SEC News

What's new arround internet

Last one

Src	Date (GMT)	Titre	Description	Tags	Stories	Notes
	2024-07-11 22:03:33	Dodgebox: une plongée profonde dans l'arsenal mis à jour d'APT41 \|Partie 1 DodgeBox: A deep dive into the updated arsenal of APT41 \| Part 1 (lien direct)	## Instantané En avril 2024, Zscaler ThreatLabz a découvert un nouveau chargeur nommé Dodgebox, une version améliorée et évoluée de Stealthvector, un outil précédemment utilisé par le groupe chinois APT, APT41, suivi par Microsofoft.com / Intel-Profiles / ByExternalid / E49C4119AFE798DB103058C3FFDA5BD85E83534940247449478524d61ae6817a). ## Description Après leur analyse de Dodgebox, les chercheurs de Zscaler KenenceLabz évaluent que le malware est une version améliorée du chargeur Stealthvector car il existe des similitudes importantes entre les deux Malwares.Écrit en C, Dodgebox est un chargeur de DLL réfléchissant qui a un certain nombre d'attributs, y compris la possibilité de décrypter et de charger des DLL intégrées, d'effectuer des vérifications de l'environnement et d'effectuer des procédures de nettoyage.Notamment, Dodgebox utilise également l'usurpation de pile d'appels, une technique utilisée par les logiciels malveillants pour obscurcir les origines des appels API, ce qui rend difficile la détection et les programmes de réponse aux points finaux (EDR) et les programmes antivirus pour détecter les logiciels malveillants.Dodgebox a été utilisé par APT41 pour livrer la porte dérobée Moonwalk, une nouvelle porte dérobée utilisée par le groupe de menaces. Dodgebox et Stealthvector ont tous deux des similitudes dans leur: - Ducchissement de la somme de contrôle et de la configuration, - Format de configuration déchiffré, - Keying environnemental - Stratégie de correction de la Flux Guard (CFG), et - Utilisation de DLL CALOWING Zscaler note que leur confiance dans l'attribution des activités Dodgebox à APT41 est modérée car la charge de touche DLL est une technique souvent utilisée par les groupes chinois APT.De plus, les échantillons de Dodgebox téléchargés sur Virustotal proviennent de la Thaïlande et de Taïwan, alimentant avec le ciblage historique de l'Asie du Sud-Est par APT41 en utilisant Stealthvector. ## Détections / requêtes de chasse ### Microsoft Defender Antivirus Microsoft Defender Antivirus détecte les composants de la menace comme le malware suivant: - * [Trojan: win64 / dllhijack] (https: //www.microsoft.com/en-us/wdsi/therets/malware-encyclopedia-description?name=trojan:win64/dllhijack.ah!mtb)* - * [Trojan: Win64 / CoBaltstrike] (https://www.microsoft.com/en-us/wdsi/therets/malware-encyclopedia-description?name=trojan:win64/cobaltsstrike.off!mtb) * ## Les références [Dodgebox: une plongée profonde dans l'aresenal mis à jour d'APT41 \|Partie 1] (https://www.zscaler.com/blogs/security-research/dodgebox-deep-dive-updated-arsenal-apt41-parte-1).Zscaler (consulté en 2024-07-11) ## Snapshot In April 2024, Zscaler ThreatLabz discovered a new loader named DodgeBox, an upgraded and evolved version of StealthVector, a tool previously used by the Chinese APT group, APT41, tracked by Microsoft as [Brass Typhoon](https://security.microsoft.com/intel-profiles/byExternalId/e49c4119afe798db103058c3ffda5bd85e83534940247449478524d61ae6817a). ## Description After their analysis of DodgeBox, researchers from Zscaler ThreatLabz assess that the malware is an enhanced version of StealthVector loader as there are significant similarities between the two malwares. Written in C, DodgeBox is a reflective DLL loader that has a number of attributes, including the ability to decrypt and load embedded DLLs, perform environment checks, and carry out cleanup procedures. Notably, DodgeBox also employs call stack spoofing, a technique used by malware to obfuscate the origins of API calls, making it difficult for Endpoint Detection and Response (EDR) solutions and antivirus programs to detect the malware. DodgeBox has been used by APT41 to deliver the MoonWalk backdoor, a new backdoor being employed by the threat group. DodgeBox and StealthVector both have similarities in their: - checksum and configuration decryption, - decrypted conf	Malware Tool Threat Patching	APT 41	★★★
	2024-07-09 19:47:09	République de Chine du peuple (PRC) Ministère de sécurité d'État APT40 Tradecraft en action People\\'s Republic of China (PRC) Ministry of State Security APT40 Tradecraft in Action (lien direct)	#### Géolocations ciblées - États-Unis - Australie - Japon - Corée - Nouvelle-Zélande - Allemagne - Royaume-Uni ## Instantané La Cybersecurity and Infrsatructure Security Agency (CISA) a publié un avis rédigé par un certain nombre d'organisations de cybersécurité d'État sur APT40, suivis par Microsoft comme [Gingham Typhoon] (https://security.microsoft.com C04BA1F56F4F603268AAB6). ## Description APT40, également connu sous le nom de Kryptonite Panda, Leviathan et Bronze Mohawk, mène des cyber opérations pour la République de Chine du peuple (PRC) du ministère de la Sécurité des États (MSS).Le groupe a une histoire de ciblage des organisations dans divers pays, dont les États-Unis et l'Australie. APT40 mène régulièrement la reconnaissance contre les réseaux d'intérêt, notamment ceux en Allemagne, en Nouvelle-Zélande, en Corée du Sud, au Japon, en Australie, au Royaume-Uni et aux États-Unis.Cela leur permet d'identifier les appareils vulnérables, de fin de vie ou non maintenus sur les réseaux et de déployer rapidement des exploits.APT40 est apte à exploiter les vulnérabilités dès 2017. De plus, l'APT40 est en mesure de profiter rapidement des vulnérabilités nouvellement publiques dans des logiciels communs tels que Log4J ([CVE-2021-44228] (https://security.microsoft.com/Intel-Explorer / Cves / CVE-2021-44228 /)), Atlassian Confluence ([CVE-2021-26084] (https://security.microsoft.com/intel-profiles/cve-2021-26084), et MicrosoftExchange ([CVE-2021-31207] (https: //sip.security.microsoft.com/intel-profiles/cve-2021-31207?tid=72f988bf-86f1-41af-91ab-2d7cd011db47), [cve-2021-34523] (https://security.microsoft.com/intel-expleror/cves://security.microsoft.com/intel-expleror/cves://security.microsoft.com/intel-expleror/cves://security.microsoft.com/intel-expleror/cves:/ CVE-2021-34523 /), [CVE-2021-34473] (https: // security.microsoft.com/intel-profiles/cve-2021-34473)). La CISA et les autres agences de déclaration évaluent que l'APT40 continuera d'exploiter les vulnérabilités nouvellement découvertes dans les heures ou les jours suivant la libération publique. APT40 exploite généralement une infrastructure vulnérable et orientée vers le public plutôt que d'employer des méthodes qui nécessitent une interaction victime, telles que les campagnes de phishing, en outre, le groupe utilise généralement des coquilles Web afin d'établir de la persistance. ## Analyse Microsoft L'acteur Microsoft suit comme [Typhoon Gingham] (https://security.microsoft.com/intel-profiles/a2fc1302354083f4e693158effdbc17987818a2433c04ba1f56f4f603268aab6) est un groupe de chinois à la base de Chine.Le Typhoon Gingham est connu pour cibler principalement les industries maritimes et de la santé, mais a également été observée ciblant un certain nombre de secteurs verticaux de l'industrie, notamment le monde universitaire, le gouvernement, l'aérospatiale / l'aviation, la base industrielle de la défense, la fabrication et le transport.La plupart des organisations ciblées par Typhoon enrichies se trouvent dans la région de la mer de Chine méridionale, mais le groupe cible également les organisations aux États-Unis, en Europe, au Moyen-Orient et en Asie du Sud-Est.Gingham Typoon se concentre généralement sur l'espionnage et le vol de données.Le groupe utilise des logiciels malveillants personnalisés (Moktik, Nuveridap et Fusionblaze), Derusbi et des outils disponibles dans le commerce tels que Cobalt Strike. ## Détections / requêtes de chasse Microsoft Defender Antivirus détecte les composants de la menace comme le malware suivant: [Backdoor: JS / MOKTIK] (https://www.microsoft.com/en-us/wdsi/Thereats/Malware-encyClopedia-Description?name=bacKDOOR: JS / MOKTIK & AMP; NOFENID = -2147086029) [HackTool: Win32 / Nuveridap] (https://www.microsoft.com/en-us/wdsi/atherets/malWare-SencyClopedia-Description? Name = HackTool: Win32 / Nuveridap & menaceID = -2147276557) [Trojan	Malware Tool Vulnerability Threat Patching Legislation Industrial	APT 40	★★★
	2024-07-09 02:33:07	Le gang APT40 de la Chine est prêt à attaquer les vulns dans les heures ou les jours suivant la libération publique. China\\'s APT40 gang is ready to attack vulns within hours or days of public release. (lien direct)	Les correctifs laxistes et les petits kit de biz vulnérables facilitent la vie pour les voleurs secrètes de Pékin \\ les organismes d'application de la loi de huit nations, dirigés par l'Australie, ont émis un avis qui détaille le métier utilisé parL'acteur de menace aligné par la Chine APT40 & # 8211;AKA Kryptonite Panda, Typhoon Gingham, Léviathan et Bronze Mohawk & # 8211;et il l'a trouvé privilégie les exploits en développement pour les vulnérabilités nouvellement trouvées et peut les cibler en quelques heures… Lax patching and vulnerable small biz kit make life easy for Beijing\'s secret-stealers Law enforcement agencies from eight nations, led by Australia, have issued an advisory that details the tradecraft used by China-aligned threat actor APT40 – aka Kryptonite Panda, GINGHAM TYPHOON, Leviathan and Bronze Mohawk – and found it prioritizes developing exploits for newly found vulnerabilities and can target them within hours.…	Vulnerability Threat Patching Legislation	APT 40	★★★
	2024-05-06 19:54:46	Uncharmed: les opérations APT42 de l'Iran démêle Uncharmed: Untangling Iran\\'s APT42 Operations (lien direct)	#### Géolocations ciblées - Moyen-Orient - Amérique du Nord - Europe de l'Ouest #### Industries ciblées - agences et services gouvernementaux - Organisation non gouvernementale ## Instantané Mandiant discute des activités de l'APT42, acteur iranien de cyber-espionnage parrainé par l'État, ciblant les ONG occidentales et moyen-orientales, les organisations médiatiques, les universités, les services juridiques et les militants. Les activités de l'APT42 se chevauchent avec le suivi de Microsoft \\ de Mint Sandstorm.[En savoir plus ABOut Mint Sandstorm ici.] (https://sip.security.microsoft.com/intel-profiles/05c5c1b864581c264d955df783455ecadf9b98471e408f32947544178e7bd0e3) ## descript APT42 utilise des programmes d'ingénierie sociale améliorés pour gagner en confiance et fournir des invitations aux conférences ou aux documents légitimes, leur permettant de récolter des informations d'identification et d'obtenir un accès initial aux environnements cloud.Les opérations récentes impliquent l'utilisation de délais personnalisés tels que NiceCurl et Tamecat, livrés via le phishing de lance. Les opérations cloud d'APT42 \\ impliquent une exfiltration d'exfiltration secrète des environnements Microsoft 365 victimes, en utilisant des schémas d'ingénierie sociale améliorés pour obtenir un accès initial et contourner l'authentification multi-facteurs.L'acteur de menace se précipita comme des ONG légitimes, se fait passer pour le personnel de haut rang et déploie du matériel de leurre pour gagner la confiance de la victime.APT42 déploie également diverses méthodes pour contourner l'authentification multi-facteurs, notamment en utilisant de fausses pages duo et en servant des sites de phishing pour capturer les jetons MFA. APT42 déploie des logiciels malveillants personnalisés tels que Tamecat et NiceCurl pour cibler les ONG, le gouvernement ou les organisations intergouvernementales gantant les problèmes liés à l'Iran et au Moyen-Orient.Ces délais offrent aux opérateurs APT42 un accès initial aux cibles et à une interface de code-Exécution flexible. ## Recommandations Les techniques utilisées par les sous-ensembles de la tempête de menthe peuvent être atténuées à travers les actions suivantes: ### durcissant les actifs orientés Internet et compréhension de votre périmètre Les organisations doivent identifier et sécuriser les systèmes de périmètre que les attaquants pourraient utiliser pour accéder au réseau.Les interfaces de balayage publique, telles que Microsoft Defender External Attack Surface Management, peuvent être utilisées pour améliorer les données. Les vulnérabilités observées dans les campagnes récentes attribuées aux sous-groupes de sable à la menthe que les défenseurs peuvent identifier et atténuer: inclure: - IBM ASPERA FASPEX affecté par CVE-2022-47986: Les organisations peuvent corriger CVE-2022-47986 en mettant à niveau vers FASPEX 4.4.2 Niveau 2 du patch 2 ou en utilisant FasPex 5.x qui ne contient pas cette vulnérabilité. - Zoho ManageEngine affecté par CVE-2022-47966: les organisations utilisant des produits Zoho Manage Engine vulnérables au CVE-2022-47966 devraient télécharger et appliquer des mises à niveau de l'avis officiel dès que possible.Le correctif de cette vulnérabilité est utile au-delà de cette campagne spécifique, car plusieurs adversaires exploitent le CVE-2022-47966 pour l'accès initial. - Apache Log4j2 (aka log4shell) (CVE-2021-44228 et CVE-2021-45046): [Microsoft \\ S GOIDANCE pour les organisations utilisant des applications vulnérables à l'exploitation de log4.com / en-us / security / blog / 2021/12/11 / guidance-for-préventing-détectant et chasseur-pour-CVE-2021-44228-LOG4J-2-Exploitation /) Cette direction est utile pour toutOrganisation avec des applications vulnérables et utile au-delà de cette campagne spécifique, car plusieurs adversaires exploitent Log4Shell pour obten	Malware Vulnerability Threat Patching Cloud	APT 42	★★★
	2023-06-13 13:00:00	CyberheistNews Vol 13 # 24 [Le biais de l'esprit \\] le prétexage dépasse désormais le phishing dans les attaques d'ingénierie sociale CyberheistNews Vol 13 #24 [The Mind\\'s Bias] Pretexting Now Tops Phishing in Social Engineering Attacks (lien direct)	CyberheistNews Vol 13 #24 \| June 13th, 2023 [The Mind\'s Bias] Pretexting Now Tops Phishing in Social Engineering Attacks The New Verizon DBIR is a treasure trove of data. As we will cover a bit below, Verizon reported that 74% of data breaches Involve the "Human Element," so people are one of the most common factors contributing to successful data breaches. Let\'s drill down a bit more in the social engineering section. They explained: "Now, who has received an email or a direct message on social media from a friend or family member who desperately needs money? Probably fewer of you. This is social engineering (pretexting specifically) and it takes more skill. "The most convincing social engineers can get into your head and convince you that someone you love is in danger. They use information they have learned about you and your loved ones to trick you into believing the message is truly from someone you know, and they use this invented scenario to play on your emotions and create a sense of urgency. The DBIR Figure 35 shows that Pretexting is now more prevalent than Phishing in Social Engineering incidents. However, when we look at confirmed breaches, Phishing is still on top." A social attack known as BEC, or business email compromise, can be quite intricate. In this type of attack, the perpetrator uses existing email communications and information to deceive the recipient into carrying out a seemingly ordinary task, like changing a vendor\'s bank account details. But what makes this attack dangerous is that the new bank account provided belongs to the attacker. As a result, any payments the recipient makes to that account will simply disappear. BEC Attacks Have Nearly Doubled It can be difficult to spot these attacks as the attackers do a lot of preparation beforehand. They may create a domain doppelganger that looks almost identical to the real one and modify the signature block to show their own number instead of the legitimate vendor. Attackers can make many subtle changes to trick their targets, especially if they are receiving many similar legitimate requests. This could be one reason why BEC attacks have nearly doubled across the DBIR entire incident dataset, as shown in Figure 36, and now make up over 50% of incidents in this category. Financially Motivated External Attackers Double Down on Social Engineering Timely detection and response is crucial when dealing with social engineering attacks, as well as most other attacks. Figure 38 shows a steady increase in the median cost of BECs since 2018, now averaging around $50,000, emphasizing the significance of quick detection. However, unlike the times we live in, this section isn\'t all doom and	Spam Malware Vulnerability Threat Patching	Uber APT 37 ChatGPT ChatGPT APT 43	★★
	2022-01-19 22:45:00	Anomali Cyber Watch: Russia-Sponsored Cyber Threats, China-Based Earth Lusca Active in Cyberespionage and Cybertheft, BlueNoroff Hunts Cryptocurrency-Related Businesses, and More (lien direct)	The various threat intelligence stories in this iteration of the Anomali Cyber Watch discuss the following topics: APT, China, HTTP Stack, Malspam, North Korea, Phishing, Russia and Vulnerabilities. The IOCs related to these stories are attached to Anomali Cyber Watch and can be used to check your logs for potential malicious activity. Figure 1 - IOC Summary Charts. These charts summarize the IOCs attached to this magazine and provide a glimpse of the threats discussed. Trending Cyber News and Threat Intelligence Earth Lusca Employs Sophisticated Infrastructure, Varied Tools and Techniques (published: January 17, 2022) The Earth Lusca threat group is part of the Winnti cluster. It is one of different Chinese groups that share aspects of their tactics, techniques, and procedures (TTPs) including the use of Winnti malware. Earth Lusca were active throughout 2021 committing both cyberespionage operations against government-connected organizations and financially-motivated intrusions targeting gambling and cryptocurrency-related sectors. For intrusion, the group tries different ways in including: spearphishing, watering hole attacks, and exploiting publicly facing servers. Cobalt Strike is one of the group’s preferred post-exploitation tools. It is followed by the use of the BioPass RAT, the Doraemon backdoor, the FunnySwitch backdoor, ShadowPad, and Winnti. The group employs two separate infrastructure clusters, first one is rented Vultr VPS servers used for command-and-control (C2), second one is compromised web servers used to scan for vulnerabilities, tunnel traffic, and Cobalt Strike C2. Analyst Comment: Earth Lusca often relies on tried-and-true techniques that can be stopped by security best practices, such as avoiding clicking on suspicious email/website links and or reacting on random banners urging to update important public-facing applications. Don’t be tricked to download Adobe Flash update, it was discontinued at the end of December 2020. Administrators should keep their important public-facing applications (such as Microsoft Exchange and Oracle GlassFish Server) updated. MITRE ATT&CK: [MITRE ATT&CK] Drive-by Compromise - T1189 \| [MITRE ATT&CK] Exploit Public-Facing Application - T1190 \| [MITRE ATT&CK] Phishing - T1566 \| [MITRE ATT&CK] Command and Scripting Interpreter - T1059 \| [MITRE ATT&CK] Scheduled Task - T1053 \| [MITRE ATT&CK] System Services - T1569 \| [MITRE ATT&CK] Windows Management Instrumentation - T1047 \| [MITRE ATT&CK] Account Manipulation - T1098 \| [MITRE ATT&CK] BITS Jobs - T1197 \| [MITRE ATT&CK] Create Account - T1136 \| [MITRE ATT&CK] Create or Modify System Process - T1543 \| [MITRE ATT&CK] External Remote Services - T1133 \| [MITRE ATT&CK] Hijack Execution Flow	Ransomware Malware Tool Vulnerability Threat Patching Guideline	APT 41 APT 38 APT 29 APT 28 APT 28
	2020-09-22 15:00:00	Weekly Threat Briefing: Android Malware, APT Groups, Election Apps, Ransomware and More (lien direct)	The various threat intelligence stories in this iteration of the Weekly Threat Briefing discuss the following topics: APT, Cerberus Source Code Leak, Chinese APT, Mrbminer Malware, and Vulnerabilities. The IOCs related to these stories are attached to the Weekly Threat Briefing and can be used to check your logs for potential malicious activity. Figure 1 - IOC Summary Charts. These charts summarize the IOCs attached to this magazine and provide a glimpse of the threats discussed. Trending Cyber News and Threat Intelligence US 2020 Presidential Apps Riddled with Tracking and Security Flaws (published: September 17, 2020) The Vote Joe 2020 application has been found to be potentially leaking personal data about voters. The app is used by the Joe Biden campaign to engage with voters and get supporters to send out promotional text messages. Using TargetSmart, an intelligence service, the app receives their predictions via API endpoint which has been found to be returning additional data. Voter preference and voter prediction could be seen, while voter preference is publically accessible, the information for TargetSmart was not meant to be publicly available. The app also let users from outside of the United States download, allowing for non-US citizens to have access to the data, as there was no email verification. Vote Joe isn’t the only campaign app with security issues, as the Donald Trump application exposed hardcoded secret keys in the APK. Recommendation: The exposure of Personally Identifiable Information (PII) requires affected individuals to take precautionary measures to protect their identity and their finances. Identity theft services can assist in preventing illicit purchases, or applying for financial services from taking place by actors using stolen data. Tags: APK, Android, Campaign, Election, Joe Biden, PII German Hospital Attacked, Patient Taken to Another City Dies (published: September 17, 2020) A failure in IT systems at Duesseldorf University Hospital in Germany has led to the death of a woman. In an apparent ransomware attack, the hospital’s systems crashed with staff unable to access data. While there was no apparent ransom note, 30 servers at the hospital had been encrypted last week, with a ransom note left on one server addressed to Heinrich Heine University. Duesseldorf police contacted the perpetrators to inform them they had attacked the hospital instead of the university, with the perpetrators providing decryption keys, however patients had to be rerouted to other hospitals and therefore a long time before being treated by doctors. Recommendation: Educate your employees on the risks of opening attachments from unknown senders. Anti-spam and antivirus applications provided by trusted vendors should also be employed. Emails that are received from unknown senders should be carefully avoided, and attachments from such senders should not be opened. Furthermore, it is important to have a comprehensive and tested backup solution in place, in addition to a business continuity plan for the unfortunate case of ransomware infection. MITRE ATT&CK: [MITRE ATT&CK] Data Encrypted for Impact - T1486 Tags: Germany, Healthcare, Hospital, Ransomware	Ransomware Malware Vulnerability Threat Patching Guideline	APT 41	★★★★★

Last update at: 2024-07-12 23:08:37
See our sources.

To see everything: Our RSS (filtrered)