What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2024-07-24 21:28:53 | (Déjà vu) Les acteurs de la menace ciblent les résultats des élections récentes Threat Actors Target Recent Election Results (lien direct) |
#### Géolocations ciblées - Inde ## Instantané Les analystes de K7 Labs ont trouvé un document se faisant passer pour des «résultats des élections indiennes», qui s'est avéré livrer le malware de Troie (rat) à accès à distance cramoisi. ## Description Crimson Rat, couramment utilisé par le groupe Transparent Tribe APT, vole des informations d'identification et d'autres informations sensibles.La tribu transparente, censée opérer à partir du Pakistan, cible les entités diplomatiques, de défense et de recherche en Inde et en Afghanistan. Dans ce cas, l'appât a impliqué des résultats électoraux pour attirer les internautes indiens.Le vecteur d'attaque était un fichier .docm auprès de macros qui a intégré la charge utile de rat Crimson.Lors de l'exécution, le malware décode les fichiers intégrés et installe un fichier d'économiseur d'écran pour établir la persistance.Un autre dossier de leur, déguisé en programme universitaire, a également livré le même logiciel malveillant.Le rat Crimson échappe à la détection en retardant son activité et se connecte à un serveur de commande et de contrôle pour exécuter des commandes et voler des données. ## Analyse supplémentaire Transparent Tribe, également suivi sous le nom de Mythic Leopard et APT36, est un groupe de menaces basé au Pakistan actif depuis 2013. Le groupe cible principalement le gouvernement, la défense et l'éducation en Inde. Transparent Tribe a déjà été observée à l'aide de Crimsonrat pour cibler une variété d'entités indiennes, notamment [l'armée indienne] (https://www.seqrite.com/blog/transparent-tribe-apt-active-leures-indian-army-amidst-Augmentation du ciblage-de l'éducation-institutions /), [établissements d'éducation] (https://blog.talosintelligence.com/transparent-tribe-targets-education/), et [les fonctionnaires du gouvernement] (https: //blog.talosintelligence.com / Transparent-Tribe-New-Campaign /).Selon Cisco Talos, Crimsonrat est l'outil de choix du groupe depuis au moins 2020, en particulier lorsqu'il cherche à établir un accès persistant dans les réseaux cibles.L'outil est souvent déployé par une tribu transparente en utilisant des e-mails de espionnage. ## Détections / requêtes de chasse ### Microsoft Defender Antivirus Microsoft Defender Antivirus les composants de menace suivants comme malware: - [TrojandRopper: O97M / OBFUSE] (https: //www.microsoft.com/en-us/wdsi/therets/malware-encyclopedia-dercription?name=trojandropper:o97m/obfuse!mtb) ## Recommandations MIcrosoft recommande les atténuations suivantes pour réduire l'impact de cette menace. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/en-us/defender-endpoint/linux-preférences) dans Microsoft Defender Antivirus ou l'équivalent de votre produit antivirus pour couvrir rapidement les outils d'attaquant en évolution et et et les outils d'attaquant en évolution rapide ettechniques.Les protections d'apprentissage automatique basées sur le cloud bloquent la majorité des menaces nouvelles et inconnues. - Exécuter [EDR en mode bloc] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-block-mode?view=o365-worldwide?ocid=Magicti_TA_LearnDoc)Le défenseur du point final peut bloquer les artefacts malveillants, même lorsque votre antivirus non microsoft ne détecte pas la menace ou lorsque Microsoft Defender Antivirus fonctionne en mode passif.EDR en mode bloc fonctionne dans les coulisses pour corriger les artefacts malveillants qui sont détectés post-abri. - Autoriser [Investigation and Remediation] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/automated-investigations?view=o365-worldwide?ocid=Magicti_TA_LearnDoc) en mode automatisé complet pour permettre à Microsoft DefenderPour que le point final prenne des mesures immédiates sur les alertes pour résoudre les violations, réduisant considérablement le volume d'alerte. - [Activé] (https | Ransomware Malware Tool Threat | APT 36 | |
|
2024-07-08 15:06:59 | Faits saillants hebdomadaires, 8 juillet 2024 Weekly OSINT Highlights, 8 July 2024 (lien direct) |
## Instantané La semaine dernière, les rapports OSINT de \\ mettent en évidence une gamme de cyberattaques sophistiquées dirigés par des groupes APT alignés par l'État et des cybercriminels motivés par l'État, exploitant des vulnérabilités comme [CVE-2021-40444] (https://sip.security.microsoft.com/Intel-Profiles / CVE-2021-40444) et [CVE-2023-1389] (https://sip.security.microsoft.com/intel-explorer/cves/cve-2023-1389/) pour déployer des logiciels spy et des botnets.Des acteurs parrainés par l'État tels que la tribu transparente de Kimsuky et Pakistan de la Corée du Nord se sont concentrés sur l'espionnage, le ciblage du monde universitaire et le personnel militaire avec des logiciels malveillants comme Translatext et Caprarat.Pendant ce temps, des groupes à motivation financière comme le déploiement de la pruche ont mené de vastes campagnes de logiciels malveillants.Les réseaux sociaux et les menaces basés sur le téléphone étaient également proéminents, les attaques tirant parti des applications Android, du phishing SMS et du contenu généré par l'IA sur des plateformes comme YouTube. ## Description 1. ** [Exploitation de CVE-2021-40444 dans les attaques récentes] (https: // sip.security.microsoft.com/intel-explorer/articles/15df6ab5)**: Fortiguard Labs a identifié des attaques exploitant la vulnérabilité CVE-2021-40444Microsoft Office pour déployer les logiciels espions Merkspy.Le vecteur initial est un document Word malveillant qui, à l'ouverture, déclenche le téléchargement d'un fichier HTML contenant ShellCode intégré pour charger MerkSpy dans les processus système. 2. ** [Copycop Influence Network Ciblers 2024 Élections américaines] (https://sip.security.microsoft.com/intel-explorer/articles/fc24601e) **: enregistré les rapports futurs que le réseau Copycop lié à la russe utilise un générateur générateurAI pour créer de faux sites Web et des personnages pour influencer les élections américaines de 2024.Ce réseau emploie des fesses profondes et des contenus générés par l'IA pour cibler les dirigeants politiques de l'UE et de l'Ukraine, tirant parti de points de vente conservateurs et d'hôtes basés aux États-Unis pour obscurcir ses origines. 3. ** [Déplacement de la pruche \\ est étenduCampagne de distribution de logiciels malveillants] (https://sip.security.microsoft.com/intel-explorer/articles/7b39eb7e) **:Krakenlabs a découvert une campagne à grande échelle en dépassant la pruche, en distribuant des logiciels malveillants comme Redline et Amadey via des fichiers compressés imbriqués.Ce groupe motivé financièrement a utilisé des techniques d'obscurcissement sophistiquées et des organisations ciblées dans le monde entier, avec une activité importante retracée en Europe de l'Est. 4. ** [La nouvelle extension de Chrome de Kimsuky \\ cible le monde universitaire sud-coréen] (https://sip.security.microsoft.com/intel-explorer/articles/c58faf92) **: Zscaler KneareLabz a identifié le groupe nord-coréen APT Group APT GroupKimsuky (Emerald Sleet) utilisant une nouvelle extension chromée, tradlaxt, pour voler des données aux universitaires sud-coréens.Le malware, distribué via un fichier de leurre, rassemble des informations sensibles et communique avec un serveur C2, ciblant les chercheurs axés sur la Corée du Nord. 5. ** [Mises à jour de la campagne Caprarat de Transparent Tribe \'s] (https://sip.security.microsoft.com/intel-explorer/articles/d62a3110) **: Sentinellabs a trouvé de nouveaux packages Android Caprarat liés au Pakistan-Tribu transparent aligné, ciblant le gouvernement indien et le personnel militaire.Les APK mis à jour, déguisés en applications de navigation vidéo, ont augmenté la compatibilité avec les appareils Android plus récents et continuent l'accent du groupe \\ sur la surveillance et la collecte de données. 6. ** [BOTNETS EXPLOITIONS LINUX Cloud serveurs] (https://sip.security.Microsoft.com/intel-explorer/articles/36146b72)**: Fortiguard Labs observés de botnets comme instables e | Malware Tool Vulnerability Threat Mobile Cloud | APT 36 | ★★★ |
|
2024-07-02 21:54:47 | Capratube Remix - Transparent Tribe \\'s Android Spyware ciblant les joueurs, les passionnés d'armes CapraTube Remix - Transparent Tribe\\'s Android Spyware Targeting Gamers, Weapons Enthusiasts (lien direct) |
#### Géolocations ciblées - Inde ## Instantané Sentinellabs a identifié quatre nouveaux packages Android Caprarat (APK) liés au groupe soupçonné d'état pakistanais, Transparent Tribe (AKA APT 36, Operation C-Major).Ces APK continuent le modèle du groupe d'intégration de logiciels espions dans les applications de navigation vidéo, mais ont introduit de nouveaux thèmes pour cibler les joueurs mobiles, les amateurs d'armes et les utilisateurs de Tiktok.La fonctionnalité de ces APK malveillants est la même;Cependant, le code a été mis à jour pour un meilleur ciblage des appareils Android plus récents. ## Description La tribu transparente (également connue sous le nom d'APT 36) cible principalement le gouvernement indien et le personnel militaire par le biais d'attaques d'ingénierie sociale.Transparent Tribe a précédemment armé les APK, notamment lors d'une campagne de septembre 2023 surnommée ["The Capratube Campaign"] (https://www.sentinelone.com/labs/capratube-transparent-tribes-caprarat-micmics-youtube-to-hijack-Android-Phones /) où des APK malveillants ont été utilisés pour usurper l'identité de YouTube.Cette dernière campagne poursuit cette technique avec des prétextes d'ingénierie sociale mis à jour, une compatibilité accrue avec les versions plus anciennes du système d'exploitation Android (OS) et le ciblage élargi des versions Android plus récentes. Les nouvelles versions Caprarat utilisent WebView pour lancer des URL sur YouTube ou un site de jeu mobile appelé CrazyGames \ [. \] Com.Les URL sont obscurcies pour éviter la détection, et les applications invitent les utilisateurs à accorder plusieurs autorisations risquées, notamment: l'accès à l'emplacement GPS, lire et envoyer des SMS, lire des contacts, autoriser l'enregistrement audio et d'écran, le stockage de lecture et l'accès en écriture, d'utiliser la caméra etafficher l'historique des appels et passer des appels.Notamment, la nouvelle campagne Caprarat ne demande pas de persissions pour demander des packages d'installation, d'obtenir des comptes ou d'authentifier des comptes.Les analystes de Sentinellabs affirment que cela peut se passer de l'utilisation de Caprarat comme porte dérobée à un outil de surveillance davantage. D'autres modifications significatives de cette variante Caprarat comprennent une compatibilité accrue avec Android Oreo (8.0) et plus, assurant un fonctionnement en douceur sur les appareils Android modernes.Les versions précédentes nécessitaient Android Lollipop (5.1), ce qui est moins compatible avec les appareils actuels. La classe TCHPClient de Caprarat \\ stimule ses capacités malveillantes, collectant et envoyez des données au serveur C2 via des paramètres spécifiés.Le même nom d'hôte et l'adresse IP du serveur C2 est utilisé, lié aux activités précédentes de Transparent Tribe \\. Selon Sentinelabs, les mises à jour minimales du code Caprarat suggèrent l'accent mis sur la fiabilité et la stabilité et s'alignent sur le ciblage cohérent du groupe et l'armée indien par le groupe, qui est peu susceptible d'utiliser des versions obsolètes d'Android et peut être attirée par lesDe nouveaux thèmes APK, tels que les jeux mobiles et les armes. ## Détections / requêtes de chasse Microsoft Defender Antivirus détecte les composants de menace comme le folMALWODIQUE-LA LABILAGE: * [Trojan: Androidos / Androrat] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-desCription? Name = Trojan: Androidos / Androrat.A! Rfn & menaceID = -2147198280) * ## Recommandations ** Recommandations de Sentinelabs ** Sentinellabs note que les individus peuvent empêcher les compromis par Caprarat et d'autres malwares similaires en évaluant toujours les autorisations demandées par une application pour déterminer si elles sont nécessaires à la fonction prévue de l'application.Sentinellabs note que les individus peuvent empêcher les compromis par Caprarat et d'autres ma | Malware Tool Threat Mobile | APT 36 | ★★ |
1
We have: 3 articles.
We have: 3 articles.
To see everything:
Our RSS (filtrered)
