REMCOS] (https://www.microsoft.com/en-us/wdsi/thereats/malware-encycopedia-dercription?name=backDoor:js/remcos) - [Backdoor: MSIL / REMCOS] (https://www.microsoft.com/en-us/wdsi/terats/malware-encycopedia-description?name=backdoor: MSIL / REMCOS) - [Backdoor: Win32 / Remcos] (https://www.microsoft.com/en-us/wdsi/terats/malware-encycopedia-dEscription? Name = Backdoor: Win32 / Remcos) - [Trojan: Win32 / Remcos] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-d-dEscription? Name = Trojan: Win32 / Remcos) - [Trojan: win32 / agenttesla] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-description?name=trojan:win32/agenttesla) - [Trojanspy: MSIL / AgentTesla] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=trojanspy:mil/agenttesla) - [Trojandownloader: MSIL / FormBook] (https://www.microsoft.com/en-us/wdsi/Threats/Malware-encyClopedia-Description?name=trojandownher:mil/formBook.kan!mtb&agne ;Threatid=-2147130651&ocid = magicti_ta_ency) ## Recommandations Microsoft recommande les atténuations suivantes to Réduire l'impact de cette menace. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/en-us/defender-endpoint/linux-preférences) dans Microsoft Defender Antivirus ou l'équivalent de votre produit antivirus pour couvrir rapidement les outils d'attaquant en évolution et et et les outils d'attaquant en évolution rapide ettechniques.Les protections d'apprentissage automatique basées sur le cloud bloquent la majorité des menaces nouvelles et inconnues. - Exécuter [EDR en mode bloc] (https: //learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-lock-mode?view=o365-worldwide?ocid=Magicti_TA_LearnDoc) So que Microsoft Defender pour le point final peut bloquer les artefacts malveillants, même lorsque votre antivirus non microsoft ne détecte pas la menace ou lorsque Microsoft Defender Antivirus fonctionne en mode passif.EDR en mode bloc fonctionne dans les coulisses pour corriger les artefacts malveillants qui sont détectés post-abri. - Autoriser [Investigation and Remediation] (https://learn.microsoft.com/microsoft-365/security/defen | Ransomware Malware Tool Threat | ★★★ | |
|
2024-07-31 15:03:11 | Les fausses mises à jour du navigateur déploient un logiciel Asyncrat et malveillant BOINC Fake Browser Updates Deploy AsyncRAT and Malicious BOINC Software (lien direct) |
## Snapshot Researches at Huntress identified new behaviors associated with SocGholish, or FakeUpdates, malware. Typically, infections start when a user visits a compromised website and downloads a fake browser update, which executes malicious code to download further malware. . ## Description Initial access involves a malicious JavaScript file that downloads subsequent stages of the attack. In this case, two separate chains were identified: one leading to a fileless AsyncRAT installation and the other to a malicious BOINC (Berkeley Open Infrastructure Network Computing Client) installation. The AsyncRAT chain involved several stages with obfuscated PowerShell scripts and anti-VM techniques, eventually leading to a connection to a command and control (C2) server. The BOINC chain involved dropping multiple files, creating directories and scheduled tasks, and renaming executables to disguise their malicious intent. The BOINC software, typically used for legitimate distributed computing projects, was configured to connect to malicious servers, enabling threat actors to collect data and execute tasks on infected hosts. Persistence was maintained through scheduled tasks, and the use of BOINC in this context is relatively unusual. Both chains showed similarities with previous SocGholish activities, such as using fake browser updates and PowerShell scripts. The new campaigns utilized recently registered domains and shared infrastructure noted by other security researchers. ## Microsoft Analysis Microsoft researchers have investigated multiple incidents involving fake software updates served by the SocGholish malware distribution framework. [SocGholish](https://security.microsoft.com/intel-profiles/7e30959d011aa33939afaa2477fd0cd097cee346fa3b646446a6b1e55f0c007f) is an attack framework that malicious attackers have used since at least 2020. The attacker framework entices users to install fake software updates that eventually let attackers infiltrate target organizations. SocGholish can be tweaked to deliver any payload an attacker chooses. Threat actor, [Mustard Tempest](https://security.microsoft.com/intel-profiles/79a9547522d81fe6c1f5e42d828009656892f3976c547360db52c33f0ba16db9?tab=tradeCraft), uses SocGholish/FakeUpdates as their primary technique to gain intial access. Find out more about Mustard Tempest including indicators [here](https://security.microsoft.com/intel-profiles/79a9547522d81fe6c1f5e42d828009656892f3976c547360db52c33f0ba16db9?tab=description). [AsyncRAT](https://sip.security.microsoft.com/intel-profiles/e9216610feb409dfb620b28e510f2ae2582439dfc7c7e265815ff1a776016776) is a remote access tool (RAT) that allows a user to control a remote computer. It is designed to evade detection and is often used by attackers to gain unauthorized access to a victim\'s system. AsyncRAT is written in .NET and is capable of running on Windows machines. It can perform various malicious activities such as keylogging, file stealing, and ransomware deployment. Its name comes from its use of asynchronous programming techniques, which allow it to carry out multiple tasks simultaneously without blocking the program\'s main thread. Mirosoft researchers track the AsyncRAT portion of this attack to threat actor, [Storm-0426](https://security.microsoft.com/intel-profiles/2ef8bd6a2aa00638707e7eba5e86040ba0d88c4c0da6ad7bb0c95a8999e2af83). ## Detections/Hunting Queries #### Microsoft Defender Antivirus Microsoft Defender Antivirus detects threat components as the following malware: - [Trojan:JS/Socgolsh.A](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Trojan:JS/Socgolsh.A) - Trojan:JS/FakeUpdate.C - Trojan:JS/FakeUpdate.B - Behavior:Win32/Socgolsh.SB #### Microsoft Defender for Endpoint Alerts with the following titles in the security center can indicate threat activity on your network: - SocGholish command-and-control - Suspicious \'Socgolsh\' behavior was blocked The following aler | Ransomware Malware Tool Threat | ★★★ | |
|
2024-07-30 21:34:07 | Rapport d'analyse technique des ransomwares Azzasec AzzaSec Ransomware Technical Analysis Report (lien direct) |
#### Géolocations ciblées - Israël - Ukraine ## Instantané Des chercheurs de ThreatMon ont publié un rapport sur Azzaseec Ransomware, A Ransomware As a Service (RAAS), développé par le groupe Azzasec Hacktivist. ## Description Utilisé par le groupe lui-même et vendu à d'autres acteurs de menace en tant que RAAS, les ransomwares azzasec ont été livrés via une attachement de phishing et via des serveurs Windows distants infectés.Une fois qu'Azzasec infecte un système cible, il peut chiffrer 120 formats de fichiers différents et supprime des points de restauration pour empêcher les victimes de pouvoir restaurer leur système à une date de pré-infection. ThreatMon évalue que le groupe Azzasec Hactivist a été fondé en février 2024 et a des motivations financières.Les analystes suggèrent que le groupe est basé en Italie, mais aligné avec la Russie, et collabore avec le groupe de menaces russes APT44.Le groupe et ses ransomwares sont une menace pour l'Ukraine, Israël et leurs alliés. ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace.Vérifiez la carte de recommandations pour l'état de déploiement des atténuations surveillées. - durcir les actifs orientés Internet et identifier et sécuriser les systèmes de périmètre que les attaquants pourraient utiliser pour accéder au réseau.Interfaces de numérisation publique, telles que [Microsoft Defender External Attack Surface Management] (https://www.microsoft.com/security/business/cloud-security/microsoft-defender-extern-attack-surface-management?ocid=Magicti_TA_ABBReviatedMkTgpage),,,,,,peut être utilisé pour augmenter les données.Le tableau de bord du résumé de la surface d'attaque fait face à des actifs, tels que les serveurs d'échange, qui nécessitent des mises à jour de sécurité et fournissent des étapes de remédiation recommandées. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-lock-at-first-sight-microsoft-defender-asvirus?ocid=magicti_ta_learndoc)Dans Microsoft Defender Antivirus ou l'équivalent pour que votre produit antivirus couvre des outils et techniques d'attaquant en évolution rapide.Les protections d'apprentissage automatique basées sur le cloud bloquent une majorité de variantes nouvelles et inconnues. - Exécuter [Détection et réponse de point de terminaison (EDR) en mode bloc] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-lock-mode?ocid=Magicti_ta_learndoc) pour ce défenseurPour le point final, peut bloquer les artefacts malveillants, même lorsque votre antivirus non microsoft ne détecte pas la menace ou lorsque Microsoft Defender Antivirus fonctionne en mode passif.EDR en mode bloc fonctionne dans les coulisses pour corriger les artefacts malveillants détectés après la lutte. - Allumez [Protection Tamper] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/prevent-changes-to-security-settings-with-tamper-protection?ocid=Magicti_TA_LearnDoc).Empêcher les attaquants d'empêcher les services de sécurité. - Activer [Investigation and Remediation] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/automated-investigations?ocid=Magicti_TA_Learndoc) en mode entièrement automatisé pour permettre au Defender pour le point de terminaison de prendre des mesures immédiates sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate surAlertes pour résoudre les violations, réduisant considérablement le volume d'alerte. - Lire Microsoft \'s [Présentation des menaces de ransomware] (https: // secUrity.microsoft.com/Thereatanalytics3/05658B6C-DC62-496D-AD3C-C6A795A33C27/analyStre | Ransomware Tool Threat Technical | ★★ | |
|
2024-07-30 18:39:52 | Des pirates qui attaquent les utilisateurs à la recherche de formulaire W2 Hackers Attacking Users Searching For W2 Form (lien direct) |
## Instantané Une campagne malveillante a été découverte le 21 juin 2024, qui cible les utilisateurs à la recherche de formulaires W2.Ce fichier a exécuté un programme d'installation MSI, laissant tomber une DLL Brute Ratel Badger dans l'AppData de l'utilisateur \\.Le framework Brute Ratel a ensuite téléchargé et inséré la porte dérobée Latrodectus, offrant aux acteurs de la menace une télécommande, des capacités de vol de données et la possibilité de déployer des charges utiles supplémentaires. ## Description L'attaquant a exploité les résultats de recherche de Bing pour rediriger les utilisateurs de la dameropia de domaine lookalike \ [. \] Com vers un faux site Web IRS hébergé sur grupotefex \ [. \] Com, en lançant un défi CAPTCHA qui a entraîné le téléchargement d'un fichier javascript malveillant hébergé sur leUn seau de stockage Google Firebase.Ce fichier a utilisé des techniques d'obscurcissement du code et un certificat d'authentification valide pour cacher sa nature malveillante et initier l'installation de packages MSI à partir d'URL spécifiés, ciblant potentiellement des systèmes avec des charges utiles malveillantes identiques.Cet événement est Similair à un événement du 25 juin 2024 impliquant "neuro.msi", observé par [Rapid7] (https://www.rapid7.com/blog/post/2024/07/24/malware-campaign-lures-Usgers-with-Fake-w2-forme /).Le programme d'installation MSI installe un fichier DLL nommé capisp.dll dans le dossier appdata / roaming de l'utilisateur et l'exécute à l'aide de rundll32.exe avec une exportation nommée «REMI».Le fichier capisp.dll initie une infection de logiciels malveillants en plusieurs étapes.Il contient des données cryptées qui, lorsqu'elles sont déchiffrées, révèlent un chargeur pour le [Brute Ratel Badger(BRC4)] (https://security.microsoft.com/intel-profiles/a09b8112881d2dead66c1b277c92ac586d9791e60b3b284ef303439a18d91786).Cette charge utilese connecte à plusieurs domaines de commande et de contrôle (C2) pour télécharger et injecter le malware Latrodectus dans explorateur.exe, qui communique ensuite avec plusieurs URL C2 supplémentaires. ## Analyse Microsoft Chaque année, la saison fiscale est une opportunité pour les acteurs de la menace de voler des informations sur des cibles.Cet événement montre que les acteurs de la menace continuent de tirer parti des attaques fiscales en dehors de la saison fiscale traditionnelle.Les acteurs de la menace utilisent des techniques comme la malvertisation et plusieurs types de tactiques de phishing.Les campagnes de phishing peuvent inclure des sites Web d'usurpation, des domaines d'homoglyphes et la personnalisation des liens pour faire appel aux utilisateurs.Plus tôt cette année, Microsoft a rendu compte des campagnes liées à la saison fiscale qui ont mis à profit ces techniques d'ingénierie sociale, pour inclure des leurres liés aux paiements comme les fausses notifications fiscales W-2 et W-9 et des fonctionnalités comme les captchas.Captchas peut rendre les attaques plus légitimes pour ses victimes en plus d'être utilisées pour déclencher la prochaine étape d'une attaque.Ces attaques peuvent entraîner le vol des diplômes liés financiers, le vol d'identité et la perte monétaire.Dans certains cas, l'attaque pourrait être utilisée pour prendre pied dans un environnement compromis pour les futures opportunités de ransomware. En savoir plus à ce sujet et les moyens de défendre contre les menaces centrées sur l'impôt [ici] (https://security.microsoft.com/intel-explorer/articles/5cfe2fe9). ## Détections / requêtes de chasse Microsoft Defender Antivirus détecte les composants de la menace comme le malware suivant: [Backdoor: win64 / bruteratel] (https://www.microsoft.com/en-us/wdsi/Threats/Malware-encyClopedia-dercription?name=backDoor:win64/bruteratel.a) [Trojan: Win64 / Bruteratel] (https: //www.microsoft.com/en-us/wdsi/therets/malware-encyclopedia-decription?name=trojan:win64/bruteratel.a) [Trojan: win64 / la | Ransomware Malware Threat | ★★★ | |
|
2024-07-30 17:42:47 | (Déjà vu) SideWinder Utilizes New Infrastructure to Target Ports and Maritime Facilities in the Mediterranean Sea (lien direct) | #### Targeted Geolocations - Pakistan - Egypt - Sri Lanka - Bangladesh - Myanmar - Nepal - Maldives #### Targeted Industries - Transportation Systems - Maritime Transportation ## Snapshot The BlackBerry Threat Research and Intelligence team has uncovered a new campaign by the nation-state threat actor SideWinder, also known as Razor Tiger and Rattlesnake, which has upgraded its infrastructure and techniques since mid-2023. ## Description The campaign targets ports and maritime facilities in the Indian Ocean and Mediterranean Sea, with specific focus on Pakistan, Egypt, and Sri Lanka initially, and expanding to Bangladesh, Myanmar, Nepal, and the Maldives. SideWinder employs spear-phishing emails using familiar logos and themes to lure victims into opening malicious documents, which exploit vulnerabilities in Microsoft Office to gain access to systems. The group\'s objective is believed to be espionage and intelligence gathering, consistent with its past campaigns targeting military, government, and business entities in South Asia. The malicious documents use visual bait, such as fake port authority letters, to provoke fear and urgency, leading victims to download malware. The documents exploit a known vulnerability ([CVE-2017-0199](https://security.microsoft.com/intel-explorer/cves/CVE-2017-0199/)) in Microsoft Office, relying on outdated or unpatched systems to deliver their payload. Once opened, the documents download additional malicious files that execute shellcode to ensure the system is not a virtual environment, before proceeding with further stages of the attack. The campaign\'s infrastructure includes the use of Tor nodes to mask network traffic and protective DNS data to evade detection. ## Detections/Hunting Queries ### Microsoft Defender Antivirus Microsoft Defender Antivirus detects threat components as the following malware: - [Exploit:O97M/CVE-2017-0199](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Exploit:O97M/CVE-2017-0199!MSR) - [Trojan:Win32/Casdet](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Trojan:Win32/Casdet!rfn) ## Recommendations Microsoft recommends the following mitigations to reduce the impact of this threat. - Turn on [cloud-delivered protection](https://learn.microsoft.com/en-us/defender-endpoint/linux-preferences) in Microsoft Defender Antivirus or the equivalent for your antivirus product to cover rapidly evolving attacker tools and techniques. Cloud-based machine learning protections block a majority of new and unknown threats. - Run [EDR in block mode](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-block-mode?view=o365-worldwide?ocid=magicti_ta_learndoc) so that Microsoft Defender for Endpoint can block malicious artifacts, even when your non-Microsoft antivirus does not detect the threat or when Microsoft Defender Antivirus is running in passive mode. EDR in block mode works behind the scenes to remediate malicious artifacts that are detected post-breach. - Allow [investigation and remediation](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/automated-investigations?view=o365-worldwide?ocid=magicti_ta_learndoc) in full automated mode to allow Microsoft Defender for Endpoint to take immediate action on alerts to resolve breaches, significantly reducing alert volume. - [Enable](https://learn.microsoft.com/en-us/defender-endpoint/enable-controlled-folders) controlled folder access. - Ensure that [tamper protection](https://learn.microsoft.com/en-us/defender-endpoint/prevent-changes-to-security-settings-with-tamper-protection#how-do-i-configure-or-manage-tamper-protection) is enabled in Microsoft Defender for Endpoint. - Enable [network protection](https://learn.microsoft.com/en-us/defender-endpoint/enable-network-protection) in Microsoft Defender for Endpoint. - Follow the credential hardening recom | Ransomware Malware Tool Vulnerability Threat | APT-C-17 | ★★★ |
|
2024-07-29 18:01:57 | Malicious Inauthentic Falcon Crash Reporter Installer Distributed to German Entity via Spearphishing Website (lien direct) | #### Géolocations ciblées - Allemagne ## Instantané Crowdsstrike Intelligence a identifié une tentative de sportinging offrant un faux installateur de reporter crash cowdsstrike via un site Web imitant une entité allemande. ## Description Le site a été enregistré le 20 juillet 2024, peu de temps après un problème de mise à jour du capteur Falcon CrowdStrike, et a utilisé JavaScript déguisé en jQuery pour télécharger et désobfusquer le programme d'installation.Ce programme d'installation, marqué de contenu Crowdsstrike et localisé en allemand, a nécessité un mot de passe pour l'installation.La page de phishing liée à un fichier zip contenant un installateur innosetup malveillant et affiché la marque de Crowdstrike \\ semble légitime. Le JavaScript a masqué son code malveillant dans un véritable code jQuery pour échapper à la détection.Lorsque l'utilisateur a cliqué sur le bouton de téléchargement, le site a exécuté une fonction pour télécharger un fichier exécutable portable déguisé.Le programme d'installation, qui est apparu le 20 juillet 2024, avait un horodatage aligné avec la mise à jour du capteur, suggérant l'utilisation de l'horodatage pour éviter la détection. Le programme d'installation a incité les utilisateurs à saisir un mot de passe spécifique "serveur backend", probablement connu uniquement des cibles, indiquant une attaque très ciblée.Crowdstrike Intelligence a évalué avec une grande confiance que les attaquants se sont concentrés sur les clients germanophones touchés par le problème du capteur Falcon et ont utilisé des techniques avancées antiformes, notamment l'enregistrement des sous-domaines sous un registraire légitime et le contenu des installateurs. ## Analyse supplémentaire Les acteurs du cybermenace exploitent les événements actuels pour perpétrer une activité malveillante car ces situations créent souvent de la confusion et de l'urgence, rendant les individus et les organisations plus vulnérables à la tromperie.Ils capitalisent sur l'intérêt accru et l'attention entourant de tels événements pour augmenter la probabilité que leurs tentatives de phishing et d'autres attaques réussissent.En alignant leurs campagnes malveillantes avec des incidents ou des mises à jour bien connues, les acteurs de la menace peuvent plus facilement masquer leurs intentions et attirer les victimes pour compromettre involontairement leur sécurité. Cette campagne de phishing ciblant les clients germanophones est le dernier exemple de cyberattaques exploitant le chaos de la mise à jour de Falcon de Crowdsstrike.Les rapports antérieurs d'activité malveillante lors des pannes incluent [les essuie-glaces de données réparties par le groupe hacktiviste pro-iranien handala] (https://www.bleepingcomputer.com/news/security/fake-crowdstrike-fixes-target-companies-with-malware-data-wipers/), [HijackLoader dropping Remcos Remote Access Trojan](https://x.com/anyrun_app/status/1814567576858427410) disguised as a CrowdStrike hotfix, and information stealer[Daolpu] (https://www.crowdstrike.com/blog/fake-recovery-manUAL-UND-TO-DIVER-UNDENDIFIED SECELER /) Se propager par des e-mails de phishing se faisant passer pour un outil de récupération. ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/en-us/defender-endpoint/linux-preférences) dans Microsoft Defender Antivirus ou l'équivalent de votre produit antivirus pour couvrir rapidement les outils d'attaquant en évolution et et et les outils d'attaquant en évolution rapide ettechniques.Les protections d'apprentissage automatique basées sur le cloud bloquent la majorité des menaces nouvelles et inconnues. - Exécuter [EDR en mode bloc] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-block-mode?view=o365-worldwide?ocid=Magicti_TA_LearnDoc)Le défenseur du point f | Ransomware Malware Tool Threat | ||
|
2024-07-29 10:58:35 | Weekly OSINT Highlights, 29 July 2024 (lien direct) | ## Snapshot Key trends from last week\'s OSINT reporting include novel malware, such as Flame Stealer and FrostyGoop, the compromise of legitimate platforms like Discord and GitHub, and state-sponsored threat actors conducting espionage and destructive attacks. Notable threat actors, including Russian groups, Transparent Tribe, FIN7, and DPRK\'s Andariel, are targeting a wide range of sectors from defense and industrial control systems to financial institutions and research entities. These attacks exploit various vulnerabilities and employ advanced evasion techniques, leveraging both traditional methods and emerging technologies like AI-generated scripts and RDGAs, underscoring the evolving and persistent nature of the cyber threat landscape. ## Description 1. [Widespread Adoption of Flame Stealer](https://sip.security.microsoft.com/intel-explorer/articles/f610f18e): Cyfirma reports Flame Stealer\'s use in stealing Discord tokens and browser credentials. Distributed via Discord and Telegram, this malware targets various platforms, utilizing evasion techniques like DLL side-loading and data exfiltration through Discord webhooks. 2. [ExelaStealer Delivered via PowerShell](https://sip.security.microsoft.com/intel-explorer/articles/5b4a34b0): The SANS Technology Institute Internet Storm Center reported a threat involving ExelaStealer, downloaded from a Russian IP address using a PowerShell script. The script downloads two PE files: a self-extracting RAR archive communicating with "solararbx\[.\]online" and "service.exe," the ExelaStealer malware. The ExelaStealer, developed in Python, uses Discord for C2, conducting reconnaissance activities and gathering system and user details. Comments in Russian in the script and the origin of the IP address suggest a Russian origin. 3. [FrostyGoop Disrupts Heating in Ukraine](https://sip.security.microsoft.com/intel-explorer/articles/cf8f8199): Dragos identified FrostyGoop malware in a cyberattack disrupting heating in Lviv, Ukraine. Linked to Russian groups, the ICS-specific malware exploits vulnerabilities in industrial control systems and communicates using the Modbus TCP protocol. 4. [Rhysida Ransomware Attack on Private School](https://sip.security.microsoft.com/intel-explorer/articles/4cf89ad3): ThreatDown by Malwarebytes identified a Rhysida ransomware attack using a new variant of the Oyster backdoor. The attackers used SEO-poisoned search results to distribute malicious installers masquerading as legitimate software, deploying the Oyster backdoor. 5. [LLMs Used to Generate Malicious Code](https://sip.security.microsoft.com/intel-explorer/articles/96b66de0): Symantec highlights cyberattacks using Large Language Models (LLMs) to generate malware code. Phishing campaigns utilize LLM-generated PowerShell scripts to download payloads like Rhadamanthys and LokiBot, stressing the need for advanced detection against AI-facilitated attacks. 6. [Stargazers Ghost Network Distributes Malware](https://sip.security.microsoft.com/intel-explorer/articles/62a3aa28): Check Point Research uncovers a network of GitHub accounts distributing malware via phishing repositories. The Stargazer Goblin group\'s DaaS operation leverages over 3,000 accounts to spread malware such as Atlantida Stealer and RedLine, targeting both general users and other threat actors. 7. [Crimson RAT Targets Indian Election Results](https://sip.security.microsoft.com/intel-explorer/articles/dfae4887): K7 Labs identified Crimson RAT malware delivered through documents disguised as "Indian Election Results." Transparent Tribe APT, believed to be from Pakistan, targets Indian diplomatic and defense entities using macro-embedded documents to steal credentials. 8. [AsyncRAT Distributed via Weaponized eBooks](https://sip.security.microsoft.com/intel-explorer/articles/e84ee11d): ASEC discovered AsyncRAT malware distributed through weaponized eBooks. Hidden PowerShell scripts within these eBooks trigger the AsyncRAT payload, which uses obfuscation and anti-detection techniques to exfiltrate data. | Ransomware Data Breach Spam Malware Tool Vulnerability Threat Legislation Mobile Industrial Medical | APT 28 APT 36 | |
|
2024-07-26 21:04:13 | Rhysida utilisant la porte dérobée Oyster pour fournir des ransomwares Rhysida using Oyster Backdoor to deliver ransomware (lien direct) |
#### Industries ciblées - Éducation ## Instantané Le menace de malwarebytes a identifié une récente attaque du gang de ransomware Rhysida, qui a utilisé une nouvelle variante de la porte dérobée Oyster, également connue sous le nom deBroomstick. Lire Microsoft \'s [Profil d'outil sur Rhysida Ransomware] (https://security.microsoft.com/intel-Profils / 54FA2B350E8F22DA059F8463E93142A39C18A30C5BA1B9F3A4631A4979A9B507) pour plus d'informations. ## Description Il s'agit d'une version mise à jour de la campagne Oyster rapportée par [Rapid7] (https://www.rapid7.com/blog/post/2024/06/17/malvertinging-campaign-leads-to-execution-of-oyster-Backdoor /) qui a utilisé des résultats de recherche de SEO-poisson pour tromper les utilisateurs dans le téléchargement des installateurs malveillants, se faisant passer pour des logiciels légitimes tels que Google Chrome et Microsoft, pour abandonner la porte dérobée Oyster. Cette attaque de la campagne mise à jour a ciblé une éminente école privée et a impliqué le déploiement de la porte dérobée Oyster sur un point de terminaison client, provenant probablement d'un scanner IP malveillant distribué par malvertising.Les attaquants ont accédé aux périphériques de stockage (NAS) attachés au réseau et au logiciel de machine virtuelle (VM) utilisant des informations d'identification Shell Shell (SSH) volées pour contourner les mesures de sécurité et finalement déployer des ransomwares Rhysida, crypter des fichiers et des sauvegardes locales. ## Analyse supplémentaire Selon [Malpedia] (https://malpedia.caad.fkie.fraunhofer.de/details/win.broomstick), Oyster (également suivi comme Broomstick, CleanBoost et Cleanup), est un malware de backdoor qui a été observé pour la première fois au 2023.Cependant, les campagnes récentes ont vu le déploiement direct de la porte dérobée Oyster.En règle générale, Oyster est utilisé par les acteurs de la menace pour aider au déploiement des ransomwares car il peut collecter des données système, communiquer avec un serveur de commande et de contrôle et exécuter des fichiers supplémentaires. ## Détections / requêtes de chasse ** Microsoft Defender Antivirus ** Microsoft Defender Antivirus détecte les composants de la menace comme le malware suivant: - [Ransom: win64 / rhysida] (https://www.microsoft.com/en-us/wdsi/atheats/malware-encYClopedia-Description? Name = Ransom: win64 / rhysida.a! dha & menaceID = -2147114922 & ocid = magicti_ta_ency) ## Recommandations Microsoft RecOmence les atténuations suivantes pour réduire l'impact de cette menace.Vérifiez la carte de recommandations pour l'état de déploiement des atténuations surveillées. - durcir les actifs orientés Internet et identifier et sécuriser les systèmes de périmètre que les attaquants pourraient utiliser pour accéder au réseau.Interfaces de numérisation publique, telles que [Microsoft Defender External Attack Surface Management] (https://www.microsoft.com/security/business/cloud-security/microsoft-defender-extern-attack-surface-management?ocid=Magicti_TA_ABBReviatedMkTgpage),,,,,,peut être utilisé pour augmenter les données.Le tableau de bord du résumé de la surface d'attaque fait face à des actifs, tels que les serveurs d'échange, qui nécessitent des mises à jour de sécurité et fournissent des étapes de remédiation recommandées. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-lock-at-first-sight-microsoft-defender-asvirus?ocid=magicti_ta_learndoc)Dans Microsoft Defender Antivirus ou l'équivalent pour que votre produit antivirus couvre des outils et techniques d'attaquant en évolution rapide.Les protections d'apprentissage automatique basées sur le cloud bloquent une majorité de variantes nouvelles et inconnues. - Exécuter [Détection et réponse de point de terminaison (EDR) en mode bloc] (https://learn.microsoft.com/micr | Ransomware Malware Tool Threat | ★★★ | |
|
2024-07-26 19:24:17 | (Déjà vu) Les attaques d'escroquerie profitent de la popularité de la vague de l'IA générative Scam Attacks Taking Advantage of the Popularity of the Generative AI Wave (lien direct) |
## Instantané Les analystes de Palo Alto Networks ont constaté que les acteurs du cybermenace exploitent l'intérêt croissant pour l'intelligne artificiel génératif (Genai) pour mener des activités malveillantes. ## Description Palo Alto Networks \\ 'Analyse des domaines enregistrés avec des mots clés liés à Genai a révélé des informations sur les activités suspectes, y compris les modèles textuels et le volume du trafic.Des études de cas ont détaillé divers types d'attaques, tels que la livraison de programmes potentiellement indésirables (chiots), de distribution de spam et de stationnement monétisé. Les adversaires exploitent souvent des sujets de tendance en enregistrant des domaines avec des mots clés pertinents.Analyser des domaines nouvellement enregistrés (NRD) contenant des mots clés Genai comme "Chatgpt" et "Sora", Palo Alto Networks a détecté plus de 200 000 NRD quotidiens, avec environ 225 domaines liés au Genai enregistrés chaque jour depuis novembre 2022. Beaucoup de ces domaines, identifiés comme suspects, a augmenté d'enregistrement lors des principaux jalons de Chatgpt, tels que son intégration avec Bing et la sortie de GPT-4.Les domaines suspects représentaient un taux moyen de 28,75%, nettement supérieur au taux de NRD général.La plupart des trafics vers ces domaines étaient dirigés vers quelques acteurs majeurs, avec 35% de ce trafic identifié comme suspect. ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace.Vérifiez la carte de recommandations pour l'état de déploiement des atténuations surveillées. - Encourager les utilisateurs à utiliser Microsoft Edge et d'autres navigateurs Web qui prennent en charge [SmartScreen] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/web-overview?ocid=Magicti_TA_LearnDDoc), qui identifieet bloque des sites Web malveillants, y compris des sites de phishing, des sites d'arnaque et des sites qui hébergent des logiciels malveillants. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-lock-at-first-Sight-Microsoft-Defender-Antivirus? Ocid = magicti_ta_learndoc) dans Microsoft Defender Antivirus, ou l'équivalentpour votre produit antivirus, pour couvrir les outils et techniques d'attaquant en évolution rapide.Les protections d'apprentissage automatique basées sur le cloud bloquent une majorité de variantes nouvelles et inconnues. - Appliquer le MFA sur tous les comptes, supprimer les utilisateurs exclus de MFA et strictement [nécessite MFA] (https: //Learn.microsoft.com/azure/active-directory/identity-protection/howto-identity-protection-configure-mfa-policy?ocid=Magicti_TA_LearnDoc) à partir deTous les appareils, à tous les endroits, à tout moment. - Activer les méthodes d'authentification sans mot de passe (par exemple, Windows Hello, FIDO Keys ou Microsoft Authenticator) pour les comptes qui prennent en charge sans mot de passe.Pour les comptes qui nécessitent toujours des mots de passe, utilisez des applications Authenticatrices comme Microsoft Authenticator pour MFA.[Reportez-vous à cet article] (https://learn.microsoft.com/azure/active-directory/authentication/concept-authentication-methods?ocid=Magicti_ta_learndoc) pour les différentes méthodes et fonctionnalités d'authentification. - Pour MFA qui utilise des applications Authenticator, assurez-vous que l'application nécessite qu'un code soit tapé dans la mesure du possible, car de nombreuses intrusions où le MFA a été activé a toujours réussi en raison des utilisateurs qui cliquent sur «Oui» sur l'invite sur leurs téléphones même lorsqu'ils n'étaient pas àLeurs [appareils] (https://learn.microsoft.com/azure/active-directory/authentication/how-to-mfa-number-match?ocid=Magicti_TA_LearnDoc).Reportez-vous à [cet article] (https://learn.microsoft.com/azure/active-directory/authentication/concept-authentication-methods?ocid=Magicti_ta_learndoc) pour un | Ransomware Spam Malware Tool Threat Studies | ChatGPT | ★★★ |
|
2024-07-26 18:40:00 | La Corée du Nord Cyber Group mène une campagne d'espionnage mondiale pour faire avancer les régimes des programmes militaires et nucléaires North Korea Cyber Group Conducts Global Espionage Campaign to Advance Regimes Military and Nuclear Programs (lien direct) |
## Instantané Plusieurs agences américaines et internationales ont identifié l'activité de cyber-espionnage associée aux démocrates \\République de Corée (DPRC) 3e Bureau du Bureau général de la reconnaissance (RVB), connu sous le nom d'Andariel. Microsoft suit cector as onyx greet. [En savoir plus à leur sujet ici.] (https://sip.security.microsoft.com/intel-profiles/03ced82eecb35bdb459c47b7821b9b055d1dfa00b56dc1b06f59583bad8833c0) ## Description Le groupe cible les entités de défense, aérospatiale, nucléaire et ingénierie pour obtenir des informations techniques sensibles et une propriété intellectuelle pour l'avancement des programmes militaires et nucléaires du régime.Ils financent leurs activités grâce à des opérations de ransomwares contre des entités de santé américaines. Andariel gagne un accès initial par l'exploitation des serveurs Web à l'aide de vulnérabilités connues, déploie des coquilles Web, mène des activités de phishing à l'aide de pièces jointes malveillantes et utilise la découverte de système standard, les techniques d'énumération et l'escalade des privilèges à l'aide d'outils comme Mimikatz.De plus, ils ont été observés à l'aide d'outils de dénombrement de système de fichiers personnalisés, de collecte de données de ruche de registre, de mise à profit de la journalisation du système pour la découverte, de déguisement des logiciels malveillants dans les paquets HTTP et à l'aide d'outils de tunneling pour les opérations de commande et de contrôle.Les acteurs de la menace ont également exfiltré des données aux services Web, au stockage cloud et aux serveurs contrôlés par la Corée du Nord à l'aide d'utilitaires comme Putty et WinSCP, et ont mis en scène des fichiers d'exfiltration sur les machines victimes. ## Détections / requêtes de chasse Microsoft Defender Antivirus Microsoft Defender Antivirus détecte les composants de la menace comme le malware suivant: - [Trojan: Win32 / Vinosiren] (https://www.microsoft.com/en-us/wdsi/Threats/Malware-Cycopedia-Description?name=trojan:win32/vinosiren.l!dha) - [Trojan: Win64 / Hazyload] (https://www.microsoft.com/en-us/wdsi/Threats/Malware-encyClopedia-Description?name=trojan:win64/hazyload.a!dha&Theatid=-2147074394) - [Trojan: win64 / dtrack.b! Dha] (https://www.microsoft.com/en-us/wdsi/atherets/malware-encycopedia-description?name=trojan:win64/dtrack.b!dha& threatId= -2147062589) Microsoft Defender pour le point final Les alertes avec le titre suivant dans le centre de sécurité peuvent indiquer une activité de menace sur votre réseau: - Groupe d'activités de grésil Onyx L'alerte suivante pourrait également indiquer une activité de menace associée à cette menace.Cette alerte, cependant, peut être déclenchée par une activité de menace non apparentée et ne sont pas surveillées dans les cartes d'état fournies avec ce rapport. - [Comportement: win32 / certutilpe.a] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=behavior:win32/OfficeExeccerTutil.a & menaceID = 2147781013 & ocid = magicti_ta_ency) ## Recommandations Microsoft recommande le suivantatténuations pour réduire l'impact de cette menace.Vérifiez la carte de recommandations pour l'état de déploiement des atténuations surveillées. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-lock-at-first-sight-microsoft-defender-asvirus?ocid=magicti_ta_learndoc)Dans Microsoft Defender Antivirus, ou l'équivalent de votre produit antivirus, pour couvrir les outils et techniques d'attaquant en évolution rapide.Les protections d'apprentissage automatique basées sur le cloud bloquent une majorité de variantes nouvelles et inconnues. - Activer [Protection réseau] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/enable-network-protection?view=o365-worl | Ransomware Malware Tool Vulnerability Threat Medical Cloud Technical | ★★★ | |
|
2024-07-26 15:00:23 | Voleur de flammes Flame Stealer (lien direct) |
## Snapshot Analysts at Cyfirma have released a report on the widespread adoption of Flame Stealer, an [information stealer](https://security.microsoft.com/intel-profiles/byExternalId/2296d491ea381b532b24f2575f9418d4b6723c17b8a1f507d20c2140a75d16d6) malware for sale on Discord and Telegram. ## Description Designed to steal Discord tokens, browser cookies, and credentials, this tool has been used by numerous threat actors employing various evasion techniques. Initially advertised as untraceable, Flame Stealer operates mainly on Discord, targeting sensitive data from platforms like Discord, Spotify, Instagram, TikTok, and Roblox. he malware is programmed in C/C++, employs DLL side-loading, and sends stolen data to specified webhooks. Flame Stealer achieves persistence by adding programs to startup folders and using code obfuscation techniques to evade detection. It also gathers extensive system information and can capture clipboard data and webcam footage. The Flame Stealer uses Discord webhooks for data exfiltration and has capabilities to shutdown or reboot the target machine. ## Microsoft Analysis In recent years, Microsoft has tracked the growing risk that infostealers pose to enterprise security. Infostealers are commodity malware used to steal information from a target device and send it to the threat actor. The popularity of this class of malware led to the emergence of an infostealer ecosystem and a new class of threat actors who leveraged these capabilities to conduct their attacks. Often, infostealers are advertised as a malware as a service (MaaS) offering – a business model where the developers lease the infostealer payload to distributers for a fee. Information stealers are versatile and can be distributed in various forms including through phishing email campaigns, malvertising, and trojanized software, games and tools. They can target a range of information like session tokens and cookies, saved passwords, financial information, and credentials for internet-facing systems and applications. Typically, once the user downloads and launches the malicious payload, it establishes command and control (C2) connections with suspicious domains. Once infected, the infostealer attempts to collect and ultimately exfiltrate information from the system including files, browsers, internet-facing devices and applications to the C2 servers. ## Recommendations Microsoft recommends the following mitigations to reduce the impact of this threat. Check the recommendations card for the deployment status of monitored mitigations. - Check your Office 365 email filtering settings to ensure you block spoofed emails, spam, and emails with malware. Use [Microsoft Defender for Office 365](https://learn.microsoft.com/microsoft-365/security/office-365-security/defender-for-office-365?ocid=magicti_ta_learndoc) for enhanced phishing protection and coverage against new threats and polymorphic variants. Configure Microsoft Defender for Office 365 to [recheck links on click](https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-links-about?ocid=magicti_ta_learndoc) and [delete sent mail](https://learn.microsoft.com/microsoft-365/security/office-365-security/zero-hour-auto-purge?ocid=magicti_ta_learndoc) in response to newly acquired threat intelligence. Turn on [safe attachments policies](https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-attachments-policies-configure?ocid=magicti_ta_learndoc) to check attachments to inbound email. - Encourage users to use Microsoft Edge and other web browsers that support [SmartScreen](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/web-protection-overview?ocid=magicti_ta_learndoc), which identifies and blocks malicious websites, including phishing sites, scam sites, and sites that host malware. - Turn on [cloud-delivered protection](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-block-at-first-sight-microsoft-defender-antivirus?ocid=magicti_ta | Ransomware Spam Malware Tool Threat | ★★★ | |
|
2024-07-24 23:34:10 | Onyx Sleet utilise une gamme de logiciels malveillants pour recueillir l'intelligence pour la Corée du Nord Onyx Sleet uses array of malware to gather intelligence for North Korea (lien direct) |
#### Targeted Geolocations - India - Korea - United States - Southeast Asia - North America #### Targeted Industries - Information Technology - Defense Industrial Base - Government Agencies & Services ## Snapshot On July 25, 2024, the United States Department of Justice (DOJ) indicted an individual linked to the North Korean threat actor that Microsoft tracks as Onyx Sleet. Microsoft Threat Intelligence collaborated with the Federal Bureau of Investigation (FBI) in tracking activity associated with Onyx Sleet. We will continue to closely monitor Onyx Sleet\'s activity to assess changes following the indictment. First observed by Microsoft in 2014, Onyx Sleet has conducted cyber espionage through numerous campaigns aimed at global targets with the goal of intelligence gathering. More recently, it has expanded its goals to include financial gain. This threat actor operates with an extensive set of custom tools and malware, and regularly evolves its toolset to add new functionality and to evade detection, while keeping a fairly uniform attack pattern. Onyx Sleet\'s ability to develop a spectrum of tools to launch its tried-and-true attack chain makes it a persistent threat, particularly to targets of interest to North Korean intelligence, like organizations in the defense, engineering, and energy sectors. Microsoft tracks campaigns related to Onyx Sleet and directly notifies customers who have been targeted or compromised, providing them with the necessary information to help secure their environments. ## Activity Overview ### Who is Onyx Sleet? Onyx Sleet conducts cyber espionage primarily targeting military, defense, and technology industries, predominately in India, South Korea, and the United States. This threat actor has historically leveraged spear-phishing as a means of compromising target environments; however, in recent campaigns, they have mostly exploited N-day vulnerabilities, leveraging publicly available and custom exploits to gain initial access. In October 2023, Onyx Sleet [exploited the TeamCity CVE-2023-42793 vulnerability](https://security.microsoft.com/intel-explorer/articles/b4f39b04) [as a part of a targeted attack](https://security.microsoft.com/vulnerabilities/vulnerability/CVE-2023-42793/overview). Exploiting this vulnerability enabled the threat actor to perform a remote code execution attack and gain administrative control of the server. Onyx Sleet develops and uses a spectrum of tools that range from custom to open source. They have built an extensive set of custom remote access trojans (RATs) that they use in campaigns, and routinely developed new variants of these RATs to add new functionality and implement new ways of evading detection. Onyx Sleet often uses leased virtual private servers (VPS) and compromised cloud infrastructure for command-and-control (C2). Onyx Sleet is tracked by other security companies as SILENT CHOLLIMA, Andariel, DarkSeoul, Stonefly, and TDrop2. **Affiliations with other threat actors originating from North Korea** Onyx Sleet has demonstrated affiliations with other North Korean actors, indicating its integration with a broader network of North Korean cyber operations. Microsoft has observed [an overlap](https://www.microsoft.com/en-us/security/blog/2022/07/14/north-korean-threat-actor-targets-small-and-midsize-businesses-with-h0lygh0st-ransomware/) between Onyx Sleet and [Storm-0530](https://www.microsoft.com/security/blog/2022/07/14/north-korean-threat-actor-targets-small-and-midsize-businesses-with-h0lygh0st-ransomware/). Both groups were observed operating within the same infrastructure and were involved in the development and use of ransomware in attacks in late 2021 and 2022. **Onyx Sleet targets** In pursuit of its primary goal of intelligence collection, Onyx Sleet has focused on targeting entities in the defense and energy industries, predominately in India, South Korea, and the United States. Recent att | Ransomware Malware Tool Vulnerability Threat Industrial Cloud Technical Commercial | APT 38 | ★★★ |
|
2024-07-24 21:28:53 | (Déjà vu) Les acteurs de la menace ciblent les résultats des élections récentes Threat Actors Target Recent Election Results (lien direct) |
#### Géolocations ciblées - Inde ## Instantané Les analystes de K7 Labs ont trouvé un document se faisant passer pour des «résultats des élections indiennes», qui s'est avéré livrer le malware de Troie (rat) à accès à distance cramoisi. ## Description Crimson Rat, couramment utilisé par le groupe Transparent Tribe APT, vole des informations d'identification et d'autres informations sensibles.La tribu transparente, censée opérer à partir du Pakistan, cible les entités diplomatiques, de défense et de recherche en Inde et en Afghanistan. Dans ce cas, l'appât a impliqué des résultats électoraux pour attirer les internautes indiens.Le vecteur d'attaque était un fichier .docm auprès de macros qui a intégré la charge utile de rat Crimson.Lors de l'exécution, le malware décode les fichiers intégrés et installe un fichier d'économiseur d'écran pour établir la persistance.Un autre dossier de leur, déguisé en programme universitaire, a également livré le même logiciel malveillant.Le rat Crimson échappe à la détection en retardant son activité et se connecte à un serveur de commande et de contrôle pour exécuter des commandes et voler des données. ## Analyse supplémentaire Transparent Tribe, également suivi sous le nom de Mythic Leopard et APT36, est un groupe de menaces basé au Pakistan actif depuis 2013. Le groupe cible principalement le gouvernement, la défense et l'éducation en Inde. Transparent Tribe a déjà été observée à l'aide de Crimsonrat pour cibler une variété d'entités indiennes, notamment [l'armée indienne] (https://www.seqrite.com/blog/transparent-tribe-apt-active-leures-indian-army-amidst-Augmentation du ciblage-de l'éducation-institutions /), [établissements d'éducation] (https://blog.talosintelligence.com/transparent-tribe-targets-education/), et [les fonctionnaires du gouvernement] (https: //blog.talosintelligence.com / Transparent-Tribe-New-Campaign /).Selon Cisco Talos, Crimsonrat est l'outil de choix du groupe depuis au moins 2020, en particulier lorsqu'il cherche à établir un accès persistant dans les réseaux cibles.L'outil est souvent déployé par une tribu transparente en utilisant des e-mails de espionnage. ## Détections / requêtes de chasse ### Microsoft Defender Antivirus Microsoft Defender Antivirus les composants de menace suivants comme malware: - [TrojandRopper: O97M / OBFUSE] (https: //www.microsoft.com/en-us/wdsi/therets/malware-encyclopedia-dercription?name=trojandropper:o97m/obfuse!mtb) ## Recommandations MIcrosoft recommande les atténuations suivantes pour réduire l'impact de cette menace. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/en-us/defender-endpoint/linux-preférences) dans Microsoft Defender Antivirus ou l'équivalent de votre produit antivirus pour couvrir rapidement les outils d'attaquant en évolution et et et les outils d'attaquant en évolution rapide ettechniques.Les protections d'apprentissage automatique basées sur le cloud bloquent la majorité des menaces nouvelles et inconnues. - Exécuter [EDR en mode bloc] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-block-mode?view=o365-worldwide?ocid=Magicti_TA_LearnDoc)Le défenseur du point final peut bloquer les artefacts malveillants, même lorsque votre antivirus non microsoft ne détecte pas la menace ou lorsque Microsoft Defender Antivirus fonctionne en mode passif.EDR en mode bloc fonctionne dans les coulisses pour corriger les artefacts malveillants qui sont détectés post-abri. - Autoriser [Investigation and Remediation] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/automated-investigations?view=o365-worldwide?ocid=Magicti_TA_LearnDoc) en mode automatisé complet pour permettre à Microsoft DefenderPour que le point final prenne des mesures immédiates sur les alertes pour résoudre les violations, réduisant considérablement le volume d'alerte. - [Activé] (https | Ransomware Malware Tool Threat | APT 36 | ★★★ |
|
2024-07-24 21:16:52 | Distribution of AsyncRAT Disguised as Ebook (lien direct) | ## Instantané Les recherches à l'AHNLAB Security Intelligence Center (ASEC) ont identifié une nouvelle méthode de distribution de logiciels malveillants asyncrat à travers des livres électroniques armés. ## Description Ces livres électroniques, qui semblent inoffensifs, contiennent une icône frauduleuse qui indique un fichier LNK avec un code malveillant.De plus, il existe un fichier TXT avec un script PowerShell caché, des fichiers vidéo compressés et un ebook réel.Lorsque le fichier LNK est exécuté, il déclenche le script PowerShell caché dans le fichier RM.TXT, qui cache ensuite le dossier de logiciel malveillant du téléchargeur et exécute un script obscurci.Ce script peut lancer le vrai malware à partir de faux fichiers vidéo s'il détecte certains produits de sécurité.La charge utile asyncrat est conçue avec des mécanismes anti-détection, de la persistance et des capacités d'exfiltration des données.Il est distribué par diverses méthodes, y compris des fichiers déguisés sur les sites de partage et les e-mails de phishing, ce qui en fait une menace polyvalente et dangereuse.Le malware se précipita comme des processus légitimes et utilise des techniques d'obscurcissement pour échapper à la détection. L'asyncrat n'est pas le seul logiciel malveillant du voleur d'informations observé dans les livres électroniques.Comme asyncrat, [vipersoftx] (https://security.microsoft.com/intel-explorer/articles/8084ff7b) et [cve-2024-38112] (https://www.trendmicro.com/en_us/research/24/G / CVE-2024-38112-VOID-BANSHEE.HTML # NEW_TAB) Utilisez PowerShell pour exfiltrer les données et éviter la détection. ## Détections / requêtes de chasse Microsoft Defender Antivirus détecte les composants de la menace comme le malware suivant: - [Trojan: win32 / winlnk] (https://www.microsoft.com/en-us/wdsi/Menaces / malware-senceclopedia-description? Name = Trojan: win32 / winlnk) - [Trojan: Msil / Agenttesla] (https://www.microsoft.com/en-us/wdsi/Therets/malware-secdcopedia-description? name = trojan: MSIL / AgentTesla) - [Backdoor: Msil / asyncrat.ad] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=backDoor:mil/asyncrat.ad) ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace.Vérifiez la carte de recommandations pour l'état de déploiement des atténuations surveillées. - Vérifiez les paramètres de filtrage des e-mails Office 365 pour vous assurer de bloquer les e-mails, le spam et les e-mails avec des logiciels malveillants.Utilisez [Microsoft Defender pour Office 365] (https://learn.microsoft.com/en-us/defenderofice-365/mdo-about?ocid=Magicti_TA_LearnDoc) pour une protection et une couverture de phishing améliorées contre de nouvelles menaces et des variantes polymorphes.Configurez Microsoft Defender pour Office 365 à [Rechercher les liens sur Click] (https://learn.microsoft.com/en-us/defender-office-365/safe-links-about?ocid=magicti_ta_learndoc) et [supprimer le courrier envoyé] (https://learn.microsoft.com/en-us/defenderofice-365/zero-hour-auto-purge?ocid=Magicti_TA_LearnDoc) en réponse à l'intelligence de menace nouvellement acquise. - Allumez [les pièces jointes sûres] (https://learn.microsoft.com/en-us/defender-office-365/safe-attachments-policies-configure?ocid=Magicti_ta_learndoc) pour vérifier les pièces jointes vers le courrier électronique déstant. - Encouragez les utilisateurs à utiliser Microsoft Edge et d'autres navigateurs Web qui prennent en charge [SmartScreen] (https://learn.microsoft.com/en-us/defender-endpoint/web-protection-overview?ocid=Magicti_TA_LearnDoc), qui identifie et blocsDes sites Web malveillants, y compris des sites de phishing, des sites d'arnaque et des sites qui hébergent des logiciels malveillants. - Allumez [Protection en cloud-élivé] (https://learn.microsoft.com/en-us/defender-endpoint/configure-lock-at-first-sight-microsoft-defender-antivirus?ocid=Magicti_ta_learndoc) dans MicrosoftLe dé | Ransomware Spam Malware Tool Vulnerability Threat Prediction | ★★★ | |
|
2024-07-24 00:55:09 | Intelbroker répertorie les données de crypto Europol présumées en ligne IntelBroker lists alleged Europol crypto data online (lien direct) |
## Instantané
Intelbroker, un infâme leaker et cyber-criminel, a énuméré des "documents liés à la crypto" appartenant à Europol sur BreachForums.
## Description
L'acteur de menace prétend avoir divulgué une petite quantité de données de l'environnement EPE d'Europol \\, y compris les fichiers "pour un usage officiel" (FOUO), les PDF et les documents de reconnaissance et de directives.La violation peut avoir compromis des informations personnelles telles que les noms, les adresses e-mail et les données commerciales confidentielles de divers organismes d'application de la loi.Europol a confirmé l'incident et enquête, déclarant qu'aucune donnée opérationnelle d'Europol n'a été compromise.Cet incident suit la prétention précédente d'Intelbroker \\ pour voler des "fichiers et documents critiques" de la plate-forme EPE d'Europol \\ en mai, affectant diverses agences d'Europol, notamment CCSE, crypto-monnaies & # 8211;EC3, Space & # 8211;EC3, formulaire d'application de la loi et Sirius.
### Analyse supplémentaire
Selon [les chercheurs en sécurité de Mphasis] (https://www.mphasis.com/content/dam/mphasis-com/global/en/home/services/cybersesecurity/june-21-12-the-intelbroker-data-leak-Arthat-Actor.pdf), Intelbroker est connu pour violer les organisations de haut niveau dans divers secteurs, notamment le gouvernement, les télécommunications, l'automobile et la technologie.Connu pour avoir fonctionné le ransomware d'endurance, Intelbroker a revendiqué la responsabilité de nombreuses attaques contre des entités telles que Autotrader, Volvo, AT&T et Verizon.En tant que courtier en renseignement, Intelbroker vend des données volées sur les forums souterrains et utilise souvent des ransomwares d'endurance, un malware C # conçu pour écraser et supprimer des fichiers.Selon [Socradar] (https://socradar.io/dark-web-profile-intelbroker/), Intelbroker a attiré une attention importante à la fin de 2022 et au début de 2023, avec des violations notables, notamment le service d'épicerie Weee, Europol et Hilton Hotels.En juin 2024, Intelbroker prétend avoir obtenu le code source interne de trois outils Apple couramment utilisés et publié les données d'AMD \\ à vendre, alléguant que le compromis comprenait les futurs produits AMD, les fiches de spécification et les informations sur les employés, selon [CyberNews] (https://cybernews.com/security/thereat-actor-intelbroker-claids-apple-amd/).
Bien que toutes les violations ne puissent pas être vérifiées dans la même mesure, de nombreux incidents causés par Intelbroker ont été confirmés.
## Les références
[Intelbroker énumère les données de crypto Europol présumées en ligne] (https://www.cyberdaily.au/security/10793-intelbroker-lists-alled-europol-crypto-data-online).Cyberdaily.au (consulté en 2024-07-23)
## Droits d'auteur
**&copie;Microsoft 2024 **.Tous droits réservés.La reproduction ou la distribution du contenu de ce site, ou de toute partie de celle-ci, sans l'autorisation écrite de Microsoft est interdite.
## Snapshot IntelBroker, an infamous leaker and cyber criminal, has listed "crypto-related documents" belonging to Europol on BreachForums. ## Description The threat actor claims to have leaked a small amount of data from Europol\'s EPE environment, including "For Official Use Only" (FOUO) files, PDFs, and documents for reconnaissance and guidelines. The breach may have compromised personal information such as names, email addresses, and confidential business data from various law enforcement agencies. Europol has confirmed the incident and is investigating, stating that no operational data from Europol has been compromised. This incident follows IntelBroker\'s previous claim of stealing "critical files and documents" from Europol\'s EPE platform in May, affecting various Europol agencies including CCSE, cryptocurrencies – EC3, Space – EC3, Law Enforcement Form, and SIRIUS. ### Additional Analysis According |
Ransomware Malware Tool Threat Legislation | ★★★ | |
|
2024-07-23 17:58:57 | Daggerfly: Espionage Group fait une mise à jour majeure de l'ensemble d'outils Daggerfly: Espionage Group Makes Major Update to Toolset (lien direct) |
#### Géolocations ciblées - Taïwan ## Instantané Le groupe d'espionnage poignardé, également connu sous le nom de panda évasif ou de bronze, a considérablement amélioré son ensemble d'outils, introduisant de nouvelles versions de logiciels malveillants probablement en réponse à l'exposition de variantes plus anciennes. ## Description Cette boîte à outils mise à jour a été récemment déployée dans des attaques contre des organisations à Taïwan et une ONG américaine basée en Chine, suggérant des activités d'espionnage internes.Dans ces attaques, Daggerfly a exploité une vulnérabilité dans un serveur HTTP Apache pour livrer leur malware MGBOT. Arsenal mis à jour de Daggerfly \\ comprend une nouvelle famille de logiciels malveillants basée sur leur framework MGBOT et une nouvelle version de la porte arrière MacMA MacOS.La recherche de Symantec \\ relie Macma, précédemment d'une paternité inconnue, à Daggerfly.[MACMA] (https://security.microsoft.com/intel-explorer/articles/4b21b84f) est une porte dérobée modulaire avec des fonctionnalités comme l'empreinte digitale de l'appareil, l'exécution de la commande et le keylogging.Les variantes récentes affichent un développement continu avec des mises à jour telles que la nouvelle logique pour la liste des systèmes de fichiers et la journalisation de débogage supplémentaire. Symantec a également découvert une nouvelle porte dérobée Windows nommée Suzafk (également connue sous le nom de nuit), développée en utilisant la même bibliothèque partagée que MGBOT et MACMA.Suzafk peut utiliser TCP ou OneDrive pour la commande et le contrôle et comprend des fonctionnalités telles que le réglage de la persistance via des tâches planifiées et la détection des machines virtuelles. Les vastes mises à jour et nouveaux outils mettent en évidence la capacité de Daggerfly \\ pour cibler plusieurs systèmes d'exploitation, y compris Windows, MacOS, Linux, Android et Solaris.La capacité du groupe \\ à s'adapter et à améliorer rapidement son ensemble d'outils après l'exposition souligne leurs ressources sophistiquées et leurs efforts d'espionnage persistants. ## Détections / requêtes de chasse ### Microsoft Defender Antivirus Microsoft Defender Antivirus les composants de menace suivants comme malware: - [Trojan: macOS / macma] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-description?name=trojan:macos/macma.b) - [Backdoor: macOS / MacMA] (https://www.microsoft.com/en-us/wdsi/Thereats/Malware-encyClopedia-Description?name=backdoor:MacOS / macma) - [Trojan: Linux / Multiverze] (https://www.microsoft.com/en-us/wdsi/Threats/Malware-encyClopedia-Description?name=trojan:linux/Multiverze) - [Trojan: macOS / Multiverze] (https://www.microsoft.com/en-us/wdsi/terats/malware-encycopedia-Description? Name = Trojan: macOS / Multiverze) ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/en-us/defender-endpoint/linux-preférences) dans Microsoft Defender Antivirus ou l'équivalent de votre produit antivirus pour couvrir rapidement les outils d'attaquant en évolution et et et les outils d'attaquant en évolution rapide ettechniques.Les protections d'apprentissage automatique basées sur le cloud bloquent la majorité des menaces nouvelles et inconnues. - Exécuter [EDR en mode bloc] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-block-mode?view=o365-worldwide?ocid=Magicti_TA_LearnDoc)Le défenseur du point final peut bloquer les artefacts malveillants, même lorsque votre antivirus non microsoft ne détecte pas la menace ou lorsque Microsoft Defender Antivirus fonctionne en mode passif.EDR en mode bloc fonctionne dans les coulisses pour corriger les artefacts malveillants qui sont détectés post-abri. - Autoriser [Investigation and Remediation] (https://learn.m | Ransomware Malware Tool Vulnerability Threat Mobile | ★★★ | |
|
2024-07-22 20:20:43 | Fin7 Reboot |Le gang de cybercriminaux améliore les OP avec de nouveaux contournements EDR et des attaques automatisées FIN7 Reboot | Cybercrime Gang Enhances Ops with New EDR Bypasses and Automated Attacks (lien direct) |
## Instantané Sentinélone a récemment découvert des développements importants concernant le célèbre gang de cybercriminalité FIN7.Le groupe, connu pour ses opérations sophistiquées, a amélioré ses capacités avec de nouvelles techniques de contournement de détection et de réponse (EDR) et de méthodes d'attaque automatisées.Cette évolution souligne la menace continue de Fin7 \\ pour la cybersécurité. Microsoft suit cet acteur de menace comme Sangria Tempest, [en savoir plus ici.] (Https://security.microsoft.com/intel-profiles/3e4a164ad64958b784649928499521808aea4d3565df70afc7c85eae69f74278) ## Description FIN7 est actif depuis au moins 2015, ciblant principalement les institutions financières par le biais de logiciels malveillants de point de vente (POS) et de campagnes de phisces de lance.Récemment, le groupe s'est concentré sur les ransomwares, liant à divers gangs de ransomware, notamment Maze, Ryuk et Darkside. Une révélation pivot de Sentinélone est la connexion entre Fin7 et le [Black Basta] (https://security.microsoft.com/intel-profiles/0146164ed5ffa131074fa7e985f79597d2522865baaa088f25cd80c3d8d726) Ransomware.Black Basta, qui a émergé en avril 2022, a déployé des outils d'évasion EDR personnalisés développés par FIN7.Cette connexion a été établie par la découverte d'adresses IP et de tactiques, de techniques et de procédures (TTP). Un outil notable identifié est «Windefcheck.exe», qui imite l'interface graphique de sécurité Windows, les utilisateurs trompeurs en pensant à leurs systèmes sont sécurisés tout en désactivant les défenses de sécurité en arrière-plan.Cet outil est exclusivement utilisé par Black Basta depuis la mi-2022, mettant en évidence le chevauchement opérationnel entre les deux groupes. De plus, Black Basta a utilisé des techniques sophistiquées telles que l'exploitation des vulnérabilités chez les moteurs légitimes pour échapper à la détection.Par exemple, ils ont utilisé l'exploit de printnightmare et des outils comme AdFind pour l'escalade des privilèges et le mouvement latéral dans les réseaux. Le lien entre Fin7 et Black Basta suggère une collaboration plus profonde ou des ressources partagées, en particulier dans le développement d'outils d'évasion.Ce partenariat améliore la menace posée par ces groupes, car ils peuvent combiner leur expertise pour lancer des cyberattaques plus efficaces et dommageables. ## Détections / requêtes de chasse Microsoft Defender Antivirus détecte les composants de la menace comme le malware suivant: - [Trojan: win64 / diCeloader] (https://www.microsoft.com/en-us/wdsi/therets/malware-encyclopedia-description?name=trojan:win64/diceloader.km!mtb) - [BEhavior: Win32 / Basta] (https://www.microsoft.com/en-us/wdsi/terats/malware-encycopedia-description?name = comportement: win32 / basta.a) - [Hacktool: win64 / cobaltstrike] (https://www.microsoft.com/en-us/wdsi/therets/malware-senceclopedia-description? name = hacktool: win64 / cobaltstrike) - [Ransom: win32 / basta] (htTPS: //www.microsoft.com/en-us/wdsi/therets/malware-encyclopedia-description? name = ransom: win32 / basta) - [Trojan: Win32 / Basta] (https: //www.microsoft.com/en-us/wdsi/therets/malware-encyclopedia-description?name=trojan:win32/basta!bv) - [Comportement: win32 / cobaltsstrike] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-description?name=behavior:win32/cobaltstrike) - [Backdoor: win64 / cobaltstrike] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=backDoor:win64/CobalTstrike) ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace. - Encourager les utilisateurs à utiliser Microsoft Edge et d'autres navigateurs Web qui prennent en charge [Microsoft Defender SmartScreen] (HTTps: //learn.microsoft.com/en-us/deployedge/microsoft-edge-security-smartscreen? ocid = magicti_ta_learndoc), qui identifie et bloque des sites Web mal | Ransomware Malware Tool Vulnerability Threat | ★★★ | |
|
2024-07-22 10:33:31 | Faits saillants hebdomadaires, 22 juillet 2024 Weekly OSINT Highlights, 22 July 2024 (lien direct) |
## Instantané La semaine dernière, le rapport OSINT de \\ présente des groupes APT alignés par l'État et des cybercriminels motivés par l'État, tels que les ransomwares APT41 et Akira, exploitant des vulnérabilités zéro-jour et tirant parti des campagnes de phishing pour accéder au premier accès.Les attaques ciblaient principalement des secteurs comme le gouvernement, le monde universitaire et les institutions financières, ainsi que des régions géographiques spécifiques, notamment le Moyen-Orient, l'Amérique du Nord et l'Asie du Sud-Est.De plus, les réseaux sociaux et les menaces basés sur le téléphone étaient proéminents, avec des attaquants utilisant des plates-formes comme WhatsApp et des services cloud, et en tirant parti du contenu généré par l'IA.Les tactiques utilisées par ces acteurs de menace comprenaient l'utilisation d'homoglyphes, de tissage IL, de vulnérabilités de jour zéro et de techniques d'évasion sophistiquées, mettant en évidence la nature en constante évolution des cyber-menaces et la nécessité de mesures de cybersécurité robustes. ## Description 1. [APT41 cible les organisations mondiales] (https://sip.security.microsoft.com/intel-explorer/articles/3ecd0e46): mandiant et google \'s tag ont rapporté des organisations ciblant APT41 en Italie, en Espagne, Taiwan, Thaïlande, Turquie et Royaume-Uni.Le groupe a utilisé des compromis de la chaîne d'approvisionnement, des certificats numériques volés et des outils sophistiqués comme Dustpan et Dusttrap pour exécuter des charges utiles et des données d'exfiltrat. 2. [Play Ransomware cible les environnements VMware ESXi] (https://sip.security.microsoft.com/intel-explorer/articles/2435682e): Trend Micro a découvert une variante lineux de Play Ransomware ciblant les environnements VMware ESXi, marquant la première instance de Playd'une telle attaque.Le ransomware utilise des commandes ESXi spécifiques pour arrêter les machines virtuelles avant le chiffrement, montrant un élargissement potentiel des cibles à traversPlates-formes Linux. 3. [Campagne de Nuget malveillante] (https://sip.security.microsoft.com/intel-explorer/articles/186ac750): REVERSINGLABSLes chercheurs ont trouvé une campagne de Nuget malveillante où les acteurs de la menace ont utilisé des homoglyphes et un tissage pour tromper les développeurs.Ils ont inséré les téléchargeurs obscurcis dans des fichiers binaires PE légitimes et exploité les intégrations MSBuild de NuGet \\ pour exécuter du code malveillant lors des builds de projet. 4. [Attaques DDOS par des groupes hacktivistes russes] (https://sip.security.microsoft.com/intel-explorer/articles/e9fbb909): Des chercheurs de Cyble ont été signalés sur les attaques DDOHacknet, ciblant les sites Web français avant les Jeux olympiques de Paris.Ces groupes d'opération d'influence se concentrent souvent surCibles des membres ukrainiens et de l'OTAN. 5. [AndroxGh0st Maleware cible les applications Laravel] (https://sip.security.microsoft.com/intel-explorer/articles/753Beb5a): les chercheurs de Centre d'orage Internet ont identifié AndroxGh0st, un malware python-scriptCiblage des fichiers .env dans les applications Web Laravel, exploitant les vulnérabilités RCE.Le malware effectue une numérisation de vulnérabilité, déploie des shells Web et exfiltre des données sensibles. 6. [TAG-100 Activités de cyber-espionage] (https://sip.security.microsoft.com/intel-explorer/articles/7df80747): le groupe insikt de Future \\ a enregistré Future \\ découvert TAG-100 \\ s \\ 's Cyber Future.Activités ciblant les organisations gouvernementales, intergouvernementales et du secteur privé dans le monde, probablement pour l'espionnage.Le groupe utilise des outils open source et exploite les vulnérabilités nouvellement publiées dans les appareils orientés Internet. 7. [Dragonbridge Influence Operations] (https://sip.security.microsoft.com/intel-explorer/articles/3e4f73d5): le groupe d'analyse des menaces de Google \\ a été rapporté sur Dragonbridge | Ransomware Malware Tool Vulnerability Threat Mobile Prediction Cloud | APT 41 | ★★★ |
|
2024-07-19 21:17:33 | Play Ransomware Group\'s New Linux Variant Targets ESXi, Shows Ties With Prolific Puma (lien direct) | ## Snapshot Trend Micro\'s Threat Hunting team discovered a Linux variant of [Play ransomware](https://security.microsoft.com/intel-profiles/5052c3d91b03a0996238bf01061afdd101c04f1afb7aeda1fc385a19b4f1b68e) that targets files only in VMWare ESXi environments. ## Description First detected in June 2022, Play ransomware is known for its double-extortion tactics and custom-built tools, impacting many organizations in Latin America. According to Trend Micro, this marks the first instance of Play ransomware attacking ESXi environments, indicating a potential broadening of targets across the Linux platform, which could increase their victim pool and ransom negotiation success. VMWare ESXi environments host multiple virtual machines (VMs) and critical applications, making them prime targets. Compromising these can disrupt business operations and encrypt backups, hindering data recovery efforts. The Play ransomware variant was found compressed with its Windows counterpart in a RAR file on a malicious URL, showing zero detections on VirusTotal. The infection chain involves several tools, including PsExec, NetScan, WinSCP, WinRAR, and the Coroxy backdoor. The ransomware runs ESXi-specific commands, turning off VMs before encrypting critical files, which are appended with the ".PLAY" extension. A ransom note is then displayed in the ESXi client login portal. The Linux variant of Play ransomware uses a command-and-control server hosting common tools for its attacks, potentially employing similar tactics to its Windows variant. The IP address associated with the ransomware is linked to another threat actor, Prolific Puma, known for generating domain names and providing link-shortening services to cybercriminals. The shared infrastructure between Play ransomware and Prolific Puma suggests a collaboration, enhancing Play ransomware\'s ability to evade detection and bolster its attack strategies. ## Microsoft Analysis Microsoft has been tracking deployment of Play ransomware since August 2022 and attributes all Play ransomware deployments to [Storm-0882](https://security.microsoft.com/intel-profiles/c04feb84dd2e6f360e482dc8a608da3b4e749cd651cab8d209326ae35522c6d5) (DEV-0882). The group primarily accesses targets through exploitation of internet-facing systems, including using compromised credentials to access exposed Remote Desktop Protocol (RDP) and [Microsoft Exchange Server](https://security.microsoft.com/intel-explorer/articles/692dd201) systems. ## Detections/Hunting Queries Microsoft Defender Antivirus detects threat components as the following malware: - *[Behavior:Win32/Play](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Behavior:Win32/Play.F&threatId=-2147130447)* - *[Behavior:Win32/Ransomware!Play](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Behavior:Win32/Ransomware!Play.A&threatId=-2147136108)* - *[Ransom:Win32/Play](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Ransom:Win32/Play.D&threatId=-2147130524)* - [*Ransom:Linux/Playde*](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Ransom:Linux/Playde!MTB) ## Recommendations Microsoft recommends the following mitigations to reduce the impact of this threat. Check the recommendations card for the deployment status of monitored mitigations. - Harden internet-facing assets and identify and secure perimeter systems that attackers might use to access the network. Public scanning interfaces, such as [Microsoft Defender External Attack Surface Management](https://www.microsoft.com/security/business/cloud-security/microsoft-defender-external-attack-surface-management), can be used to augment data. The Attack Surface Summary dashboard both surfaces assets such as Exchange servers which require security updates as well as provides recommended remediation steps. - Secure RDP or Windows Virtual Desktop endpoints with multifactor authenti | Ransomware Malware Tool Threat Prediction | ★★★ | |
|
2024-07-17 20:18:30 | Lookout découvre des logiciels de surveillance houthi ciblant les militaires du Moyen-Orient Lookout Discovers Houthi Surveillanceware Targeting Middle Eastern Militaries (lien direct) |
#### Géolocations ciblées - Yémen - Arabie Saoudite - Egypte - Oman - Qatar - t & uuml; rkiye - Emirats Arabes Unis - Moyen-Orient ## Instantané AttentionLes chercheurs ont identifié Guardzoo, un logiciel de surveillance Android utilisé pour cibler le personnel militaire dans les pays du Moyen-Orient, en particulier ceux alignés sur les intérêts houthis.La campagne, active depuis octobre 2019, cible principalement les victimes au Yémen, en Arabie saoudite, en Égypte, en Oman, aux EAU, au Qatar et en Turquie. ## Description Guardzoo, basé sur le logiciel espion Dendroid Rat, peut collecter divers types de données et est distribué via WhatsApp, WhatsApp Business et Direct Browser Downloads.Il peut également déployer des logiciels malveillants invasifs supplémentaires sur les appareils infectés.Le logiciel de surveillance utilise des thèmes militaires et autres comme leurres, et son infrastructure C2 est basée au Yémen, avec plus de 450 adresses IP appartenant aux victimes.Les journaux du serveur C2 ont révélé que les IP victimes sont dispersées dans les pays du Moyen-Orient, et la campagne est attribuée à un acteur de menace aligné par Houthi-Houth en fonction des leurres d'application, du ciblage et du lieu de l'infrastructure C2. ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact des menaces d'information sur les voleurs. - Encourager les utilisateurs à utiliser Microsoft Edge et d'autres navigateurs Web qui prennent en charge [SmartScreen] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/web-overview?ocid=Magicti_TA_LearnDDoc), qui identifieet bloque des sites Web malveillants, y compris des sites de phishing, des sites d'arnaque et des sites qui hébergent des logiciels malveillants. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-lock-at-first-sight-microsoft-defender-asvirus?ocid=magicti_ta_learndoc)Dans Microsoft Defender Antivirus, ou l'équivalent de votre produit antivirus, pour couvrir les outils et techniques d'attaquant en évolution rapide.Les protections d'apprentissage automatique basées sur le cloud bloquent une majorité de variantes nouvelles et inconnues. - Les clients de Microsoft Defender peuvent [activer les règles de réduction de la surface d'attaque] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/attack-surface-reduction?ocid=Magicti_TA_LearnDoc) pour prévenir les techniques d'attaque communes utilisées utilisées utilisédans les infections des infostèleurs.Les règles de réduction de la surface d'attaque sont des paramètres de balayage qui arrêtent des classes entières de menaces, notamment, les infostateurs, le vol d'identification et les ransomwares.Les bullets suivants offrent plus de conseils sur les conseils d'atténuation spécifiques: - [Allumez la protection PUA en mode bloc] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/detect-block-potentiale-unwanted-apps-microsoft-asvirus?ocid=Magicti_Ta_learndoctius) - [Bloquez les fichiers exécutables de l'exécution à moins qu'ils ne répondent à un critère de prévalence, d'âge ou de liste de confiance] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/attack-surface-redulation-Rules-reference? OCID = Magicti_TA_LearnDoc # Block-Execuable-Files-From-Running-Unbit-they-Met-A-Prevalence-Age-Or-Truted-List-Criterion) - [Block execution of potentially obfuscated scripts](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/attack-surface-reduction-rules-reference?ocid=magicti_ta_learndoc#block-execution-of-Script potentiellement obsédé) ## Les références [Lookout découvre des logiciels de surveillance houthi ciblant les militaires du Moyen-Orient.] (Https://www.lookout.com/thereat-intelligence/article/guardzoo-houthi-android-surveillanceware) Lookout (consulté en 2024-07-15) | Ransomware Malware Tool Threat Mobile | ★★★ | |
|
2024-07-17 18:50:29 | Ransomware Shadowroot ciblant les entreprises turques ShadowRoot Ransomware Targeting Turkish Businesses (lien direct) |
#### Géolocations ciblées - t & uuml; rkiye ## Instantané Des chercheurs de Forcepoint \\ S-Labs ont identifié des ransomwares Shadowroot ciblant les entreprises turques, livrées par e-mails de phishing avec des pièces jointes PDF se faisant passer pour des factures. ## Description Le PDF contient un lien qui, lorsqu'il est cliqué, télécharge une charge utile malveillante à partir d'un compte GitHub compromis.La charge utile supprime des fichiers supplémentaires et initie les commandes PowerShell pour exécuter le ransomware Shadowroot en mode caché.Le ransomware crypte ensuite les fichiers avec une extension ".shadroot". Les billets de rançon écrits en turc sont envoyés à la victime, avec des instructions pour contacter l'acteur de menace par e-mail pour les outils de paiement et de décryptage.ForcePoint évalue que cette activité de ransomware Shadowroot est probablement attribuée à un acteur avec un faible niveau de sophistication car il présente une fonctionnalité de base. ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace.Vérifiez la carte de recommandations pour l'état de déploiement des atténuations surveillées. - Lisez notre [Ransomware en tant que blog de service] (https://www.microsoft.com/security/blog/2022/05/09/ransomware-as-a-service-udentSanding-the-cybercrim-gig-ecoony-and-Comment-protect-vous-soi / # défendant-against-ransomware) pour des conseils sur le développement d'une posture de sécurité holistique pour prévenir les ransomwares, y compris l'hygiène des informations d'identification et les recommandations de durcissement. - Allumez [Protection en cloud-étirement] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-lock-at-first-sight-microsoft-defender-astivirus) dans Microsoft Defender Antivirusou l'équivalent pour que votre produit antivirus couvre rapidement des outils et techniques d'attaquant en évolution.Les protections d'apprentissage automatique basées sur le cloud bloquent une énorme majorité de variantes nouvelles et inconnues. - Activer la protection contre la protection] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/prevent-changes-to-security-settings-with-tamper-protection)Services de sécurité. - Exécuter [Détection et réponse de point de terminaison (EDR) en mode bloc] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-block-modeBloquer des artefacts malveillants, même lorsque votre antivirus non microsoft ne détecte pas la menace ou lorsque Microsoft Defender Antivirus fonctionne en mode passif.EDR en mode bloc fonctionne dans les coulisses pour corriger les artefacts malveillants détectés après la lutte. - Activer [Investigation and Remediation] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/automated-investigations) en mode automatisé complet pour permettre au défenseur de final de prendre des mesures immédiates sur des alertes pour résoudre les brèches, réduisant considérablement le volume d'alerte. Les clients de Microsoft Defender peuvent activer [les règles de réduction de la surface d'attaque] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/attack-surface-reduction) pour empêcher les techniques d'attaque courantes utilisées dans les attaques de ransomware.Les règles de réduction de la surface d'attaque sont des paramètres de balayage qui sont efficaces pour arrêter des classes entières de menaces. - Ransom et stade de mouvement latéral: - [Block Process Creations provenant des commandes psexec et WMI] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/attack-surface-redulation-Rules-reference?ocid=Magicti_TA_LearnDoc#block-Process-Creations-Origining-From-Psexec-and-WMI-Commands).Certaines organisations peuvent rencontrer des problèmes de compatibilité avec cette règle sur certains systèmes de serveurs, mais devraient le déplo | Ransomware Tool Threat | ★★★ | |
|
2024-07-16 19:32:40 | NullBulge | Threat Actor Masquerades as Hacktivist Group Rebelling Against AI (lien direct) | ## Instantané Sentinellabs a publié un rapport sur Nullbulge, un nouveau groupe cybercriminal ciblant l'IA et les entités axées sur le jeu, chargés de publier des données au prétendument volées aux communications internes de Disney \\. ## Description Le groupe prétend avoir une motivation pro-art et anti-AI, mais Sentinelabs évalue que les activités de Nullbulge \\ suggèrent une motivation plus financière. Nullbulge exploite la chaîne d'approvisionnement des logiciels en intégrant du code malveillant dans des référentiels accessibles au public sur Github, Hugging Face et Reddit, attirant les victimes d'importer des bibliothèques nocives ou des packs de mod utilisés par les logiciels de jeu et de modélisation.Le groupe publie leurs hacks via son propre site de blog et sporadiquement sur les fils 4chan. Un certain nombre de campagnes à null ont été observées par Sentinelabs.En mai et juin 2024, le groupe a utilisé le github et le visage étreint pour cibler les outils et les plates-formes d'IA en compromettant des extensions et des logiciels légitimes comme Comfyui \ _Llmvision et Beamng et créant de faux outils malveillants comme le "générateur de caractères idiot".Certaines de ces campagnes exfiltraient les données via Discord WebHook et d'autres ont déployé des logiciels malveillants supplémentaires comme [Async Access à distance Trojan (RAT)] (https://security.microsoft.com/intel-profiles/e9216610Feb409dfb620b2815ff et xworm.Nullbulge a également utilisé le rat asynchronisé et le tempête pour mener des activités de ransomware de suivi à l'aide de charges utiles de verrouillage personnalisées construites à l'aide de Lockbit 3.0. À ce jour, l'activité la plus connue de Nullbulge \\ est la libération d'environ 1,2 téraoctets d'informations provenant des communications de relâche internes de Disney.Selon le groupe, les informations d'identification du compte d'entreprise compromises ont servi de vecteur d'accès initial pour cette attaque.[Selon MSN] (https://www.msn.com/en-nz/news/other/hackers-hit-disney-leaking-unreled-projects-and-intern-messages/ar-bb1q2bsi), propriété de code informatique de propriété, Les informations sur les projets inédits et les évaluations des candidats à l'emploi font partie du contenu divulgué. ## Détections / requêtes de chasse ### Microsoft Defender Antivirus Microsoft Defender Antivirus détecte les composants de la menace comme le malware suivant: - [Trojan: Win32 / Lokibot] (https: //www.microsoft.com/en-us/wdsi/therets/malware-encyclopedia-description?name=trojan:win32/lokibot!msr) - [* Trojan: Bat / Starter *] (https: //www.microsoft.com/en-us/wdsi/therets/malware-encyclopedia-description?name=trojan:bat/starter!msr) - [* ransom: win32 / lockbit *] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=ransom:win32/lockbit.ha!mtb) - [* Trojan: Win32 / Leonem *] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=trojan:win32/leonem) ## Recommandations Appliquez ces atténuations pour réduire l'impact de cette menace. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-lock-at-first-sighT-Microsoft-Defender-Antivirus? OCID = Magicti% 3cem% 3eta% 3C / EM% 3ELEARNDOC) dans Microsoft Defender AntivIrus ou l'équivalent pour que votre produit antivirus couvre les outils et techniques d'attaquant en évolution rapide.Les protections d'apprentissage automatique basées sur le cloud bloquent une énorme majorité de variantes nouvelles et inconnues. - Allumez [Protection Tamper] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/prevent-changes-to-security-settings-with-tamper-protection?ocid=Magicti%3CEM%3ETA% 3C / EM% 3ELEARNDOC) Caractéristiques pour empêcher les attaquants d'empêcher les services de sécurité. - Exécuter [EDR en mode bloc] (https: //learn.microsoft.com/microsoft-365/se | Ransomware Malware Tool Threat | ★★★★ | |
|
2024-07-16 15:25:11 | De fausses équipes Microsoft pour Mac délivre un voleur atomique Fake Microsoft Teams for Mac delivers Atomic Stealer (lien direct) |
## Instantané Une nouvelle campagne de malvertising cible les utilisateurs de Mac avec une publicité frauduleuse pour les équipes de Microsoft.La campagne a utilisé des techniques de filtrage avancées pour échapper à la détection et à rediriger les victimes vers une page de leurre pour télécharger une application malveillante. ## Description L'annonce malveillante, malgré l'affichage de l'URL Microsoft.com, n'était pas liée à Microsoft et n'a probablement pas été payée par un compte Google compromis.Les victimes atterrissent sur une page de leurre montrant un bouton pour télécharger des équipes.Une demande est faite à un domaine différent où une charge utile unique est générée pour chaque visiteur.Une fois le fichier téléchargé monté, les utilisateurs sont invités à l'ouvrir en un clic droit pour contourner le mécanisme de protection intégré d'Apple \\ pour les installateurs non signés.Suivant le vol de données est l'étape d'exfiltration des données, uniquement visible via un outil de collecte de paquets réseau.Une seule demande de publication est effectuée sur un serveur Web distant avec les données en cours de codé. MalwareBytes détecte cette menace en tant que OSX.atomster.Sur la base du suivi des logiciels malveillants, les équipes de Microsoft sont de retour en tant qu'acteurs de menaces de mots clés populaires qui soumissionnent, et c'est la première fois qu'ils le viennent utilisés par le voleur atomique. ## Analyse Microsoft Les menaces contre les macOS ont fait la une des journaux au cours des derniers mois alors que les acteurs de la menace continuent d'évoluer les techniques d'attaque et de s'adapter et d'élargir de plus en plus leur ciblage de cyber pour inclure les utilisateurs de Mac. Microsoft a suivi les tendances des rapports récents des logiciels malveillants MacOS dans la communauté de la sécurité, pour inclure des publicités malveillantes et une distribution de logiciels.La fréquence des incidents de malvertisation a fortement augmenté à mesure que les acteurs de la menace utilisent des techniques plus avancées.De plus, les voleurs d'informations comme le voleur MacOS atomique (AMOS) sont tendance dans les menaces de malvertisation pour le macOS. [En savoir plus sur les tendances récentes des OSINT dans les menaces pour MacOS ici.] (Https://security.microsoft.com/intel-explorer/articles/3d13591e) ## Recommandations Appliquez ces atténuations pour réduire l'impact de cette menace.Vérifiez la carte de recommandations pour l'état de déploiement des atténuations surveillées. - Encouragez les utilisateurs à utiliser Microsoft Edge et d'autres navigateurs Web qui prennent en charge SmartScreen, qui identifie et bloque des sites Web malveillants, y compris des sites de phishing, des sites d'arnaque et des sites qui contiennent des exploits et hôte des logiciels malveillants..microsoft.com / en-us / Microsoft-365 / Security / Defender-Endpoint / Activer-Network-Protection? OCID = Magicti% 3CEM% 3ETA% 3C / EM% 3ELEARNDOC) pour bloquer les connexions vers des domaines malveillants et des adresses IP. - Construire la résilience organisationnelle contre les menaces par e-mail en éduquant les utilisateurs sur l'identification des attaques d'ingénierie sociale et la prévention de l'infection des logiciels malveillants.Utilisez [Formation de simulation d'attaque] (https://learn.microsoft.com/microsoft-365/security/office-365-security/attack-simulation-training-get-started?ocid=Magicti%3CEM%3ETA%3C/EM% 3ElearnDoc) dans Microsoft Defender pour Office 365 pour exécuter des scénarios d'attaque, accroître la sensibilisation des utilisateurs et permettre aux employés de reconnaître et de signaler ces attaques. - Pratiquez le principe du moindre privile et maintenez l'hygiène des références.Évitez l'utilisation des comptes de service au niveau de l'administration à l'échelle du domaine.La restriction des privilèges administratifs locaux peut aider à limiter l'instal | Ransomware Spam Malware Tool Threat | ★★★ | |
|
2024-07-16 00:48:31 | Akira Ransomware attaquant l'industrie du transport aérien avec des outils légitimes Akira Ransomware Attacking Airline Industry With Legitimate Tools (lien direct) |
#### Géolocations ciblées - L'Amérique centrale et les Caraïbes - Amérique du Sud #### Industries ciblées - Systèmes de transport ## Instantané Les chercheurs en cybersécurité de Blackberry ont identifié une attaque ciblée sur une compagnie aérienne latino-américaine par le groupe Akira Ransomware.The attackers used SSH for initial access and employed legitimate tools and LOLBAS ([Living Off the Land Binaries](https://security.microsoft.com/threatanalytics3/96666263-eb70-4b24-b2e7-c8b39822101f/analystreport) and Scripts) toMaintenez la persistance et les données exfiltrates avant de déployer le ransomware. ## Description L'attaque a commencé par exploiter un serveur de sauvegarde Veeam non corrigé via [CVE-2023-27532] (https://security.microsoft.com/intel-explorer/cves/cve-2023-27532/).Après avoir acquis une entrée via SSH et créé un utilisateur d'administration, les attaquants ont réalisé une reconnaissance à l'aide du scanner IP avancé et des données exfiltrées via WinSCP.La protection antivirus a été désactivée et le réseau a été infecté par le ransomware Akira, qui a supprimé des copies d'ombre pour entraver la récupération.Les attaquants ont utilisé des outils comme SMBEXEC d'Impacket, NetScan et AnyDesk pour la persistance, indiquant une approche sophistiquée visant à maximiser les dommages et les exigences de rançon. Cette attaque met en évidence la polyvalence des ransomwares Akira, qui ne cible pas seulement les systèmes Windows mais dispose également de variantes Linux.Le ransomware Akira, également connu sous le nom de [Storm-1567] (https://security.microsoft.com/intel-profiles/675eee77614a60e98bc69cd4177522142e7d283eaaab5d2107a2e7a53b964af36) Organisations du monde depuis sa création en mars 2023.Auparavant, les opérateurs d'Akira gagnés ont acquis un accès initial en tirant parti de CVE-2020-3259 et CVE-2023-20269 ## Analyse Microsoft Akira est une souche de ransomware observée pour la première fois par Microsoft Threat Intelligence en mars 2023. L'analyse d'Akira révèle des caractéristiques communes observées dans d'autres souches de ransomware comme l'utilisation de l'algorithme de cryptage Chacha, du PowerShell et de l'instrumentation de gestion Windows (WMI).Les opérateurs de ransomwares Akira exfiltrent également les données avant le déploiement des ransomwares pour une double extorsion et menacent d'exposer les données à leur site de fuite si la rançon n'est pas payée. [Trend Micro chercheurs identifiés] (https://security.microsoft.com/intel-explorer/articles/8dc2fa00) qu'Akira semble être basé sur le ransomware continu: il partage des routines similaires avec Conti, telles que l'obfuscation de la chaîne et l'encryption de fichiers:, et évite les mêmes extensions de fichiers que Conti évite. ## Détections / requêtes de chasse Microsoft Defender Antivirus Microsoft Defender Antivirus détecte les composants de la menace comme le malware suivant: - [Ransom: win32 / akira] (https://www.microsoft.com/en-us/wdsi/thereats/malware-encycopedia-dercription?name=ransom:win32/akira.a!ibt& ;Theratid=-2147119980) - [Ransom: win64 / akira] (https: //www.microsoft.com/en-us/wdsi/therets/malware-encyclopedia-description?name=ransom:win64/akira.pb!mtb& ;Thereatid=-2147122925) - [Ransom: Linux / AkiRA] (https://www.microsoft.com/en-us/wdsi/therets/malware-encyclopedia-description?name=ransom:linux/akira.a!mtb&Theretid=-2147116283) Microsoft Defender pour le point final Les alertes avec les titres suivants dans le centre de sécurité peuvent indiquer une activité de menace sur votre réseau: - Le groupe d'activités lié aux ransomwares Storm-0844 détecté ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace.Vérifiez la carte de recommandations pour l'état de déploiement des atténuations surveillées. - Lisez notre [Ransom | Ransomware Malware Tool Threat | ★★★ | |
|
2024-07-15 11:27:07 | Weekly OSINT Highlights, 15 July 2024 (lien direct) | ## Snapshot Last week\'s OSINT reporting highlights a diverse array of cyber threats, showcasing the prominence of sophisticated malware, information stealers, and ransomware attacks. Attack vectors frequently include compromised websites, phishing emails, malicious advertisements, and exploitation of known vulnerabilities, particularly in widely-used software like Oracle WebLogic and Microsoft Exchange. Threat actors range from organized state-sponsored groups, such as China\'s APT41 (tracked by Microsoft as [Brass Typhoon](https://security.microsoft.com/intel-profiles/f0aaa62bfbaf3739bb92106688e6a00fc05eafc0d4158b0e389b4078112d37c6)) and APT40 (tracked by Microsoft as [Gingham Typhoon](https://security.microsoft.com/intel-profiles/a2fc1302354083f4e693158effdbc17987818a2433c04ba1f56f4f603268aab6)), to individual developers using platforms like GitHub to distribute malware. The targets are varied, encompassing financial institutions, cryptocurrency exchanges, government agencies, and sectors like healthcare, education, and manufacturing, with a notable focus on high-value data and critical infrastructure across multiple countries. ## Description 1. [Clickfix Infection Chain](https://security.microsoft.com/intel-explorer/articles/85fea057): McAfee Labs discovered the "Clickfix" malware delivery method that uses compromised websites and phishing emails to trick users into executing PowerShell scripts. This method is being used to deliver [Lumma](https://security.microsoft.com/intel-profiles/33933578825488511c30b0728dd3c4f8b5ca20e41c285a56f796eb39f57531ad)[Stealer](https://security.microsoft.com/intel-profiles/33933578825488511c30b0728dd3c4f8b5ca20e41c285a56f796eb39f57531ad) and [DarkGate](https://security.microsoft.com/intel-profiles/52fa311203e55e65b161aa012eba65621f91be7c43bacaaad126192697e6b648) malware across multiple countries, including the US, Canada, and China. 2. [CRYSTALRAY Expands Targeting](https://security.microsoft.com/intel-explorer/articles/ecea26df): Sysdig researchers identified the threat actor CRYSTALRAY, who has scaled operations to over 1,500 victims using SSH-Snake and various vulnerabilities for lateral movement and data exfiltration. Targets include systems vulnerable to CVE-2022-44877, CVE-2021-3129, and CVE-2019-18394. 3. [DodgeBox Loader by APT41](https://security.microsoft.com/intel-explorer/articles/3524d2ae): Zscaler ThreatLabz reported on DodgeBox, a reflective DLL loader used by the Chinese APT41 group, also known as Brass Typhoon. The loader delivers the MoonWalk backdoor and employs sophisticated techniques like call stack spoofing to avoid detection. 4. [ViperSoftX Information Stealer](https://security.microsoft.com/intel-explorer/articles/8084ff7b): Trellix researchers highlighted ViperSoftX, an information stealer spread through cracked software and malicious eBooks. The malware uses PowerShell and AutoIt for data exfiltration and evasion, targeting cryptocurrency wallets and other sensitive information. 5. [Coyote Banking Trojan](https://security.microsoft.com/intel-explorer/articles/201d7c4d): BlackBerry detailed Coyote, a .NET banking trojan targeting Brazilian financial institutions. Delivered likely via phishing, it performs various malicious functions like screen capture and keylogging, communicating with C2 servers upon detecting target domains. 6. [Kematian-Stealer on GitHub](https://security.microsoft.com/intel-explorer/articles/4e00b1b4): CYFIRMA identified Kematian-Stealer, an open-source information stealer hosted on GitHub. It targets applications like messaging apps and cryptocurrency wallets, employing in-memory execution and anti-debugging measures to evade detection. 7. [Eldorado Ransomware-as-a-Service](https://security.microsoft.com/intel-explorer/articles/3603cd85): Group-IB reported on Eldorado, a RaaS targeting various industries and countries, primarily the US. Written in Golang, it uses Chacha20 and RSA-OAEP encryption and has customizable features for targeted attacks. 8. [DoNex Ransomware Flaw](https://security.microsoft.com | Ransomware Malware Tool Vulnerability Threat Legislation Prediction Medical | APT 41 APT 40 | ★★ |
|
2024-07-12 21:43:55 | Ransomware: les niveaux d'activité restent élevés malgré les perturbations Ransomware: Activity Levels Remain High Despite Disruption (lien direct) |
## Instantané L'équipe de Hunter de menace de Symantec a identifié une légère baisse de l'activité des ransomwares au cours du premier trimestre de 2024, attribuée aux opérations d'application de la loi ciblant deux grands groupes de ransomwares.Malgré cela, les niveaux d'activité globaux continuent d'augmenter, 962 attaques réclamées au T1 2024. ## Description Lockbit a maintenu sa position en tant que menace de ransomware supérieure, suivie de Play, Phobos Affiliate 8Base et Ransomware Qilin émergent.L'analyse de Symantec \\ a révélé des disparités entre les attaques prétendues publiquement et celles étudiées, indiquant différents taux de réussite pour différentes familles de ransomwares.L'exploitation des vulnérabilités connues dans les applications accessibles au public reste le principal vecteur d'attaque, avec des campagnes récentes ciblant les serveurs Web via une vulnérabilité PHP récemment divulguée ([CVE-2024-4577] (https://security.microsoft.com/intel-profiles/CVE-2024-4577)).De plus, le retour du ransomware CLOP, exploité par le groupe Snakefly, suggère un passage aux attaques conventionnelles à double extorsion.Les groupes de ransomwares continuent de favoriser la tactique du conducteur de vulnérable (BYOVD), avec l'utilisation récente de l'outil Warp AV Killer par un affilié Lockbit pour désactiver les produits de sécurité.Malgré les perturbations, les ransomwares devraient rester une menace importante pour les entreprises dans un avenir prévisible. Microsoft Tracks Threat Actor [Sangria Tempest] (https://security.microsoft.com/intel-profiles/3e4a164ad64958b784649928499521808aea4d3565df70afc7c85eee69f74278) en tant que déménagement Ransomware. ## Détections / requêtes de chasse Microsoft Defender Antivirus Microsoft Defender Antivirus détecte les composants de menace comme le FOLlowing malware: [Exploit: PHP / CVE-2024-4577] (https://www.microsoft.com/en-us/wdsi/Therets/Malware-encycopedia-description?name=Exploit:php/CVE-2024-4577!mr&menaceid = -2147054383) [Exploit: Python / CVE-2024-4577] (https://www.microsoft.com/en-us/wdsi/atherets/malware-secdcopedia-description? name = exploit: python / cve-2024-4577! msr & menaceID = -2147054386) [Backdoor: Win32 / Clop] (https://www.microsoft.com/en-us/wdsi/atherets/malware-encycopedia-dercription?name=backdoor:win32/clop) [Trojan: Win32 / Clop] (https://www.microsoft.com/en-us/wdsi/thereats/malware-encycopedia-dercription?name=trojan:win32/clop) [Ransom: WIN32 / CLOP] (https://www.microsoft.com/en-us/wdsi/therets/malware-encyclopedia-dercription?name=ransom:win32/clop) Microsoft Defender pour le point final Les alertes suivantes pourraient également indiquer une activité de menace associée à cette menace.Ces alertes, cependant, peuvent être déclenchées par une activité de menace sans rapport et ne sont pas surveillées dans les cartes d'état fournies avec ce rapport. Exploitation de vulnérabilité PHP-CGI possible Processus MSHTA suspect lancé Un comportement suspect par une application HTML a été observé Fichier téléchargé à partir d'une source non fiable ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact des menaces ransomeware. - Allumez [protection en livraison du cloud] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint / configurer-block-at-premier-sight-microsoft-defender-anvivirus? ocid = magicti_ta_learndoc) dans Microsoft Defender aNtivirus ou l'équivalent pour que votre produit antivirus couvre rapidement les outils et techniques d'attaquant en évolution.Les protections d'apprentissage automatique basées sur le cloud bloquent une énorme majorité de variantes nouvelles et inconnues. - Allumez [Protection Tamper] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/prevent-changes-to-security-settings-with-tamper-protection?ocid=Magicti_TA_LearnDoc).Empêcher les attaquants d | Ransomware Malware Tool Vulnerability Threat Legislation | ★★★ | |
|
2024-07-12 14:55:44 | Crystalray Hacker s'étend à 1 500 systèmes violés à l'aide de l'outil SSH-Snake CRYSTALRAY hacker expands to 1,500 breached systems using SSH-Snake tool (lien direct) |
## Instantané Les chercheurs de Sysdig ont identifié un nouvel acteur de menace, "Crystalray", qui a élargi leur portée de ciblage à plus de 1 500 victimes.Les chercheurs ont suivi l'acteur de menace depuis février.Initialement, l'utilisation du ver open-source SSH-Sake pour se déplacer latéralement sur les réseaux violés, Crystalray a maintenant augmenté ses opérations, utilisant un scanner de masse, exploitant plusieurs vulnérabilités et déploiement de déchets à l'aide de divers outils de sécurité OSS. ## Description Le principal outil principal de l'acteur de menace pour la propogande du réseau et l'exfiltration des données est le SSH-Sake, un ver open source qui vole les clés privées SSH sur les serveurs compromis et les utilise pour se déplacer latéralement vers d'autres serveurs tout en supprimant des charges utiles supplémentaires sur les systèmes infiltrés.Additionally, CRYSTALRAY uses modified proof-of-concept (PoC) exploits delivered to targets using the [Sliver post-exploitation toolkit](https://security.microsoft.com/intel-profiles/7b3299451d6740a9ce460a67156d8be84c0308fd6e5ccafccdb368da9f06c95c), and the Platypus web-basedGestionnaire pour gérer plusieurs séances de shell inverse.Avant de lancer les exploits, les attaquants effectuent des vérifications approfondies pour confirmer les défauts à travers les noyaux. Les vulnérabilités cibles de cristalray dans ses opérations actuelles sont: [CVE-2022-44877] (https://security.microsoft.com/intel-Explorer / cves / cve-2022-44877 /) (Arbitrary Command Exécution Flaw in Control Web Pannel), [CVE-2021-3129] (https://security.microsoft.com/intel-explorer/cves/cve-2021-3129 /) (Bogue d'exécution de code arbitraire impactant l'allumage,Laravel), et [CVE-2019-18394] (https://security.microsoft.com/intel-explorer/cves/cve-2019-18394/) (Forgeron de la demande de serveur (SSRF).Les motivations de Crystalray comprennent la collecte et la vente de références, le déploiement de cryptomineurs et le maintien de la persistance dans les environnements victimes. ## Recommandations Microsoft vous recommande de valider l'applicabilité avant de mettre en œuvre dans votre propre environnement. CVE-2022-44877 [Exécutez "Yum Update" sur votre système] (https://security.microsoft.com/intel-explorer/articles/aeca0c35) pour appliquer la mise à jour 0.9.8.1147 à votre système à l'aide du repo personnalisé ajouté par le vendeur \\ 'S script d'installation.Les OSO plus récentes peuvent utiliser "Update DNF" au lieu de la commande YUM. Microsoft recommande les atténuations suivantes pour réduire l'impact des menaces d'information sur les voleurs. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-lock-at-first-sight-microsoft-defender-asvirus?ocid=magicti_ta_learndoc)Dans Microsoft Defender Antivirus, ou l'équivalent de votre produit antivirus, pour couvrir les outils et techniques d'attaquant en évolution rapide.Les protections d'apprentissage automatique basées sur le cloud bloquent une majorité de variantes nouvelles et inconnues. - appliquer le MFA sur tous les comptes, supprimer les utilisateurs exclus de la MFA et strictement [exiger MFA] (https://learn.microsoft.com/azure/active-directory/identity-protection/howto-identity-protection-configure-mfa-Politique? OCID = magicti_ta_learndoc) de tous les appareils, à tous les endroits, à tout moment. - Activer les méthodes d'authentification sans mot de passe (par exemple, Windows Hello, FIDO Keys ou Microsoft Authenticator) pour les comptes qui prennent en charge sans mot de passe.Pour les comptes qui nécessitent toujours des mots de passe, utilisez des applications Authenticatrices comme Microsoft Authenticator pour MFA.[Reportez-vous à cet article] (https://learn.microsoft.com/azure/active-directory/authentication/concept-authentication-methods?ocid=Magicti_ta_learndoc) pour les différentes méthodes et fonctionnalités d'authentificatio | Ransomware Tool Vulnerability Threat | ★★★ | |
|
2024-07-11 19:38:48 | (Déjà vu) La mécanique de Vipersoftx: exploiter AutOIT et CLR pour une exécution furtive PowerShell The Mechanics of ViperSoftX: Exploiting AutoIt and CLR for Stealthy PowerShell Execution (lien direct) |
## Instantané Des chercheurs de Trellix ont publié un rapport sur Vipersoftx, un malware sophistiqué d'informations qui se propage principalement via des logiciels fissurés, et récemment, en tant que livres électroniques sur des sites torrent.En savoir plus sur les voleurs d'informations [ici] (https://security.microsoft.com/intel-profiles/2296d491ea381b532b24f2575f9418d4b6723c17b8a1f507d20c2140a75d16d6). ## Description Détecté pour la première fois en 2020, Vipersoftx utilise le Language Runtime (CLR) Common pour charger et exécuter les commandes PowerShell dans AutOIT, éluant la détection en intégrant la fonctionnalité PowerShell.Les attaquants modifient les scripts de sécurité offensive existants pour s'aligner sur leurs objectifs malveillants, améliorant les tactiques d'évasion des logiciels malveillants. La chaîne d'infection commence lorsque les utilisateurs téléchargent un ebook à partir d'un lien torrent malveillant, contenant des menaces cachées telles que les fichiers de raccourci et les scripts PowerShell déguisés en fichiers JPG.Lorsque l'utilisateur exécute le raccourci, il initie des commandes qui informent un dossier, configurez le planificateur de tâches Windows et copiez des fichiers dans le répertoire système.Le code PowerShell, caché dans des espaces vides, effectue diverses actions malveillantes, y compris l'exfiltration des données et la manipulation du système. Vipersoftx exploite AutOIT pour exécuter les commandes PowerShell en interagissant avec le framework .NET CLR.Le malware corrige l'interface de balayage anti-logiciels (AMSI) pour échapper à la détection, ce qui lui permet de fonctionner non détecté.Il rassemble des informations système, analyse les portefeuilles de crypto-monnaie et envoie des données à son serveur de commande et de contrôle (C2).Le malware télécharge également dynamiquement des charges utiles et des commandes supplémentaires en fonction des réponses du serveur C2. ### Analyse supplémentaire Vipersoftx est un voleur d'informations malveillant connu pour ses capacités d'infiltration et d'exfiltration.L'utilisation principale du malware \\ a été en tant que voleur de crypto-monnaie, et il aurait ciblé 17 portefeuilles de crypto-monnaie différents, notamment Bitcoin, Binance, Delta, Electrum, Exodus, Ledger Live, Metamask, Atomic Wallet et Coinbase.In their April 2023 [report](https://www.trendmicro.com/en_us/research/23/d/vipersoftx-updates-encryption-steals-data.html) on ViperSoftX, Trend Micro noted that consumer and enterprise sectors inL'Australie, le Japon et les États-Unis ont été le plus victimes par les logiciels malveillants. ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace.Vérifiez la carte de recommandations pour l'état de déploiement des atténuations surveillées. - Vérifiez les paramètres de filtrage des e-mails Office 365 pour vous assurer de bloquer les e-mails, le spam et les e-mails avec des logiciels malveillants.Utilisez [Microsoft Defender pour Office 365] (https://learn.microsoft.com/microsoft-365/security/office-365-security/defender-foro-office-365?ocid=Magicti_Ta_learnDoc) pour une protection et une couverture de phishing améliorées contrenouvelles menaces et variantes polymorphes.Configurez Microsoft Defender pour Office 365 à [Rechercher les liens sur Click] (https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-links-about?ocid=magicti_ta_learndoc) et [derete SenteMail] (https://learn.microsoft.com/microsoft-365/security/office-365-security/zero-hour-auto-purge?ocid=Magicti_TA_Learndoc) en réponse à l'intelligence des menaces nouvellement acquise.Allumez [les politiques de pièces jointes de sécurité] (https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-attachments-polies-configure?ocid=Magicti_TA_LearnDoc) pour vérifier les pièces jointes à l'e-mail entrant. - Encourager les utilisateurs à utiliser Microsoft Edge et | Ransomware Spam Malware Tool Threat Prediction | ★★★ | |
|
2024-07-10 17:29:29 | Kematian-voleur: une plongée profonde dans un nouveau voleur d'informations Kematian-Stealer : A Deep Dive into a New Information Stealer (lien direct) |
## Snapshot The CYFIRMA research team has identified a new information stealer malware called Kematian-Stealer. Read Microsoft\'s write-up on information stealers [here](https://security.microsoft.com/intel-profiles/2296d491ea381b532b24f2575f9418d4b6723c17b8a1f507d20c2140a75d16d6). ## Description The malware is hosted on GitHub under the account, "Somali-Devs," and distributed as an open-source tool. Kematian-Stealer is able to extract and copy sensitive information from a number of applications including messaging apps, gaming platforms, VPN services, email clients, password managers, and cryptocurrency wallets. Further, the stealer can capture images using the webcam and from the victim\'s desktop. The stealer also employs a number of tactics to avoid detection. First, it checks for evidence of debugging tools and virtual machine environments. If one is detected, the process is terminated and the script is exited. Additionally, in-memory execution techniques are employed to covertly extract sensitive information from victim computers. ## Detections/Hunting Queries ### Microsoft Defender Antivirus Microsoft Defender Antivirus detects threat components as the following malware: *[PWS:Win32/Multiverze](https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=PWS:Win32/Multiverze&threatId=-2147178658)* ## Recommendations Microsoft recommends the following mitigations to reduce the impact of this threat. Check the recommendations card for the deployment status of monitored mitigations. - Check your Office 365 email filtering settings to ensure you block spoofed emails, spam, and emails with malware. Use [Microsoft Defender for Office 365](https://learn.microsoft.com/microsoft-365/security/office-365-security/defender-for-office-365?ocid=magicti_ta_learndoc) for enhanced phishing protection and coverage against new threats and polymorphic variants. Configure Microsoft Defender for Office 365 to [recheck links on click](https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-links-about?ocid=magicti_ta_learndoc) and [delete sent mail](https://learn.microsoft.com/microsoft-365/security/office-365-security/zero-hour-auto-purge?ocid=magicti_ta_learndoc) in response to newly acquired threat intelligence. Turn on [safe attachments policies](https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-attachments-policies-configure?ocid=magicti_ta_learndoc) to check attachments to inbound email. - Encourage users to use Microsoft Edge and other web browsers that support [SmartScreen](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/web-protection-overview?ocid=magicti_ta_learndoc), which identifies and blocks malicious websites, including phishing sites, scam sites, and sites that host malware. - Turn on [cloud-delivered protection](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-block-at-first-sight-microsoft-defender-antivirus?ocid=magicti_ta_learndoc) in Microsoft Defender Antivirus, or the equivalent for your antivirus product, to cover rapidly evolving attacker tools and techniques. Cloud-based machine learning protections block a majority of new and unknown variants. - Enforce MFA on all accounts, remove users excluded from MFA, and strictly [require MFA](https://learn.microsoft.com/azure/active-directory/identity-protection/howto-identity-protection-configure-mfa-policy?ocid=magicti_ta_learndoc) from all devices, in all locations, at all times. - Enable passwordless authentication methods (for example, Windows Hello, FIDO keys, or Microsoft Authenticator) for accounts that support passwordless. For accounts that still require passwords, use authenticator apps like Microsoft Authenticator for MFA. [Refer to this article](https://learn.microsoft.com/azure/active-directory/authentication/concept-authentication-methods?ocid=magicti_ta_learndoc) for the different authentication methods and features. - For MFA that uses authenticator | Ransomware Spam Malware Tool Threat | ★★★ | |
|
2024-07-09 21:11:51 | (Déjà vu) Eldorado Ransomware: le nouvel empire doré de la cybercriminalité? Eldorado Ransomware: The New Golden Empire of Cybercrime? (lien direct) |
#### Géolocations ciblées - États-Unis - Italie - Croatie ## Instantané Des chercheurs de Group-IB ont publié un rapport sur Eldorado, un nouveau Ransomware-as-a-Service (RAAS) annoncé sur le forum Darkweb Rampware Ransomware. ## Description Eldorado propose des versions Windows et Linux du ransomware, qui est écrite en Golang.Le ransomware utilise Chacha20 pour le chiffrement des fichiers et le RSA-OAEP pour le cryptage clé.Eldorado possède également des fonctionnalités personnalisables qui permettent des attaques ciblées contre les organisations, y compris la possibilité de crypter des fichiers sur les réseaux Hared à l'aide du protocole SMB.De plus, les utilisateurs d'Eldorado peuvent personnaliser les notes de rançon et les informations d'identification d'administration. En juin 2024, 16 entreprises de divers pays et industries ont été ciblées par les ransomwares Eldorado.Les organisations aux États-Unis ont notamment été attaquées 13 fois, contribuant à plus de 80% du nombre total d'incidents.De plus, il y a eu deux attaques en Italie et une attaque supplémentaire en Croatie.Le groupe-IB rapporte également que l'industrie immobilière a été le plus ciblé (un total de trois fois) par les ransomwares d'Eldorado;Cependant, l'éducation, les services professionnels, les soins de santé, la fabrication, les télécommunications, les transports et les secteurs gouvernementaux ont également été affectés. ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact des menaces RAAS. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-lock-at-first-sight-microsoft-defender-asvirus?ocid=magicti_ta_learndoc)Dans Microsoft Defender Antivirus ou l'équivalent pour que votre produit antivirus couvre des outils et techniques d'attaquant en évolution rapide.Les protections d'apprentissage automatique basées sur le cloud bloquent une énorme majorité de variantes nouvelles et inconnues. - Allumez [Protection Tamper] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/prevent-changes-to-security-settings-with-tamper-protection?ocid=Magicti_TA_LearnDoc).Empêcher les attaquants d'empêcher les services de sécurité. - Exécutez [Détection et réponse de point de terminaison (EDR) en mode bloc] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-lock-mode?ocid=Magicti_TA_Learndoc), de sorte que celaLe défenseur du point final peut bloquer les artefacts malveillants, même lorsque votre antivirus non microsoft ne détecte pas la menace ou lorsque l'antivirus Microsoft Defender fonctionne en mode passif.EDR en mode bloc fonctionne dans les coulisses pour corriger les artefacts malveillants détectés après la lutte. - Activer [Investigation and Remediation] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/automated-investigations?ocid=Magicti_TA_Learndoc) en mode automatisé complet pour permettre au défenseur de terminer l'action immédiatement sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate surAlertes pour résoudre les violations, réduisant considérablement le volume d'alerte. - Les clients de Microsoft Defender peuvent activer [Règles de réduction de la surface d'attaque] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/attack-surface-reduction?ocid=Magicti_TA_LearnDoc) pour prévenir les techniques d'attaque communes utilisées utilisées utiliséDans les attaques de ransomwares.Les règles de réduction de la surface d'attaque sont des paramètres de balayage qui sont efficaces pour arrêter des classes entières de menaces. - Ransom et stade de mouvement latéral: - [Block Process | Ransomware Tool Threat | ★★★ | |
|
2024-07-09 20:11:45 | Décrit: ransomware Donex et ses prédécesseurs Decrypted: DoNex Ransomware and its Predecessors (lien direct) |
#### Géolocations ciblées - États-Unis - Italie - Belgique ## Instantané Les chercheurs AVAST ont identifié un défaut cryptographique dans le ransomware Donexet ses prédécesseurs, affectant les victimes ciblées aux États-Unis, en Italie et en Belgique. ## Description Le ransomware utilise un processus de chiffrement sophistiqué à l'aide de Chacha20, et Avast a fourni un décrypteur aux victimes touchées. Pendant l'exécution du ransomware, une clé de chiffrement est générée par la fonction cryptGenrandom ().Cette clé est ensuite utilisée pour initialiser la clé symétrique Chacha20 et par la suite pour chiffrer les fichiers.Une fois un fichier crypté, la clé de fichier symétrique est chiffrée par RSA-4096 et annexée à la fin du fichier.Les fichiers sont sélectionnés par leur extension et les extensions de fichiers sont répertoriées dans la configuration XML Ransomware. ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact des menaces RAAS. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-lock-at-first-sight-microsoft-defender-asvirus?ocid=magicti_ta_learndoc)Dans Microsoft Defender Antivirus ou l'équivalent pour que votre produit antivirus couvre des outils et techniques d'attaquant en évolution rapide.Les protections d'apprentissage automatique basées sur le cloud bloquent une énorme majorité de variantes nouvelles et inconnues. - Allumez [Protection Tamper] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/prevent-changes-to-security-settings-with-tamper-protection?ocid=Magicti_TA_LearnDoc).Empêcher les attaquants d'empêcher les services de sécurité. - Exécutez [Détection et réponse de point de terminaison (EDR) en mode bloc] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-lock-mode?ocid=Magicti_TA_Learndoc), de sorte que celaLe défenseur du point final peut bloquer les artefacts malveillants, même lorsque votre antivirus non microsoft ne détecte pas la menace ou lorsque l'antivirus Microsoft Defender fonctionne en mode passif.EDR en mode bloc fonctionne dans les coulisses pour corriger les artefacts malveillants détectés après la lutte. - Activer [Investigation and Remediation] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/automated-investigations?ocid=Magicti_TA_Learndoc) en mode automatisé complet pour permettre au défenseur de terminer l'action immédiatement sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate sur l'action immédiate surAlertes pour résoudre les violations, réduisant considérablement le volume d'alerte. - Les clients de Microsoft Defender peuvent activer [Règles de réduction de la surface d'attaque] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/attack-surface-reduction?ocid=Magicti_TA_LearnDoc) pour prévenir les techniques d'attaque communes utilisées utilisées utiliséDans les attaques de ransomwares.Les règles de réduction de la surface d'attaque sont des paramètres de balayage qui sont efficaces pour arrêter des classes entières de menaces. - Ransom et stade de mouvement latéral: - [Block Process Creations provenant des commandes psexec et WMI] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/attack-surface-redulation-Rules-reference?ocid=Magicti_TA_LearnDoc#block-Process-Creations-Origining-From-Psexec-and-WMI-Commands).Certaines organisations peuvent rencontrer des problèmes de compatibilité avec cette règle sur certains systèmes de serveurs, mais devraient le déployer dans d'autres systèmes pour empêcher le mouvement latéral provenant du psexec et de l'OMM. - [Bloquez les fichiers exécutables d | Ransomware Tool Threat | ★★★ | |
|
2024-07-08 19:54:54 | \\ 'Poseidon \\' Stealer Mac Distribué via Google Ads \\'Poseidon\\' Mac stealer distributed via Google ads (lien direct) |
## Instantané Les analystes de MalwareBytes ont observé une campagne distribuant un voleur Mac via des annonces Google malveillantes pour le navigateur ARC.Le voleur, nommé "Poseidon", est une évolution du [voleur atomique] (https://security.microsoft.com/intel-explorer/articles/38f0f5fa) et a été précédemment suivi comme OSX.RodStealer par MakwareBytes. ## Description Le nouveau voleur comprend des fonctionnalités telles que le pillage des configurations VPN de Fortinet et OpenVPN. Rodrigo4, un acteur de menace sur le Forum Underground XSS, a rebaptisé le projet et l'a annoncé le 23 juin 2024. Poséidon comprend des fonctionnalités comme l'attraction de fichiers, l'extraction de portefeuille crypto, le vol de gestion de mot de passe et la collecte de données du navigateur.L'exfiltration des données a été effectuée à l'aide d'une commande spécifique qui a envoyé des données à un serveur, qui avait un panneau de marque Poseidon. La méthode de distribution du voleur de Poseidon \\ a impliqué une annonce Google malveillante pour le navigateur Arc, redirigeant les utilisateurs vers un faux site, arc-download \ [. \] Com, où un fichier DMG a été téléchargé.Ce fichier avait une astuce pour contourner les protections de sécurité MAC. Il s'agit de la deuxième campagne ces derniers mois où le navigateur ARC est utilisé comme leurre dans les publicités Google malveillantes.La première [campagne a consisté à abandonner un rat Windows] (https://security.microsoft.com/intel-explorer/articles/9dd6578a) en utilisant des méthodes similaires. ## Analyse Microsoft Les menaces contre les macOS ont fait la une des journaux au cours des derniers mois alors que les acteurs de la menace continuent d'évoluer les techniques d'attaque et de s'adapter et d'élargir de plus en plus leur ciblage de cyber pour inclure les utilisateurs de Mac.Autrefois un paradis de logiciels malveillants, les utilisateurs de Mac sont désormais confrontés à un éventail croissant d'attaques sophistiquées. Microsoft a suivi les tendances des rapports récents des logiciels malveillants MacOS dans la communauté de la sécurité.Ces tendances comprennent: les publicités malveillantes et la distribution des logiciels, les campagnes d'ingénierie sociale et l'exploitation des vulnérabilités logicielles. [En savoir plus sur les tendances récentes des OSINT dans les menaces pour MacOS ici.] (Https://security.microsoft.com/intel-explorer/articles/3d13591e) ## Détections / requêtes de chasse Microsoft Defender Antivirus détecte les composants de menacesuivant les logiciels malveillants: [Trojan: macOS / Poseidon] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dEscription? Name = Trojan: macOS / Poseidon & menaceID = -2147147527) ## Recommandations Recommandations pour protéger contre la malvertisation Appliquez ces atténuations pour réduire l'impact de cette menace.Vérifiez la carte de recommandations pour l'état de déploiement des atténuations surveillées. - Encouragez les utilisateurs à utiliser Microsoft Edge et d'autres navigateurs Web qui prennent en charge SmartScreen, qui identifie et bloque des sites Web malveillants, y compris des sites de phishing, des sites d'arnaque et des sites qui contiennent des exploits et hôte des logiciels malveillants..microsoft.com / en-us / Microsoft-365 / Security / Defender-Endpoint / Activer-Network-Protection? OCID = Magicti% 3CEM% 3ETA% 3C / EM% 3ELEARNDOC) pour bloquer les connexions vers des domaines malveillants et des adresses IP. - Construire la résilience organisationnelle contre les menaces par e-mail en éduquant les utilisateurs sur l'identification des attaques d'ingénierie sociale et la prévention de l'infection des logiciels malveillants.Utilisez [Formation de simulation d'attaque] (https://learn.microsoft.com/microsoft-365/security/office-365-security/attack-simulation-training-get-started?ocid=Magicti%3CEM%3ETA%3C/EM% 3ElearnDo | Ransomware Malware Vulnerability Threat | ★★★ | |
|
2024-07-05 21:45:05 | New Orcinius Trojan utilise la piétinement VBA pour masquer l'infection New Orcinius Trojan Uses VBA Stomping to Mask Infection (lien direct) |
## Instantané L'équipe de recherche sur les menaces de sonicwall Capture Labs a découvert un cheval de Troie à plusieurs étapes nommé Orcinius qui utilise Dropbox et Google Docs pour télécharger et mettre à jour les charges utiles de deuxième étape. ## Description L'équipe de recherche sur les menaces de sonicwall Capture Labs a découvert un cheval de Troie à plusieurs étapes nommé Orcinius qui utilise Dropbox et Google Docs pour télécharger et mettre à jour les charges utiles de deuxième étape.La méthode d'infection initiale du malware est une feuille de calcul Excel qui apparaît comme un calendrier italien avec trois feuilles de calcul discutant des cycles de facturation dans diverses villes.La feuille de Spreasds, contenant une macro VBA modifiée via \\ 'vba piétinant \', détruit le code source d'origine et laisse uniquement le code P compilé.Cet obscurcissement signifie que la visualisation de la macro ne révèle rien ou une version inoffensive du code, qui s'active lorsque le fichier est ouvert ou fermé.Lors de l'exécution, la macro effectue plusieurs actions: il vérifie et écrit des clés de registre pour masquer les avertissements, énumére l'exécution de fenêtres à l'aide d'Enumthreadwindows, établit la persistance en écrivant une clé de HkeStaruPitems, contacts URL codés pour télécharger des charges utiles supplémentaires à l'aide de wscript.shell, et surveille l'entrée du clavier via SetWindowShooKex.Le malware fait référence \\ 'synaptics.exe \' et \\ 'cache1.exe, \' le liant à d'autres menaces comme Remcos, AgentTesla, Neshta et HtmldRopper, qui se masquait comme \\ 'synaptics.exe \'et peut être trouvé sur Virustotal.Pendant l'analyse, les pages des URL énumérées n'étaient pas disponibles.Sonicwall a publié des signatures pour protéger les clients de l'exploitation potentielle par Orcinius. ## Recommandations Recommandations pour protéger contre les voleurs d'informations Microsoft recommande les atténuations suivantes pour réduire l'impact des menaces d'information sur les voleurs. - Vérifiez les paramètres de filtrage des e-mails Office 365 pour vous assurer de bloquer les e-mails, le spam et les e-mails avec des logiciels malveillants.Utilisez [Microsoft Defender pour Office 365] (https://learn.microsoft.com/microsoft-365/security/office-365-security/defender-forzice-365?ocid=Magicti_TA_Learnddoc) pour une protection et une couverture de phishing améliorées contrenouvelles menaces et variantes polymorphes.Configurez Microsoft Defender pour Office 365 à [Rechercher les liens sur Click] (https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-links-about?ocid=magicti_ta_learndoc) et [derete SenteMail] (https://learn.microsoft.com/microsoft-365/security/office-365-security/zero-hour-auto-purge?ocid=Magicti_ta_learndoc) en réponse à l'intelligence de menace nouvellement acquise.Allumez [les politiques de pièces jointes de sécurité] (https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-attachments-polies-configure?ocid=Magicti_TA_LearnDoc) pour vérifier les pièces jointes à l'e-mail entrant. - Encourager les utilisateurs à utiliser Microsoft Edge et d'autres navigateurs Web qui prennent en charge [SmartScreen] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/web-overview?ocid=Magicti_TA_LearnDDoc), qui identifieet bloque des sites Web malveillants, y compris des sites de phishing, des sites d'arnaque et des sites qui hébergent des logiciels malveillants. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-lock-at-first-sight-microsoft-defender-asvirus?ocid=magicti_ta_learndoc)Dans Microsoft Defender Antivirus, ou l'équivalent de votre produit antivirus, pour couvrir les outils et techniques d'attaquant en évolution rapide.Les protections d'apprentissage automatique basées sur le cloud bloquent une majorité de variantes nouvelles et inconnues. | Ransomware Spam Malware Tool Threat | ★★★ | |
|
2024-07-04 01:16:40 | New Medusa malware variants target Android users in seven countries (lien direct) | #### Géolocations ciblées - Espagne - France - Italie - Canada - États-Unis - Royaume-Uni - t & uuml; rkiye ## Instantané L'équipe de renseignement sur les menaces de Cleafy a identifié la résurgence de la Méduse Banking Trojan pour Android, ciblant des pays, notamment la France, l'Italie, les États-Unis, le Canada, l'Espagne, le Royaume-Uni et la Turquie. ## Description La nouvelle campagne, observée depuis mai 2024, présente des variantes compactes nécessitant moins d'autorisations et l'introduction de nouvelles capacités pour lancer des transactions directement à partir d'appareils compromis.Ces variantes ont été distribuées à travers 24 campagnes en utilisant le phishing SMS pour charger les logiciels malveillants via des applications compte-gouttes, attribuées à cinq botnets distincts.Notamment, l'infrastructure centrale du malware \\ récupère dynamiquement les URL du serveur de commande et de contrôle (C2) à partir de profils publics de médias sociaux. Le malware de Medusa, découvert pour la première fois en 2020, est connu pour ses capacités de rat, notamment le keylogging, les contrôles d'écran et la manipulation du SMS, permettant une fraude à dispositive sophistiquée (ODF).Dans les campagnes récentes, l'équipe de Cleafy \\ a identifié un changement dans la stratégie de distribution du malware \\, avec des acteurs de menace expérimentant des "dropsiers" pour diffuser le malware via de fausses procédures de mise à jour.L'évolution du malware \\ comprend un ensemble d'autorisation réduit et rationalisé, améliorant sa furtivité et son efficacité tout en ciblant de nouvelles régions géographiques.La dernière variante Medusa réduit son empreinte sur les appareils compromis, conserve les services d'accessibilité d'Android et ajoute de nouvelles commandes, y compris la possibilité de capturer des captures d'écran et d'effectuer des actions trompeuses avec une superposition d'écran noir. Dans les dernières campagnes, cinq botnets distincts ont été identifiés, chacun avec des caractéristiques uniques et des cibles géographiques.Le malware utilise des techniques avancées telles que l'utilisation de VNC pour un contrôle en temps réel, la récupération dynamique des URL du serveur C2 à partir des médias sociaux et l'utilisation des canaux de communication de sauvegarde pour une résilience accrue.L'analyse de Cleafy \\ a également noté des changements significatifs dans la structure de commande de la variante MEDUSA, avec l'introduction de nouvelles commandes telles que la définition de superpositions d'écran noir et les applications désinstallées à distance, améliorant encore ses capacités malveillantes.Bien qu'il ne soit pas encore observé sur Google Play, le nombre croissant de cybercriminels impliqués dans l'opération de logiciels malveillants en tant que service (MAAS) suggère que les stratégies de distribution sont susceptibles de se diversifier et de devenir plus sophistiquées. ## Détections / requêtes de chasse ### Microsoft Defender Antivirus Microsoft Defender Antivirus détecte les composants de la menace comme le MA suivantlware: - [Ransom: win32 / medusa.pa] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name = rançon: win32 / medusa.pa! Mtb & menaceID = -2147079865) ### Microsoft Defender pour le point de terminaison Les alertes suivantes peuvent indiquer l'activité associée à cette menace.Ces alertes, cependant, peuvent être déclenchées par une activité de menace sans rapport et ne sont pas surveillées dans les cartes d'état fournies avec ce rapport. - Un ransomware actif \\ 'medusa \' a été détecté ## Recommandations Microsoft recommande que les développeurs et les analystes de sécurité se familiarisent avec les [excellentes directives de sécurité des applications Android] (https://developer.android.com/privacy-and-security/risks) fourn | Ransomware Malware Vulnerability Threat Mobile | ★★★ | |
|
2024-07-02 16:41:02 | Hemlock Unfurling: un nouveau groupe de menaces utilise une campagne de bombes en cluster pour distribuer des logiciels malveillants Unfurling Hemlock: New threat Group Uses Cluster Bomb Campaign to Distribute Malware (lien direct) |
#### Targeted Geolocations - United States - Germany ## Snapshot During a review of last year\'s malware campaigns, KrakenLabs discovered a campaign where hundreds of thousands of malicious files were distributed using a "malware cluster bomb" technique. ## Description These findings were based on reports about malware like Amadey and Redline, indicating a massive, multi-month campaign likely orchestrated by a single group. This group, dubbed \'Unfurling Hemlock,\' utilized a complex nesting strategy within compressed cabinet files to distribute malware. The infection method involved compressed files named “WEXTRACT.EXE.MUI,” with layers of nested compressed files each containing malware samples. This technique led to the distribution of over 50,000 files worldwide, primarily featuring stealers like Redline, RisePro, and Mystic Stealer, and loaders such as Amadey and SmokeLoader. Despite the samples appearing from various sources, many were traced back to Eastern European hosting services, suggesting a centralized origin. Unfurling Hemlock\'s campaign aimed to maximize infection rates and financial gain by employing utilities to obfuscate malware, disable defenses, and enhance infection success. The group\'s operations seemed financially motivated, leveraging widespread malware distribution and possible partnerships with other cybercriminals for pay-per-infection schemes. The malware execution followed a specific order, where nested files unpacked malware samples, which then executed sequentially to ensure maximum infection impact. This method resulted in multiple malware strains infecting a single victim, posing significant risks to organizations. KrakenLabs\' analysis included over 2,100 samples, revealing distinct patterns and operational structures, confirming the campaign\'s extensive reach and sophistication. They observed multiple distribution methods, including email and compromised websites, and identified numerous command and control (C2) servers linked to the malware. The primary targets of this campaign were companies and private institutions across various countries, with a significant number of uploaded samples originating from the United States and Germany. Interestingly, Russia was also a notable source, despite typical avoidance of CIS countries by regional cybercriminals. KrakenLabs emphasized that while the malware itself was not highly sophisticated, the extensive distribution and redundancy in infection strategies posed substantial threats. The team also noted the potential for similar techniques to gain popularity among other threat actors in the future. ## Additional Analysis Infostealers are commodity malware used to steal information from a target device and send it to the threat actor. Read Microsoft\'s write-up on information stealers [here](https://security.microsoft.com/intel-profiles/2296d491ea381b532b24f2575f9418d4b6723c17b8a1f507d20c2140a75d16d6). ### **Redline** First observed in 2020, threat actors using Redline have leveraged the information stealer because of its availability and flexibility. It allows attackers to collect credentials from web browsers, cryptocurrency wallets, and applications, including passwords, cookies, browser history, and credit card information. Additionally, attackers can gather location information, screenshots, usernames, operating system details, User Account Control (UAC) settings, anti-virus tools, and file information from compromised devices. Redline is often advertised as a Malware-as-a-Service (MaaS) on a number of cybercriminal platforms like the dark web and Telegram, increasing its availability to both sophisticated and unsophisticated threat actors. ### RisePro According to [Security Week](https://www.securityweek.com/new-risepro-infostealer-increasingly-popular-among-cybercriminals/), RisePro was first detected in December 2022 being sold on Russian Market, but a sharp increase of activity surroundin | Ransomware Spam Malware Tool Threat | ★★★ | |
|
2024-07-01 10:57:31 | Faits saillants hebdomadaires, 1er juillet 2024 Weekly OSINT Highlights, 1 July 2024 (lien direct) |
## Snapshot Last week\'s OSINT reporting reveals a landscape of diverse cyber threats characterized by sophisticated attack tactics and adaptable threat actors. Key themes include the proliferation of Remote Access Trojans (RATs) like Remcos and XWorm, as well as the deployment of ransomware in espionage campaigns by groups such as ChamelGang. The use of phishing, malicious documents, and social engineering tactics are prevalent attack vectors, often leading to the installation of malware, as seen with Fickle Stealer and StrelaStealer. Threat actors range from nation-state groups, including Chinese and Russian espionage teams targeting government and critical infrastructure, to cybercriminals employing Phishing-as-a-Service platforms like ONNX Store to target financial institutions. The targets of these attacks are diverse, encompassing telecom operators, government entities, academic institutions, and private sector organizations across various regions, highlighting the global and multifaceted nature of current cyber threats. ## Description 1. **[Chinese Espionage Group Targets Telecom Operators](https://sip.security.microsoft.com/intel-explorer/articles/e2de6dd7):** Symantec\'s Threat Hunter Team identified a prolonged espionage campaign by Chinese groups targeting telecom operators in an Asian country using tools like Coolclient and Rainyday. The attackers aimed to steal credentials and implant backdoors, suggesting motives ranging from intelligence gathering to infrastructure disruption. 2. **[Remcos RAT Distributed via Malicious Word Documents](https://sip.security.microsoft.com/intel-explorer/articles/f5983b2e):** Forcepoint analysts discovered the distribution of Remcos RAT through Word documents with shortened URLs, exploiting the Equation Editor vulnerability. The malware enables full system control for espionage and data theft, highlighting the importance of recognizing evolving cybercriminal tactics. 3. **[WordPress Plugins Compromised with Malicious PHP Scripts](https://sip.security.microsoft.com/intel-explorer/articles/d443398b):** Wordfence identified a threat actor tampering with five WordPress plugins to create new admin accounts and inject SEO spam. This breach affected over 35,000 websites, emphasizing the need for robust security measures and vigilant monitoring of plugin updates. 4. **[SugarGh0st Malware Campaign by SneakyChef](https://sip.security.microsoft.com/intel-explorer/articles/f1334283):** Cisco Talos uncovered "SneakyChef" using SugarGh0st malware to target government agencies in EMEA and Asia, employing decoy documents from foreign ministries. The group\'s infection chain involves SFX RAR files, with tactics suggesting a Chinese-speaking origin. 5. **[ChamelGang Uses Ransomware for Cyberespionage](https://sip.security.microsoft.com/intel-explorer/articles/b24f9fda):** SentinelLabs and Recorded Future reported on ChamelGang\'s use of CatB ransomware to target global high-profile organizations. The group, likely Chinese, uses ransomware to mislead attribution efforts and facilitate data exfiltration. 6. **[P2Pinfect Rust-based Malware Evolution](https://sip.security.microsoft.com/intel-explorer/articles/2238375c):** Cado Security highlighted the evolution of P2Pinfect, a Rust-based malware spreading via Redis with a botnet for pushing updated binaries. The malware includes a worm, miner, and ransomware payloads, demonstrating ongoing development for profit and network expansion. 7. **[UAC-0184 Targets Ukraine with XWorm RAT](https://sip.security.microsoft.com/intel-explorer/articles/1d853438):** CRIL reported on UAC-0184\'s malware campaign using XWorm RAT to target Ukrainian entities. The attack employs malicious LNK files and DLL sideloading to establish remote access, reflecting the group\'s evolving tactics. 8. **[Xctdoor Malware Targets Korean Companies](https://sip.security.microsoft.com/intel-explorer/articles/df357951):** AhnLab identified attacks on Korean companies using Xctdoor malware, initially infiltrating systems via an ERP update server. | Ransomware Spam Malware Tool Vulnerability Threat | ★★★ | |
|
2024-06-28 17:46:36 | Le raccourcissement d'URL dans un fichier Word Microsoft qui mène à Remcos Rat URL Shortener in a Microsoft Word File that Leads to Remcos RAT (lien direct) |
## Instantané Les analystes de ForcePoint ont identifié une nouvelle méthode de distribution des REMCO (télécommande et surveillance) à distance d'accès à distance (rat) via des documents de mots malveillants contenant des URL raccourcies. ## Description Le Remcos Rat malware accorde aux attaquants un contrôle total sur un système infecté, permettant le vol de données, l'espionnage et d'autres activités malveillantes.L'attaque commence lorsqu'un e-mail contenant une pièce jointe .docx est livré.L'attaque commence par un e-mail contenant une pièce jointe .Docx, qui conduit au téléchargement du Remcos Rat via une variante du malware d'éditeur d'équipement au format RTF.Le malware exploite la vulnérabilité de l'éditeur d'équation ([CVE-2017-11882] (https://security.microsoft.com/intel-explorer/cves/cve-2017-0199/)) pour télécharger un script VB, qui deobfuscats à PowerShellCode tentant de télécharger un binaire malveillant via l'image stéganographique et les chaînes encodées de base64 de base64.L'utilisation d'URL raccourcies dans des documents de mots pour distribuer le Remcos Rat met en évidence l'évolution des tactiques des cybercriminels, soulignant l'importance de comprendre la chaîne d'infection et de reconnaître les signes de telles attaques pour mieux protéger contre ces menaces. ## Analyse supplémentaire Remcos Rat est couramment déployé via le phishing en utilisant plusieurs types d'attachements malveillants.Par exemple, en 2023, [chercheurs de contrôle observés] (https://security.microsoft.com/intel-explorer/articles/12418076) Une campagne de phishing à grande échelle ciblant les organisations colombiennes utilisant des accessoires Zip, RAR ou TGZ pour distribuer les logiciels malveillants.[AhnLab Security Intelligence Center (ASEC) a également observé] (https://asec.ahnlab.com/ko/65790/) REMCOS RAT distribué via des fichiers Uue compressés. Remcos est un rat polyvalent car il fournit aux attaquants un contrôle étendu sur un système infectieux, facilitant une variété d'activités malveillantes.Les impacts clés d'une infection REMCOS peuvent inclure: - ** Takeover du compte: ** Remcos est apte à capturer les mots de passe et le keylogging à partir de systèmes compromis, permettant aux attaquants de contrôler Séeze des comptes en ligne et d'autres systèmes, de voler des informations sensibles, d'établir de la persistance et de dégénérer les privilèges. - ** Vol de données: ** Au-delà des touches de journalisation et des informations d'identification, les Remcos ont la capacité de collecter et de transmettre d'autres données d'une organisation, permettant aux attaquants de mener des violations de données. - ** Infections de suivi: ** REMCOS permet aux attaquants d'introduire des logiciels malveillants supplémentaires à un appareil infecté.Par conséquent, une infection par REMCOS pourrait entraîner des menaces plus réduites telles que des ransomwares ou une autre attaque de suivi. ## Détections / requêtes de chasse ** Microsoft Defender Antivirus ** Microsoft Defender Antivirus détecte les composants de la menace comme le malware suivant: - * [Backdoor: MSIL / REMCOS] (https://www.microsoft.com/en-us/wdsi/thereats/malware-encycopedia-dercription?name=backDoor:msil/remcos&Thereatid=-2147222251) * - * [BackDoor: Win32 / Remcos] (https://www.microsoft.com/en-us/wdsi/thereats/malware-encycopedia-dercription?name=backdoor:win32/remcos& ;theretid=-2147238996) * - * [Backdoor: JS / Remcos] (https://www.microsoft.com/en-us/wdsi/thereats/malware-encycopedia-dercription?name=backDoor:js/remcos&Thereatid=-214707070418) * * - * [Trojan: Win32 / Remcos] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=trojan:win32/remccOS & menaceID = -2147239341) * - * [Trojan: MSIL / Remcos] (https://www.microsoft.com/en-us/wdsi/thereats/malware-encyclopedia-dercription?name=trojan:msil/remcos.mbdk!mtb& ;troatid=-2147121620) * | Ransomware Malware Tool Vulnerability Threat | ★★★ | |
|
2024-06-27 20:00:39 | (Déjà vu) Sneakychef Espionage Group cible les agences gouvernementales avec Sugargh0st et plus de techniques d'infection SneakyChef espionage group targets government agencies with SugarGh0st and more infection techniques (lien direct) |
#### Géolocations ciblées - Asie centrale - Moyen-Orient - Asie du sud - Europe du Nord - Amérique du Nord - L'Europe de l'Est - Europe du Sud - Europe de l'Ouest #### Industries ciblées - agences et services gouvernementaux ## Instantané Cisco Talos a récemment identifié un nouvel acteur de menace, "sneakychef", utilisant des logiciels malveillants de Sugargh0st dans une campagne datant d'août 2023. ## Description [Ciblant initialement la Corée du Sud et l'Ouzbékistan] (https://security.microsoft.com/intel-explorer/articles/08b2afef), "sneakychef" a élargi son objectif pour inclure des pays en EMEA et en Asie.Le groupe utilise des documents gouvernementaux numérisés, en particulier des ministères des affaires étrangères et des ambassades, pour attirer les victimes. "Sneakychef" cible un large éventail d'agences gouvernementales et a utilisé des documents leurres imitant le ministère des Affaires étrangères de l'Angola, du Turkménistan, du Kazakhstan, de l'Inde et de la Lettonie, entre autres.La campagne usurpe également les documents de la conférence de recherche.Récemment, une campagne Sugargh0st a ciblé un [États-UnisOrganisation de l'IA] (https: // security.microsoft.com/intel-explorer/articles/a67a621d), indiquant la large adoption du malware \\. Malgré les divulgations, "sneakychef" continue to Utilisez des domaines C2 anciens et nouveaux.Leur chaîne d'infection implique des fichiers SFX RAR, qui déposent des composants malveillants sur les systèmes des victimes.Le processus implique un document de leurre, un chargeur de DLL, un SCRYPTED SUCARGH0ST et un script VB, similaire aux méthodes précédemment divulguées. Une chaîne d'infection supplémentaire utilisant des fichiers SFX RAR a été découverte, soutenant la théorie selon laquelle "sneakychef" est probablement chinois.Cette affirmation est basée sur la langue utilisée et l'utilisation du groupe Gh0st Rat, populaire parmi les pirates de langue chinois. ## Recommandations Recommandations pour protéger contre les attaques de phishing Implémentez l'authentification multifactrice (MFA) pour atténuer le vol d'identification des attaques de phishing.Le MFA peut être complété par les solutions et les meilleures pratiques suivantes pour protéger les organisations: - Activer les politiques d'accès conditionnel.[Accès conditionnel] (https://learn.microsoft.com/azure/active-directory/conditional-access/overview?ocid=magicti_ta_learndoc) sont évalués et appliqués chaque fois qu'un attaquant tente d'utiliser un cookie de session volé.Les organisations peuvent se protéger des attaques qui tirent parti des références volées en activant des politiques concernant les appareils conformes ou l'adresse IP de confiance nécessitentmens. - configurehttps: //learn.microsoft.com/azure/active-directory/conditional-access/concept-continuse-access-evaluation? Ocid = magicti_ta_learndoc [ConÉvaluation de l'accès en tinous] (https://learn.microsoft.com/azure/active-directory/conditional-access/concept-continuous-access-evaluation?ocid=Magicti_ta_learndoc) dans votre locataire. - Investissez dans des solutions anti-phishing avancées qui surveilleront les e-mails entrants et les sites Web visités.[Microsoft Defender for Office] (https://learn.microsoft.com/microsoft-365/security/defender/microsoft-365-security-center-mdo?ocid=Magicti_TA_LearnDoc) 365 rassemble des incidents et une gestion de l'alerte à travers l'e-mail, les dispositifset identités, centraliser les enquêtes pour les menaces par courrier électronique.Les organisations peuvent également tirer parti des navigateurs Web qui [identifient et bloquent automatiquement les sites Web malveillants] (https://learn.microsoft.com/deployedge/microsoft-edge-security-smartscreen?ocid=Magicti_TA_Learndoc), y compris ceux utilisés dans cette campagne de phishing. - Surveillez les activités suspectes ou anormales et recherchez | Ransomware Spam Malware Tool Threat Conference | ★★ | |
|
2024-06-27 19:05:45 | Groupes de cyberespionnage de Chamelgang & Friends attaquant une infrastructure critique avec ransomware ChamelGang & Friends Cyberespionage Groups Attacking Critical Infrastructure with Ransomware (lien direct) |
## Instantané Sentinellabs et enregistré Future ont publié un rapport sur les groupes de cyberespionnage à l'aide de ransomwares.Le rapport détaille les activités de Chamelgang, un acteur de menace chinois présumé, connu pour utiliser des ransomwares CATB pour cibler les organisations de haut niveau dans le monde.En outre, le rapport met en évidence un cluster d'activités séparé et non attribué à l'aide de BestCrypt et Microsoft Bitlocker qui a des objectifs similaires. ## Description Chamelgang, également appelée Camofei, a été observée ciblant les organisations gouvernementales et les entités d'infrastructures critiques de 2021 à 2023. Le groupe utilise des techniques sophistiquées pour l'accès initial, la reconnaissance, le mouvement latéral et l'exfiltration des données.Notamment, en novembre 2022, Chamelgang a compromis 192 ordinateurs à la présidence du Brésil, en utilisant des outils de reconnaissance standard pour cartographier le réseau et recueillir des informations sur les systèmes critiques.Ils ont ensuite déployé des ransomwares CATB, laissant des billets de rançon avec une adresse ProtonMail et une adresse de paiement Bitcoin. Les chercheurs ont également analysé un deuxième groupe d'activités, qui ressemble à des intrusions antérieures à l'aide d'artefacts qui ont été liés à d'autres groupes de menaces chinois et nord-coréens.Encore une fois, ces activités impliquaient souvent des ransomwares ou d'autres outils de chiffrement des données. La recherche souligne comment les acteurs du cyberespionnage utilisent stratégiquement les ransomwares pour les gains financiers, les perturbations ou pour induire les efforts d'attribution induit en erreur.En utilisant des ransomwares, ces acteurs peuvent entraîner une identification par erreur de leurs opérations comme liées à l'espionnage financièrement.De plus, les groupes APT pourraient acheter des ransomwares des cybercriminels pour induire une attribution insensée. Ransomware offre une couverture pour l'exfiltration des données, qui est au cœur des opérations de cyberespionnage.Cette mauvaise attribution permet aux pays contradictoires de refuser le parrainage de l'État, attribuant des actions à des criminels indépendants.La mauvaise hutte de ces activités en tant qu'opérations criminelles peut entraîner des conséquences stratégiques, en particulier dans les attaques contre le gouvernement ou les infrastructures critiques. Sur le plan opérationnel, le ransomware profite aux groupes APT en détruisant des artefacts liés à l'intrusion et à l'attribution, en compliquant les efforts de défense.Le besoin urgent de restaurer les données affectées et les systèmes peuvent détourner l'attention des activités malveillantes en cours. ## Détections / requêtes de chasse Microsoft Defender Antivirus détecte les composants de la menace comme le malware suivant: - * [Ransom: win64 / catb] (https://www.microsoft.com/en-us/wdsi/thereats/malware-encycopedia-dercription?name=ransom:win64/catb.a& ;theretid=-2147057624) * - * [TrojandRopper: Win64 / Catb] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=tRojandRopper: Win64 / Catb & menaceID = -2147128826) * - * [Trojan: XML / COBALTSTRIKE] (https://www.microsoft.com/en-us/wdsi/Threats/Malware-encyClopedia-Description?name=trojan:xml/CobaltStrike& ;thereatid=-2147191933) * - * [Trojan: win64 / cobaltstrike] (https: //www.microsoft.com/en-us/wdsi/therets/malware-encyclopedia-dercription?name=trojan:win64/cobaltstrike& ;theatid=-2147206144)* - * [Backdoor: Win32 / Cobaltsstrike] (https://www.microsoft.com/en-us/wdsi/terats/malware-encycopedia-d-dEscription? Name = Backdoor: Win32 / CobalTstrike & menaceID = -2147179418) * - * [Backdoor: win64 / cobaltstrike] (https://www.microsoft.com/en-us/wdsi/Threats/Malware-encyClopedia-Description?name=backdoor:win64/cobaltstrike & menaceID = -2147180169) * - * [hacktool: win32 / cobaltstrike] | Ransomware Malware Tool Threat | ★★★ | |
|
2024-06-27 17:17:13 | P2pinfect malware évolue, ajoute des capacités de ransomware et de cryptomiminage P2Pinfect Malware Evolves, Adds Ransomware and Cryptomining Capabilities (lien direct) |
## Snapshot Cado Security researchers report new versions of rust-based malware P2Pinfect. ## Description The malware initially spread via Redis and a limited SSH spreader, with no clear objective other than spreading. P2Pinfect gains initial access by exploiting the replication features in Redis, turning discovered open Redis nodes into follower nodes of the attacker server. It also abuses Redis config commands to write a cron job to the cron directory. The main payload of P2Pinfect is a worm that scans the internet for more servers to infect and features a basic SSH password sprayer. The botnet, a notable feature of P2Pinfect, acts as a peer-to-peer network for pushing out updated binaries. The main binary of P2Pinfect has undergone a rewrite, now entirely written using tokio, an async framework for rust, and packed with UPX. Additionally, the malware now drops a secondary binary at /tmp/bash for health checking. The miner payload embedded in P2Pinfect becomes active after approximately five minutes, and the ransomware payload, called rsagen, is downloaded and executed upon joining the botnet. The ransomware encrypts files and appends .encrypted to the end of the file name, with a ransom note titled "Your data has been locked!.txt". The attacker has made around 71 XMR, equivalent to roughly £9,660, but the mining pool only shows 1 worker active at 22 KH/s, suggesting another wallet address may be in use. The command to start the ransomware was issued directly by the malware operator, and the download server may be an attacker-controlled server used to host additional payloads. P2Pinfect also includes a usermode rootkit that hides specific information and bypasses checks when a specific environment variable is set. There is speculation that P2Pinfect may be a botnet for hire, as evidenced by the delivery of the ransomware payload from a fixed URL and the separation of the miner and ransomware wallet addresses. However, the distribution of rsagen could also be evidence of initial access brokerage. Overall, P2Pinfect continues to evolve with updated payloads and defensive features, demonstrating the malware author\'s ongoing efforts to profit from illicit access and further spread the network. The ransomware\'s impact is limited due to its initial access vector being Redis, which has restricted permissions and limited data storage capabilities. ## Recommendations # Recommendations to protect against RaaS Microsoft recommends the following mitigations to reduce the impact of RaaS threats. - Turn on [cloud-delivered protection](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-block-at-first-sight-microsoft-defender-antivirus?ocid=magicti_ta_learndoc) in Microsoft Defender Antivirus or the equivalent for your antivirus product to cover rapidly evolving attacker tools and techniques. Cloud-based machine learning protections block a huge majority of new and unknown variants. - Turn on [tamper protection](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/prevent-changes-to-security-settings-with-tamper-protection?ocid=magicti_ta_learndoc) features to prevent attackers from stopping security services. - Run [endpoint detection and response (EDR) in block mode](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-block-mode?ocid=magicti_ta_learndoc) , so that Defender for Endpoint can block malicious artifacts, even when your non-Microsoft antivirus doesn\'t detect the threat or when Microsoft Defender Antivirus is running in passive mode. EDR in block mode works behind the scenes to remediate malicious artifacts detected post-breach. - Enable [investigation and remediation](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/automated-investigations?ocid=magicti_ta_learndoc) in full automated mode to allow Defender for Endpoint to take immediate action on alerts to resolve breaches, significantly reducing alert volume. - Microsoft Defender customers | Ransomware Malware Tool Threat Cloud | ★★ |
To see everything:
Our RSS (filtrered)
