SEC News

What's new arround internet

Last one

Src	Date (GMT)	Titre	Description	Tags	Stories	Notes
	2024-04-26 19:12:08	Todckat APT Group Honne les tactiques d'expiltration des données, exploite les outils légitimes ToddyCat APT Group Hones Data Exfiltration Tactics, Exploits Legitimate Tools (lien direct)	#### Targeted Geolocations - Oceania - Southeast Asia - South Asia - East Asia - Central Asia #### Targeted Industries - Government Agencies & Services - Defense ## Snapshot Kaspersky reports the APT group ToddyCat has been observed targeting governmental organizations, particularly defense-related ones in the Asia-Pacific region, with the goal of stealing sensitive information on an industrial scale. ## Description They employ various tools and techniques, including traffic tunneling and the creation of reverse SSH tunnels, to maintain constant access to compromised infrastructure. The attackers utilize disguised OpenSSH private key files, execute scripts to modify folder permissions, create SSH tunnels to redirect network traffic, and employ the SoftEther VPN package to potentially facilitate unauthorized access and data exfiltration. Additionally, they use various files and techniques, such as concealing file purposes, copying files through shared resources, and tunneling to legitimate cloud providers, to gain access to victim hosts and evade detection. The threat actors initially gain access to systems by installing servers, modifying server settings, and utilizing tools like Ngrok and Krong to redirect C2 traffic and create tunnels for unauthorized access. They also employ the FRP client, a data collection tool named "cuthead", and a tool called "WAExp" to search for and collect browser local storage files containing data from the web version of WhatsApp. The attackers demonstrate a sophisticated and evolving approach to data collection and exfiltration, utilizing multiple tools and techniques to achieve their objectives. ## Recommendations Microsoft recommends the following mitigations to reduce the impact of Information stealer threats. - Check your Office 365 email filtering settings to ensure you block spoofed emails, spam, and emails with malware. Use [Microsoft Defender for Office 365](https://learn.microsoft.com/microsoft-365/security/office-365-security/defender-for-office-365?ocid=magicti_ta_learndoc) for enhanced phishing protection and coverage against new threats and polymorphic variants. Configure Microsoft Defender for Office 365 to [recheck links on click](https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-links-about?ocid=magicti_ta_learndoc) and [delete sent mail](https://learn.microsoft.com/microsoft-365/security/office-365-security/zero-hour-auto-purge?ocid=magicti_ta_learndoc) in response to newly acquired threat intelligence. Turn on [safe attachments policies](https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-attachments-policies-configure?ocid=magicti_ta_learndoc) to check attachments to inbound email. - Encourage users to use Microsoft Edge and other web browsers that support SmartScreen, which identifies and blocks malicious websites, including phishing sites, scam sites, and sites that host malware. - Turn on [cloud-delivered protection](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-block-at-first-sight-microsoft-defender-antivirus?ocid=magicti_ta_learndoc) in Microsoft Defender Antivirus, or the equivalent for your antivirus product, to cover rapidly evolving attacker tools and techniques. Cloud-based machine learning protections block a majority of new and unknown variants. - Enforce MFA on all accounts, remove users excluded from MFA, and strictly [require MFA](https://learn.microsoft.com/azure/active-directory/identity-protection/howto-identity-protection-configure-mfa-policy?ocid=magicti_ta_learndoc) from all devices, in all locations, at all times. - Enable passwordless authentication methods (for example, Windows Hello, FIDO keys, or Microsoft Authenticator) for accounts that support passwordless. For accounts that still require passwords, use authenticator apps like Microsoft Authenticator for MFA. [Refer to this article](https://learn.microsoft.com/azure/active-directory/authentic	Ransomware Spam Malware Tool Threat Industrial Cloud
	2024-04-26 17:25:03	Analyse de la campagne d'attaque # Frozen # Shadow en cours en tirant parti du logiciel malveillant SSLoad et du logiciel RMM pour la prise de contrôle du domaine Analysis of Ongoing FROZEN#SHADOW Attack Campaign Leveraging SSLoad Malware and RMM Software for Domain Takeover (lien direct)	#### Géolocations ciblées - Asie centrale - Asie de l'Est - Amérique du Nord - Europe du Nord - Amérique du Sud - Asie du sud - Asie du sud est - Europe du Sud - Europe de l'Ouest - L'Europe de l'Est - L'Amérique centrale et les Caraïbes ## Instantané Les chercheurs de Securonix ont découvert une campagne d'attaque en cours utilisant des e-mails de phishing pour livrer un logiciel malveillant appelé SSLoad.La campagne, nommée Frozen # Shadow, implique également le déploiement de Cobalt Strike et le logiciel de bureau à distance ConnectWise Screenconnect. ## Description Selon Securonix, les organisations Frozen # Shadow victime semblent être ciblées au hasard, mais sont concentrées en Europe, en Asie et dans les Amériques.La méthodologie d'attaque implique la distribution des e-mails de phishing qui contiennent des liens menant à la récupération d'un fichier JavaScript qui initie le processus d'infection.Par la suite, le programme d'installation MSI se connecte à un domaine contrôlé par attaquant pour récupérer et exécuter la charge utile de logiciels malveillants SSLoad, suivi d'un beconing vers un serveur de commande et de contrôle (C2) ainsi que des informations système. La phase de reconnaissance initiale ouvre le terrain pour le déploiement de Cobalt Strike, un logiciel de simulation adversaire légitime, qui est ensuite exploité pour télécharger et installer ScreenConnect.Cela permet aux acteurs de la menace de réquisitionner à distance l'hôte compromis et d'atteindre une persistance approfondie dans l'environnement cible. ## Les références [https://www.securonix.com/blog/securonix-thereat-research-security-advisory-frozenshadow-attack-campaign/-Advisory-Frozenshadow-Attack-Campaign /) [https://thehackernews.com/2024/04/researchers-detail-multistage-attack.html #### Targeted Geolocations - Central Asia - East Asia - North America - Northern Europe - South America - South Asia - Southeast Asia - Southern Europe - Western Europe - Eastern Europe - Central America and the Caribbean ## Snapshot Researchers at Securonix have discovered an ongoing attack campaign using phishing emails to deliver a malware called SSLoad. The campaign, named FROZEN#SHADOW, also involves the deployment of Cobalt Strike and the ConnectWise ScreenConnect remote desktop software. ## Description According to Securonix, FROZEN#SHADOW victim organizations appear to be targeted randomly, but are concentrated in Europe, Asia, and the Americas. The attack methodology involves the distribution of phishing emails that contain links leading to the retrieval of a JavaScript file that initiates the infection process. Subsequently, the MSI installer connects to an attacker-controlled domain to fetch and execute the SSLoad malware payload, followed by beaconing to a command-and-control (C2) server along with system information. The initial reconnaissance phase sets the stage for the deployment of Cobalt Strike, a legitimate adversary simulation software, which is then leveraged to download and install ScreenConnect. This enables the threat actors to remotely commandeer the compromised host and achieve extensive persistence in the target environment. ## References [https://www.securonix.com/blog/securonix-threat-research-security-advisory-frozenshadow-attack-campaign/](https://www.securonix.com/blog/securonix-threat-research-security-advisory-frozenshadow-attack-campaign/) [https://thehackernews.com/2024/04/researchers-detail-multistage-attack.html](https://thehackernews.com/2024/04/researchers-detail-multistage-attack.html)	Malware Threat
	2024-04-26 17:23:14	Ransomware Roundup - KageNoHitobito and DoNex (lien direct)	#### Géolocations ciblées - Chili - Chine - Cuba - Allemagne - L'Iran - Lituanie - Pérou - Roumanie - Royaume-Uni - États-Unis - Taïwan - Suède - Belgique - Tchéchie - Italie - Pays-Bas ## Instantané La recherche sur les menaces Fortiguard Labs fournit un aperçu des variantes de ransomware Kagenohitobito et Donex.Kagenohitobito a émergé fin mars 2024 et chiffre les fichiers victimes de victimes, tandis que Donex est un groupe de ransomware à motivation financière qui crypte les fichiers sur les lecteurs locaux et les parts de réseau.Les méthodes d'infiltration initiales utilisées par les acteurs de la menace ne sont pas spécifiées. ## Description Kagenohitobito affiche une note de rançon sur le bureau de la victime et demande aux victimes de visiter un site Tor pour les négociations de rançon, tandis que Donex ajoute un identifiant de victime comme extension de fichier aux fichiers affectés, modifie leurs icônes et met fin aux processus et services spécifiques en tant que services en tant que services spécifiques en tant que servicesSelon le fichier de configuration défini par l'acteur de menace.L'article suggère également une connexion possible entre les ransomwares Donex et DarkRace, car ils partagent des similitudes dans les notes de rançon et les fichiers de configuration.DOTYX est configuré pour supprimer des copies d'ombre, ce qui rend la récupération du fichier difficile. ## Recommandations Étant donné que la majorité des ransomwares sont livrés via le phishing, Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace.Vérifiez la carte de recommandations pour l'état de déploiement des atténuations surveillées. - Pilot et déploiement [méthodes d'authentification résistantes au phishing] (https://learn.microsoft.com/en-us/entra/identity/authentication/concept-authentication-methods?ocid=Magicti_TA_Learndoc) pour les utilisateurs. - Configurez Microsoft Defender pour Office 365 à [Rechercher les liens sur Click] (ReCHECK% 20LINKS% 20ON% 20CLICK).Safe Links fournit une analyse et une réécriture des URL des e-mails entrants dans le flux de messagerie et une vérification du temps de clic des URL et des liens dans les e-mails, d'autres applications Microsoft 365 telles que des équipes et d'autres emplacements tels que SharePoint Online.La numérisation des liens sûrs se produit en plus de la [anti-spam] régulière (https://learn.microsoft.com/en-us/defenderofice-365/anti-spam-protection-about?ocid=Magicti_ta_learndoc) et [anti-Malware] (https://learn.microsoft.com/en-us/defender-office-365/anti-malware-protection-about?ocid=magicti_ta_learndoc) Protection dans les messages e-mail entrants dans Microsoft Exchange en ligne Protection en ligne (EOP).La numérisation des liens sûrs peut aider à protéger votre organisation contre les liens malveillants utilisés dans le phishing et d'autres attaques. - Encouragez les utilisateurs à utiliser Microsoft Edge et d'autres navigateurs Web qui prennent en charge [Microsoft Defender SmartScreen] (https://learn.microsoft.com/en-us/deployedge/microsoft-edge-security-smartscreen?ocid=magicti_ta_learndoc), qui s'identifie, qui identifie)et bloque des sites Web malveillants, y compris des sites de phishing, des sites d'arnaque et des sites qui hébergent des logiciels malveillants. - Allumez [protection en livraison du cloud] (https://learn.miqueCouvrir les outils et techniques d'attaque en évolution rapide.Les protections d'apprentissage automatique basées sur le cloud bloquent une majorité de variantes nouvelles et inconnues. - Exécuter [Détection et réponse Endpoint (EDR)] (https://learn.microsoft.com/en-us/defender-endpoint/edr-in-lock-mode?ocid=Magicti_TA_LearnDoc) en mode bloc, de sorte que le défenseur MicrosoftPour le point final, peut bloquer les artefacts malveillants, même lorsque votre antivirus non microsoft ne détecte pas la menace ou lorsque Microsoft Defender Antivirus fonctio	Ransomware Malware Tool Threat
	2024-04-25 18:53:33	Les nouveaux logiciels malveillants Brokewell prennent le contrôle des appareils Android New Brokewell Malware Takes Over Android Devices (lien direct)	## Instantané Les analystes de menace de menace ont découvert une nouvelle famille de logiciels malveillants mobiles appelée "Brokewell" qui représente une menace importante pour le secteur bancaire.Le malware est équipé à la fois de capacités de vol de données et de télécommande, permettant aux attaquants d'accéder à une distance à distance à tous les actifs disponibles via les services bancaires mobiles. ## Description Brokewell utilise des attaques de superposition pour capturer les informations d'identification des utilisateurs et peut voler des cookies en lançant sa propre vue Web.Le malware prend également en charge une variété de fonctionnalités "spyware", notamment la collecte d'informations sur l'appareil, l'historique des appels, la géolocalisation et l'enregistrement de l'audio.Après avoir volé les informations d'identification, les acteurs peuvent lancer une attaque de prise de contrôle de l'appareil à l'aide de capacités de télécommande, ce qui leur donne un contrôle total sur l'appareil infecté.Le malware est en développement actif, avec de nouvelles commandes ajoutées presque quotidiennement. Les analystes ThreatFabric ont découvert une fausse page de mise à jour du navigateur conçu pour installer une application Android utilisée pour distribuer le malware.Le malware serait promu sur les canaux souterrains en tant que service de location, attirant l'intérêt d'autres cybercriminels et déclenchant de nouvelles campagnes ciblant différentes régions. ## Les références [https://www.thereatfabric.com/blogs/brokewell-do-not-go-broke-by-new-banking-malwarego-farke-by-new-banking-malware) [https://www.bleepingcomputer.com/news/security/new-brokewell-malware-takes-over-android-devices-teals-data/-Brokewell-malware-takes-over android-disvices vole-data /) ## Snapshot ThreatFabric analysts have discovered a new mobile malware family called "Brokewell" that poses a significant threat to the banking industry. The malware is equipped with both data-stealing and remote-control capabilities, allowing attackers to gain remote access to all assets available through mobile banking. ## Description Brokewell uses overlay attacks to capture user credentials and can steal cookies by launching its own WebView. The malware also supports a variety of "spyware" functionalities, including collecting information about the device, call history, geolocation, and recording audio. After stealing the credentials, the actors can initiate a Device Takeover attack using remote control capabilities, giving them full control over the infected device. The malware is in active development, with new commands added almost daily. ThreatFabric analysts discovered a fake browser update page designed to install an Android application that was used to distribute the malware. The malware is believed to be promoted on underground channels as a rental service, attracting the interest of other cybercriminals and sparking new campaigns targeting different regions. ## References [https://www.threatfabric.com/blogs/brokewell-do-not-go-broke-by-new-banking-malware](https://www.threatfabric.com/blogs/brokewell-do-not-go-broke-by-new-banking-malware) [https://www.bleepingcomputer.com/news/security/new-brokewell-malware-takes-over-android-devices-steals-data/](https://www.bleepingcomputer.com/news/security/new-brokewell-malware-takes-over-android-devices-steals-data/)	Malware Threat Mobile		★★
	2024-04-24 21:21:49	Campagne de malvertisation ciblant les équipes informatiques avec madmxshell Malvertising Campaign Targeting IT Teams with MadMxShell (lien direct)	## Instantané Entre novembre 2023 et mars 2024, Zscaler ThreatLabz a observé un acteur de menace utilisant de faux domaines à l'usurpation des sites de logiciels de scanner IP légitimes pour distribuer une nouvelle porte dérobée appelée "Madmxshell".L'acteur a enregistré des domaines de sosie et a utilisé des annonces Google pour les pousser en haut des résultats de recherche, ciblant des mots clés spécifiques. ## Description MADMXSHELL utilise un éventail complexe de techniques pour échapper à la détection et établir une communication avec son serveur de commande et de contrôle (C2).En commençant par un processus d'injection à plusieurs étapes, la porte dérobée utilise la charge de touche et la compression DLL pour obscurcir sa présence.Lors de l'exécution, il initie le tunneling DNS pour la communication C2, en utilisant les requêtes DNS MX et les réponses pour transmettre des commandes et recevoir des instructions du serveur C2.La charge utile de la porte dérobée est codée dans les paquets DNS, chaque octet converti en caractères alphanumériques à l'aide d'un schéma de codage personnalisé.Ce processus d'encodage permet le transfert de données entre la machine infectée et le serveur C2, avec chaque paquet DNS limité à une taille maximale pour éviter la détection.De plus, Madmxshell utilise des techniques d'évasion en médecine légale de la mémoire, y compris des mesures antidumping, pour entraver l'analyse et la détection par des solutions de sécurité. Zscaler ThreatLabz n'est pas en mesure d'attribuer cette activité à un acteur de menace connu pour le moment;Cependant, il évalue que les TTP sont révélateurs d'un acteur sophistiqué qui peut être intéressé à cibler les professionnels de l'informatique, en particulier ceux qui se trouvent dans la sécurité informatique et les rôles de l'administration du réseau. ## Les références [https://www.zscaler.com/blogs/security-research/malvertising-campaign-targeting-it-teams-madmxshellciblage-it-teams-madmxshell) ## Snapshot Between November 2023 and March 2024, Zscaler ThreatLabz observed a threat actor utilizing fake domains spoofing legitimate IP scanner software sites to distribute a new backdoor called "MadMxShell." The actor registered look-alike domains and employed Google Ads to push them to the top of search results, targeting specific keywords. ## Description MadMxShell employs a complex array of techniques to evade detection and establish communication with its command-and-control (C2) server. Beginning with a multi-stage injection process, the backdoor utilizes DLL sideloading and compression to obfuscate its presence. Upon execution, it initiates DNS tunneling for C2 communication, utilizing DNS MX queries and responses to transmit commands and receive instructions from the C2 server. The backdoor\'s payload is encoded within DNS packets, with each byte converted into alphanumeric characters using a custom encoding scheme. This encoding process allows for data transfer between the infected machine and the C2 server, with each DNS packet limited to a maximum size to avoid detection. Additionally, MadMxShell employs memory forensics evasion techniques, including anti-dumping measures, to hinder analysis and detection by security solutions. Zscaler ThreatLabz is unable to attribute this activity to any known threat actor at this time; however, it assesses that the TTPs are indicative of a sophisticated actor who may be interested in targeting IT professionals, specifically those in IT security and network administration roles. ## References [https://www.zscaler.com/blogs/security-research/malvertising-campaign-targeting-it-teams-madmxshell](https://www.zscaler.com/blogs/security-research/malvertising-campaign-targeting-it-teams-madmxshell)	Threat		★★★
	2024-04-24 19:34:05	Arcaneroor - Nouvelle campagne axée sur l'espionnage a trouvé des dispositifs de réseau de périmètre ciblant ArcaneDoor - New Espionage-Focused Campaign Found Targeting Perimeter Network Devices (lien direct)	## Instantané Cisco Talos rend compte de la campagne ArcaneDoor, attribuée à l'acteur parrainé par l'État UAT4356 (suivi par Microsoft en tant que Storm-1849), cible les appareils de réseau périmètre de plusieurs fournisseurs, en particulier les appareils de sécurité adaptatifs Cisco (ASA). Microsoft suit cet acteur en tant que Storm-1849, [en savoir plus ici.] (Https://sip.security.microsoft.com/intel-profiles/f3676211c9f06910f7f1f233d81347c1b837bddd93292c2e8f2eb860a27ad8d5) ## Description Ces appareils sont cruciaux pour le flux de données dans et hors des réseaux, ce qui les rend idéaux pour les campagnes axées sur l'espionnage.L'UAT4356 a déployé deux baignoires, "Line Runner" et "Line Dancer", pour mener des actions malveillantes telles que la modification de la configuration, la reconnaissance, la capture / exfiltration du trafic réseau et les mouvements potentiellement latéraux.Le vecteur d'accès initial utilisé dans cette campagne reste non identifié, mais deux vulnérabilités (CVE-2024-20353 et CVE-2024-20359) ont été exploitées. L'acteur a démontré un accent clair sur l'espionnage et une connaissance approfondie des dispositifs ciblés, indiquant une activité sophistiquée parrainée par l'État.Le calendrier de la campagne suggère que l'infrastructure contrôlée par l'acteur était active au début de novembre 2023, la plupart des activités se déroulant entre décembre 2023 et début janvier 2024. L'implant "Line Dancer", un interprète ShellCode résident à la mémoire, permet aux adversaires de télécharger et d'exécuter des charges utiles de shellcode arbitraires sur les périphériques ASA compromis.Il permet aux acteurs de menace de désactiver les commandes syslog, exécuter et exfiltrater, créer et exfiltrater les captures de paquets et exécuter les commandes CLI, entre autres actions. La porte dérobée "Line Runner", en revanche, maintient la persistance sur les appareils ASA compromis en tirant parti d'une capacité héritée qui permet la précharge de clients VPN et de plugins. L'UAT4356 a pris des mesures délibérées pour prévenir la capture médico-légale des artefacts malveillants, y compris les capacités anti-forensiques et anti-analyse.Le niveau élevé de la campagne, le développement des capacités et l'exploitation des vulnérabilités de 0 jour indiquent un acteur parrainé par l'État. ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de l'activité associée au Storm-1849. - durcir les actifs orientés Internet et identifier et sécuriser les systèmes de périmètre que les attaquants pourraient utiliser pour accéder à votre réseau. - Encouragez les utilisateurs à utiliser Microsoft Edge et d'autres navigateurs Web qui prennent en charge SmartScreen, qui identifie et bloque des sites Web malveillants, y compris des sites de phishing, des sites d'arnaque et des sites contenant des exploits et hébergent des logiciels malveillants. - Allumez la protection livrée par le cloud dans Microsoft Defender Antivirus ou l'équivalent pour que votre produit antivirus couvre des outils et techniques d'attaquant en évolution rapide.Les protections d'apprentissage automatique basées sur le cloud bloquent une majorité de variantes nouvelles et inconnues. ## Les références [https://blog.talosintelligence.com/arcaneroor-new-espionage-foccused-campaign-found-targeting-perimeter-network-devices/-Campaign-Found-Targeting-Périmètre-Network-Devices /) ## Snapshot Cisco Talos reports on the ArcaneDoor campaign, attributed to the state-sponsored actor UAT4356 (Tracked by Microsoft as Storm-1849), targets perimeter network devices from multiple vendors, particularly Cisco Adaptive Security Appliances (ASA). Microsoft tracks this actor as Storm-1849, [read more about them here.](https://sip.security.microsoft.com/intel-profiles/f3676211c9f06910f7f1f233d81347c1b837bddd93292c2e8f2eb860a27ad8d5) #	Malware Tool Vulnerability Threat		★★★
	2024-04-23 16:31:06	KAPEKA: Un roman de porte dérobée repérée en Europe de l'Est Kapeka: A Novel Backdoor Spotted in Eastern Europe (lien direct)	#### Géolocations ciblées - Ukraine - Estonie - L'Europe de l'Est ## Instantané WithSeCure a publié des recherches sur une porte dérobée appelée "Kapeka", suivie par Microsoft comme "Knuckletouch", utilisée dans les attaques en Europe de l'Est depuis la mi-2022.Kapeka fonctionne comme une porte dérobée polyvalente, offrant à la fois des capacités initiales de boîte à outils et un accès à long terme aux victimes.Sa sophistication suggère une implication par un groupe APT.Withsecure relie Kapeka à Sandworm, suivi par Microsoft en tant que Seashell Blizzard, un groupe de menaces russes de l'État-nation russe associé au GRU connu pour ses attaques destructrices en Ukraine. Microsoft tracks Sandworm as Seashell Blizzard. [Read more about Seashell Blizzard here.](https://sip.security.microsoft.com/intel-profiles/cf1e406a16835d56cf614430aea3962d7ed99f01ee3d9ee3048078288e5201bb) Microsoft suit Kapeka comme Knuckletouch. [En savoir plus sur Knuckletouch ici.] (Https: // sip.security.microsoft.com/intel-profiles/cdbe72d9f5f1ee3b3f8cd4e78a4a07f76addafdcc656aa2234a8051e8415d282) ## Description Kapeka chevauche WIth Greynergy et Prestige Ransomware Attacks, tous attribués à Sandworm.Withsecure évalue qu'il est probable que Kapeka soit un ajout récent à l'arsenal de Sandworm \\.Le compte-gouttes du malware \\ installe la porte dérobée, collectionne la machine et les informations utilisateur pour l'acteur de menace.Cependant, la méthode de la distribution de Kapeka \\ reste inconnue. L'émergence de Kapeka \\ coïncide avec le conflit de Russie-Ukraine, suggérant des attaques ciblées à travers l'Europe centrale et orientale depuis 2022. Il peut être impliqué dans le déploiement de ransomware de prestige à la fin de 2022. Kapeka est spéculé pour succéder à Greyenergy dans Sandworm \\Toolkit de, en remplacement éventuellement de BlackEnergy. ## Les références [https://labs.withsecure.com/publications/kapeka #### Targeted Geolocations - Ukraine - Estonia - Eastern Europe ## Snapshot WithSecure has published research about a backdoor called "Kapeka," tracked by Microsoft as "KnuckleTouch," used in attacks in Eastern Europe since mid-2022. Kapeka functions as a versatile backdoor, providing both initial toolkit capabilities and long-term access to victims. Its sophistication suggests involvement by an APT group. WithSecure links Kapeka to Sandworm, tracked by Microsoft as Seashell Blizzard, a notorious Russian nation-state threat group associated with the GRU known for destructive attacks in Ukraine. Microsoft tracks Sandworm as Seashell Blizzard. [Read more about Seashell Blizzard here.](https://sip.security.microsoft.com/intel-profiles/cf1e406a16835d56cf614430aea3962d7ed99f01ee3d9ee3048078288e5201bb) Microsoft tracks Kapeka as KnuckleTouch. [Read more about Knuckletouch here.](https://sip.security.microsoft.com/intel-profiles/cdbe72d9f5f1ee3b3f8cd4e78a4a07f76addafdcc656aa2234a8051e8415d282) ## Description Kapeka overlaps with GreyEnergy and Prestige ransomware attacks, all attributed to Sandworm. WithSecure assesses it\'s likely that Kapeka is a recent addition to Sandworm\'s arsenal. The malware\'s dropper installs the backdoor, collecting machine and user information for the threat actor. However, the method of Kapeka\'s distribution remains unknown. Kapeka\'s emergence coincides with the Russia-Ukraine conflict, suggesting targeted attacks across Central and Eastern Europe since 2022. It may have been involved in the deployment of Prestige ransomware in late 2022. Kapeka is speculated to succeed GreyEnergy in Sandworm\'s toolkit, possibly replacing BlackEnergy. ## References [https://labs.withsecure.com/publications/kapeka](https://labs.withsecure.com/publications/kapeka)	Ransomware Malware Threat		★★★
	2024-04-22 19:02:33	Botnets Continue Exploiting CVE-2023-1389 for Wide-Scale Spread (lien direct)	## Instantané Des botnets tels que Moobot, Miori, AgoEnt et Gafgyt Variant exploitent la vulnérabilité CVE-2023-1389, qui a été divulguée l'année dernière.La vulnérabilité est une vulnérabilité d'injection de commande non authentifiée dans l'API «Locale» disponible via l'interface de gestion Web du TP-Link Archer AX21 (AX1800). ## Description Plusieurs botnets, dont Moobot, Miroi, Agoent, et la variante Gafgyt, ont été observés en exploitant cette vulnérabilité.Chaque botnet utilise des méthodes uniques d'infection et d'attaque, avec Agoant et la variante Gafgyt ciblant les architectures basées sur Linux pour lancer des attaques DDOS, tandis que Moobot initie les attaques DDOS sur les IPs distants après avoir récupéré des fichiers ELF à partir d'une URL spécifique.L'infiltration initiale se produit par la vulnérabilité d'injection de commande non authentifiée dans l'API "Locale", permettant aux attaquants d'atteindre l'injection de commandement en manipulant la forme "pays" et en "écriture". ## Les références [https://www.fortinet.com/blog/thereat-research/botnets-continue-exploiting-cve-2023-1389-for-wide-scale-spreadmenace-research / botnets-continue-exploitant-cve-2023-1389 pour l'échelle de l'échelle) ## Snapshot Botnets such as Moobot, Miori, AGoent, and Gafgyt Variant are exploiting the CVE-2023-1389 vulnerability, which was disclosed last year. The vulnerability is an unauthenticated command injection vulnerability in the “locale” API available via the web management interface of the TP-Link Archer AX21 (AX1800). ## Description Multiple botnets, including Moobot, Miroi, AGoent, and the Gafgyt Variant, have been observed exploiting this vulnerability. Each botnet employs unique methods of infection and attack, with AGoent and the Gafgyt Variant targeting Linux-based architectures to launch DDoS attacks, while Moobot initiates DDoS attacks on remote IPs after retrieving ELF files from a specific URL. The initial infiltration occurs through the unauthenticated command injection vulnerability in the "locale" API, allowing attackers to achieve command injection by manipulating the "country" form and "write" operation. ## References [https://www.fortinet.com/blog/threat-research/botnets-continue-exploiting-cve-2023-1389-for-wide-scale-spread](https://www.fortinet.com/blog/threat-research/botnets-continue-exploiting-cve-2023-1389-for-wide-scale-spread)	Vulnerability		★★★
	2024-04-22 15:04:06	Faits saillants hebdomadaires, 22 avril 2024 Weekly OSINT Highlights, 22 April 2024 (lien direct)	## Snapshot Last week\'s OSINT reporting focused on attack activity by APT groups and the infamous FIN7 (tracked by Microsoft as Sangria Tempest). These articles showcase the evolution of threat actor tactics, from FIN7\'s precise spear-phishing campaign targeting a US-based automotive manufacturer with the Anunak backdoor to TA427\'s (Emerald Sleet) strategic information gathering efforts aligned with North Korea\'s interests. ## Description 1. [Spear-Phishing Campaign by FIN7 (Sangria Tempest) Targeting US-Based Automotive Manufacturer](https://sip.security.microsoft.com/intel-explorer/articles/e14e343c): BlackBerry analysts detect a spear-phishing campaign by FIN7, tracked by Microsoft as Sangria Tempest, targeting a US-based automotive manufacturer with the Anunak backdoor. The attackers focus on IT department employees with elevated privileges, deploying living off the land binaries (lolbas) and multi-stage processes to mask malicious activity, illustrating a shift towards precise targeting in high-value sectors. 2. [Information Gathering Tactics of TA427 (Emerald Sleet)](https://sip.security.microsoft.com/intel-explorer/articles/5d36b082): Proofpoint details the information gathering tactics of TA427, a North Korea-aligned threat actor engaged in benign conversation starter campaigns targeting US and South Korea foreign policy initiatives. TA427 heavily relies on social engineering tactics and web beacons for reconnaissance, impersonating individuals from various verticals to gather strategic intelligence, demonstrating persistence and adaptability in adjusting tactics and infrastructure. 3. [Analysis of Russia\'s Notorious APT44 (Seashell Blizzard)](https://sip.security.microsoft.com/intel-explorer/articles/24c2a760): Sponsored by Russian military intelligence, APT44 is a dynamic and operationally mature threat actor that is actively engaged in the full spectrum of espionage, attack, and influence operations. Tracked by Microsoft as Seashell Blizzard, APT44 is actively engaged in espionage, attack, and influence operations to serve Russian national interests. APT44 presents a persistent, high-severity threat to governments and critical infrastructure globally, with a history of aggressive cyber attacks undermining democratic processes and presenting a significant proliferation risk for new cyber attack concepts and methods. 4. [Zero-Day Exploitation of Palo Alto Networks PAN-OS by UTA0218](https://sip.security.microsoft.com/intel-explorer/articles/958d183b): Volexity discovers zero-day exploitation of a vulnerability in Palo Alto Networks PAN-OS by threat actor UTA0218, resulting in unauthenticated remote code execution. UTA0218 exploits firewall devices to deploy malicious payloads, facilitating lateral movement within victim organizations, demonstrating highly capable threat actor tradecraft and a clear playbook to further their objectives. ## Learn More For the latest security research from the Microsoft Threat Intelligence community, check out the Microsoft Threat Intelligence Blog: [https://aka.ms/threatintelblog](https://aka.ms/threatintelblog). Microsoft customers can use the following reports in Microsoft Defender Threat Intelligence to get the most up-to-date information about the threat actor, malicious activity, and techniques discussed in this summary. The following reports provide the intelligence, protection information, and recommended actions to prevent, mitigate, or respond to associated threats found in customer environments: - Vulnerability Profile: [CVE-2024-3400](https://sip.security.microsoft.com/intel-profiles/CVE-2024-3400) - Actor Profile: [Sangria Tempest](https://security.microsoft.com/intel-profiles/3e4a164ad64958b784649928499521808aea4d3565df70afc7c85eae69f74278) - Actor Profile: [Seashell Blizzard](https://sip.security.microsoft.com/intel-profiles/cf1e406a16835d56cf614430aea3962d7ed99f01ee3d9ee3048078288e5201bb) - Actor Profile: [Emerald Sleet](https://sip.security.microsoft.com/intel-profiles/f1e214422d	Vulnerability Threat		★★★
	2024-04-18 20:37:30	Threat Group FIN7 Targets the U.S. Automotive Industry (lien direct)	#### Géolocations ciblées - États-Unis ## Instantané À la fin de 2023, les analystes de BlackBerry ont détecté une campagne de phisces de lance lancée par FIN7, suivie par Microsoft sous le nom de Sangria Tempest, ciblant un constructeur automobile basé aux États-Unis. ## Description Les attaquants se sont concentrés sur les employés du service informatique possédant des privilèges administratifs élevés, les attirant avec une offre d'un outil de numérisation IP gratuit, qui a dissimulé la porte dérobée Anunak.Cet incident démontre un changement dans les efforts de Fin7 \\, du ciblage généralisé au ciblage plus précis de secteurs de grande valeur tels que le transport et la défense. En cliquant sur des URL intégrées, les victimes ont été dirigées vers des sites Web malveillants, faisant partie d'un schéma de typosquat, qui a facilité le téléchargement et l'exécution de la porte dérobée Anunak sur leurs systèmes.Le déploiement de la vie des binaires terrestres, des scripts et des bibliothèques (lolbas) a masqué l'activité malveillante, en aidant à l'attaquants \\ 'de pied initial.En outre, le flux d'exécution des logiciels malveillants a impliqué des processus complexes en plusieurs étapes, y compris le décryptage et l'exécution des charges utiles, telles que Anunak, et l'établissement de la persistance via OpenSSH. Au cours de la phase de livraison de cette campagne, le site Web de faux leurre, «Advanced-ip-scanner \ [. \] Com», redirigé vers «Myipscanner \ [. \] Com».Les analystes de BlackBerry ont trouvé plusieurs domaines enregistrés dans les minutes suivant l'original sur le même fournisseur, illustrant que cette campagne n'est probablement pas limitée à cette attaque, mais fait plutôt partie d'une campagne plus large de FIN7. ## Les références [https://blogs.blackberry.com/en/2024/04/fin7-targets-the-united-states-automotive-industrycibles-states unités-automotive-industrie) #### Targeted Geolocations - United States ## Snapshot In late 2023, BlackBerry analysts detected a spear-phishing campaign launched by FIN7, tracked by Microsoft as Sangria Tempest, targeting a US-based automotive manufacturer. ## Description The attackers concentrated on employees within the IT department possessing elevated administrative privileges, luring them with an offer of a free IP scanning tool, which concealed the Anunak backdoor. This incident is demonstrative of a shift in FIN7\'s efforts from widespread targeting to more precise targeting of high-value sectors such as transportation and defense. Upon clicking on embedded URLs, victims were directed to malicious websites, part of a typosquatting scheme, which facilitated the download and execution of the Anunak backdoor onto their systems. The deployment of living off the land binaries, scripts, and libraries (lolbas) masked the malicious activity, aiding in the attackers\' initial foothold. Furthermore, the malware execution flow involved intricate multi-stage processes, including the decryption and execution of payloads, such as Anunak, and the establishment of persistence through OpenSSH. During the delivery phase of this campaign, the fake lure website, “advanced-ip-sccanner\[.\]com,” redirected to “myipscanner\[.\]com.” Blackberry analysts found multiple domains registered within minutes of the original on the same provider, illustrating that this campaign is likely not limited to this attack, but is instead part of a wider campaign by FIN7. ## References [https://blogs.blackberry.com/en/2024/04/fin7-targets-the-united-states-automotive-industry](https://blogs.blackberry.com/en/2024/04/fin7-targets-the-united-states-automotive-industry)	Malware Tool Threat		★★
	2024-04-17 21:47:14	From Social Engineering to DMARC Abuse: TA427\'s Art of Information Gathering (lien direct)	#### Géolocations ciblées - États-Unis - Corée #### Industries ciblées - Organisation non gouvernementale - Think Tank - Multidiscipline ## Instantané ProofPoint a publié un article détaillant les tactiques de collecte d'informations que TA427, suivies par Microsoft comme Emerald Sleet, mène. ## Description TA427, un acteur de menace aligné avec la Corée du Nord, est connu pour utiliser des tactiques d'ingénierie sociale sophistiquées et des balises Web pour la reconnaissance.TA427 s'engage dans des campagnes de démarrage de conversation bénigne pour recueillir des renseignements stratégiques liés aux initiatives de politique étrangère des États-Unis et de la Corée du Sud.L'acteur de menace s'appuie fortement sur des tactiques d'ingénierie sociale, notamment l'authentification des messages basée sur le domaine, les reportages et la conformité (DMARC), la typosquat et l'usurpation des comptes de messagerie privé, pour usurper l'identité des individus de diverses verticales tels que les groupes de réflexion, les ONG et le gouvernement.De plus, TA427 utilise des balises Web pour la reconnaissance initiale afin de valider les comptes de messagerie actifs et de collecter des informations fondamentales sur les environnements réseau des destinataires. TA427 est un acteur de menace persistant et adaptable car ils sont rapidement en mesure de développer de nouvelles infrastructures et personnages.En outre, TA427 est identifié comme l'un des acteurs de menace les plus actifs alignés par l'État actuellement suivis par Proofpoint.L'acteur de menace utilise des balises Web, de suivi des balises et des bogues Web pour la reconnaissance initiale afin de recueillir des informations sur les environnements réseau des destinataires.TA427 a fait l'identité d'identité des principaux experts en matière nord-coréenne dans le monde universitaire, le journalisme et les recherches indépendantes pour cibler d'autres experts et prendre pied dans leurs organisations respectives pour la collecte de renseignement stratégique à long terme.Les activités de l'acteur de menace sont axées sur l'obtention d'informations et d'influence plutôt que sur les gains financiers, ne démontrant aucune indication de ralentissement ou de perte de son agilité dans l'ajustement des tactiques et des infrastructures. ## Les références [https://www.poolinpoint.com/us/blog/thereat-insight/social-engineering-dmarc-abuse-ta427s-art-information-gatheringmenace-insight / social-ingénierie-dmarc-abuse-ta427s-art-information-gattering) #### Targeted Geolocations - United States - Korea #### Targeted Industries - Non-Government Organization - Think Tank - Multi-discipline ## Snapshot Proofpoint published an article detailing the information gathering tactics that TA427, tracked by Microsoft as Emerald Sleet, conducts. ## Description TA427, a threat actor aligned with North Korea, is known for using sophisticated social engineering tactics and web beacons for reconnaissance. TA427 engages in benign conversation starter campaigns to gather strategic intelligence related to US and South Korea foreign policy initiatives. The threat actor heavily relies on social engineering tactics, including Domain-based Message Authentication, Reporting and Conformance (DMARC) abuse, typosquatting, and private email account spoofing, to impersonate individuals from various verticals such as think tanks, NGOs, and government. Additionally, TA427 uses web beacons for initial reconnaissance to validate active email accounts and gather fundamental information about the recipients\' network environments. TA427 is a persistent and adaptable threat actor as they are quickly able to stand up new infrastructure and personas. Furthermore, TA427 is identified as one of the most active state-aligned threat actors currently tracked by Proofpoint. The threat actor uses web beacons, tracking beaco	Threat		★★
	2024-04-17 20:31:47	Débout APT44: Russie \\ est le cyber-sabotage de la Russie Unearthing APT44: Russia\\'s Notorious Cyber Sabotage Unit Sandworm (lien direct)	#### Géolocations ciblées - Ukraine ## Instantané Parrainé par le renseignement militaire russe, l'APT44 est un acteur de menace dynamique et mature opérationnel qui est activement engagé dans le spectre complet des opérations d'espionnage, d'attaque et d'influence. Microsoft suit cet apt en tant que blizzard de coquille.[En savoir plus à leur sujet ici.] (Https://sip.security.microsoft.com/intel-profiles/cf1e406a16835d56cf614430aea3962d7ed99f01ee3d9ee3048078288e5201bb) ## Description APT44 est un acteur de menace dynamique et mature opérationnel qui est activement engagé dans le spectre complet des opérations d'espionnage, d'attaque et d'influence.Le groupe a perfectionné chacune de ces capacités et a cherché à les intégrer dans un livre de jeu unifié au fil du temps.APT44 a poursuivi de manière agressive un effort à plusieurs volets pour aider les militaires russes à obtenir un avantage en temps de guerre et est responsable de presque toutes les opérations perturbatrices et destructrices contre l'Ukraine au cours de la dernière décennie.Le groupe présente une menace persistante et de forte gravité pour les gouvernements et les opérateurs d'infrastructures critiques dans le monde entier où les intérêts nationaux russes se croisent.L'APT44 est considéré par le Kremlin comme un instrument flexible de pouvoir capable de desservir les intérêts et les ambitions nationaux de la Russie, y compris les efforts visant à saper les processus démocratiques à l'échelle mondiale.Le soutien du groupe des objectifs politiques du Kremlin a abouti à certaines des cyberattaques les plus importantes et les plus consécutives de l'histoire.En raison de son histoire de l'utilisation agressive des capacités d'attaque du réseau dans des contextes politiques et militaires, l'APT44 présente un risque de prolifération significatif de nouveaux concepts et méthodes de cyberattaques.L'APT44 continuera certainement à présenter l'une des cyber-menaces de gravité la plus large et la plus élevée dans le monde. ## Recommandations [Pour plus de CIO, visitez leur collection Virustotal ici.] (Https://www.virustotal.com/gui/collection/0bd93a520cae1fd917441e6e54ff263c88069ac5a7f8b9e55ef99cd961b6a1c7/iocs) ## Les références https://cloud.google.com/blog/topics/thereat-intelligence/apt44-unearthing-sandworm https://services.google.com/fh/files/misc/apt44-unithing-sandworm.pdf https://sip.security.microsoft.com/intel-profiles/cf1e406a16835d56cf614430aea3962d7ed99f01ee3d9ee3048078288e5201bb #### Targeted Geolocations - Ukraine ## Snapshot Sponsored by Russian military intelligence, APT44 is a dynamic and operationally mature threat actor that is actively engaged in the full spectrum of espionage, attack, and influence operations. Microsoft tracks this APT as Seashell Blizzard. [Read more about them here.](https://sip.security.microsoft.com/intel-profiles/cf1e406a16835d56cf614430aea3962d7ed99f01ee3d9ee3048078288e5201bb) ## Description APT44 is a dynamic and operationally mature threat actor that is actively engaged in the full spectrum of espionage, attack, and influence operations. The group has honed each of these capabilities and sought to integrate them into a unified playbook over time. APT44 has aggressively pursued a multi-pronged effort to help the Russian military gain a wartime advantage and is responsible for nearly all of the disruptive and destructive operations against Ukraine over the past decade. The group presents a persistent, high severity threat to governments and critical infrastructure operators globally where Russian national interests intersect. APT44 is seen by the Kremlin as a flexible instrument of power capable of servicing Russia\'s wide-ranging national interests and ambitions, including efforts to undermine democratic processes globally. The group\'s support of the Kremlin\'s political objectives has resulted in some of the largest and mo	Threat Cloud		★★
	2024-04-15 20:31:45	Zero-Day Exploitation of Unauthenticated Remote Code Execution Vulnerability in GlobalProtect (CVE-2024-3400) (lien direct)	## Instantané Le 10 avril 2024, la volexité a découvert l'exploitation zéro-jour d'une vulnérabilité dans la fonctionnalité GlobalProtect de Palo Alto Networks Pan-OS à l'un de ses clients de surveillance de la sécurité des réseaux (NSM).La vulnérabilité a été confirmée comme un problème d'injection de commande de système d'exploitation et attribué CVE-2024-3400.Le problème est une vulnérabilité d'exécution de code distante non authentifiée avec un score de base CVSS de 10,0.L'acteur de menace, que volexité suit sous l'alias UTA0218, a pu exploiter à distance l'appareil de pare-feu, créer un shell inversé et télécharger d'autres outils sur l'appareil.L'attaquant s'est concentré sur l'exportation des données de configuration des appareils, puis en le tirant en tirant comme point d'entrée pour se déplacer latéralement au sein des organisations victimes.Au cours de son enquête, Volexity a observé que l'UTA0218 avait tenté d'installer une porte dérobée Python personnalisée, que volexité appelle Upstyle, sur le pare-feu.La porte dérobée Upstyle permet à l'attaquant d'exécuter des commandes supplémentaires sur l'appareil via des demandes de réseau spécialement conçues.UTA0218 a été observé en exploitant des appareils de pare-feu pour déployer avec succès des charges utiles malveillantes.Après avoir réussi à exploiter les appareils, UTA0218 a téléchargé des outils supplémentaires à partir de serveurs distants qu'ils contrôlaient afin de faciliter l'accès aux réseaux internes des victimes.Ils se sont rapidement déplacés latéralement à travers les réseaux victimes de victimes, extrait les informations d'identification sensibles et autres fichiers qui permettraient d'accéder pendant et potentiellement après l'intrusion.Le métier et la vitesse employés par l'attaquant suggèrent un acteur de menace hautement capable avec un livre de jeu clair sur quoi accéder pour poursuivre leurs objectifs.Il est probable que l'exploitation du dispositif de pare-feu, suivie d'une activité de planche pratique, a été limitée et ciblée.Cependant, les preuves d'une activité de reconnaissance potentielle impliquant une exploitation plus répandue visant à identifier les systèmes vulnérables semblent avoir eu lieu au moment de la rédaction. ## Les références [https://security.paloaltonetworks.com/CVE-2024-3400#new_tab. [https://www.volexity.com/blog/2024/04/12/zero-ay-exploitation-of-unauthenticated-remote-code-execution-vulnerabilité-in-GlobalProtect-CVE-2024-3400 /] (https://www.volexity.com/blog/2024/04/12/zero-kay-exploitation-of-unauthenticated-remote-code-execution-vulnerabilité-in-globalprotect-CVE-2024-3400 /) ## Snapshot On April 10, 2024, Volexity discovered zero-day exploitation of a vulnerability in the GlobalProtect feature of Palo Alto Networks PAN-OS at one of its network security monitoring (NSM) customers. The vulnerability was confirmed as an OS command injection issue and assigned CVE-2024-3400. The issue is an unauthenticated remote code execution vulnerability with a CVSS base score of 10.0. The threat actor, which Volexity tracks under the alias UTA0218, was able to remotely exploit the firewall device, create a reverse shell, and download further tools onto the device. The attacker focused on exporting configuration data from the devices, and then leveraging it as an entry point to move laterally within the victim organizations. During its investigation, Volexity observed that UTA0218 attempted to install a custom Python backdoor, which Volexity calls UPSTYLE, on the firewall. The UPSTYLE backdoor allows the attacker to execute additional commands on the device via specially crafted network requests. UTA0218 was observed exploiting firewall devices to successfully deploy malicious payloads. After successfully exploiting devices, UTA0218 downloaded additional tooling from remote servers they controlled in order to facilitate access to victims\' internal networks. They quickly moved laterally thr	Tool Vulnerability Threat		★★
	2024-04-15 15:15:00	Faits saillants hebdomadaires, 15 avril 2024 Weekly OSINT Highlights, 15 April 2024 (lien direct)	## Snapshot Last week\'s OSINT reporting reveals a landscape of diverse cyber threats characterized by sophisticated attack tactics and adaptable threat actors. One key trend was the increasing use of artificial intelligence (AI) by cybercriminals, including AI-powered malvertising on social media platforms and suspected LLM-generated content in a malware campaign targeting German organizations. Additionally, several OSINT articles reported on the trend of exploiting popular platforms like YouTube and GitHub to distribute malware. Threat actors demonstrate a keen understanding of user behavior, leveraging enticing content and fake webpages to lure victims into downloading malicious payloads, highlighting the importance of proactive defense strategies to mitigate evolving threats effectively. ## Description 1. [German Organizations Targeted with Rhadamanthys Malware](https://security.microsoft.com/intel-explorer/articles/119bde85): Proofpoint identifies TA547 launching an email campaign targeting German organizations with Rhadamanthys malware, representing a shift in techniques for the threat actor. The campaign involves impersonating a German retail company in emails containing password-protected ZIP files containing LNK files triggering PowerShell scripts to load Rhadamanthys into memory, bypassing disk writing. The incorporation of suspected LLM-generated content into the attack chain provides insight into how threat actors are leveraging LLM-generated content in malware campaigns. 2. [Russian-Language Cybercrime Operation Leveraging Fake Web3 Gaming Projects](https://security.microsoft.com/intel-explorer/articles/0cdc08b5): The Insikt Group uncovers a large-scale Russian-language cybercrime operation distributing infostealer malware through fake Web3 gaming projects targeting both macOS and Windows users. Threat actors entice users with the potential for cryptocurrency earnings, distributing malware like Atomic macOS Stealer (AMOS), Stealc, Rhadamanthys, or RisePro upon visiting imitation Web3 gaming projects\' webpages. 3. [AI-Powered Malvertising Campaigns on Social Media](https://security.microsoft.com/intel-explorer/articles/1e1b0868): Bitdefender discusses the use of artificial intelligence (AI) by cybercriminals in malvertising campaigns on social media platforms, impersonating popular AI software to distribute stealers like Rilide, Vidar, IceRAT, and Nova Stealer. These campaigns target European users through fake AI software webpages on Facebook, organized by taking over existing accounts and boosting page popularity through engaging content. 4. [Exploitation of YouTube Channels for Infostealer Distribution](https://security.microsoft.com/intel-explorer/articles/e9f5e219): AhnLab identifies a trend where threat actors exploit YouTube channels to distribute Infostealers like Vidar and LummaC2, disguising them as cracked versions of legitimate software. Attackers hijack popular channels with hundreds of thousands of subscribers, distributing malicious links through video descriptions and comments, highlighting concerns about the potential reach and impact of distributed malware. 5. [VenomRAT Distribution via Phishing Email with Malicious SVG Files](https://security.microsoft.com/intel-explorer/articles/98d69c76): FortiGuard Labs reveals a threat actor distributing VenomRAT and other plugins through phishing emails containing malicious Scalable Vector Graphics (SVG) files. The email attachment downloads a ZIP file containing an obfuscated Batch file, subsequently loading VenomRAT using ScrubCrypt to maintain a connection with a command and control (C2) server and install plugins on victims\' environments. 6. [Malware Distribution through GitHub Repositories Manipulation](https://security.microsoft.com/intel-explorer/articles/4d0ffb2c): Checkmarx reports a cybercriminal attack campaign manipulating GitHub\'s search functionality to distribute malware through repositories. Attackers create repositories with popular names and topics, hiding malicious code withi	Ransomware Spam Malware Tool Threat Prediction		★★
	2024-04-12 19:25:21	GitHub a exploité dans des campagnes de distribution de logiciels malveillants grâce à la manipulation de recherche GitHub Exploited in Malware Distribution Campaigns through Search Manipulation (lien direct)	## Instantané CheckMarx rapporte une récente campagne d'attaque où les cybercriminels ont manipulé les fonctionnalités de recherche de GitHub \\ et ont utilisé des référentiels pour distribuer des logiciels malveillants. ## Description Les attaquants ont créé des référentiels avec des noms et des sujets populaires, en utilisant des techniques telles que des mises à jour automatisées et en utilisant de faux comptes pour ajouter de faux stargazers aux projets pour augmenter les classements de recherche et tromper les utilisateurs.Le code malveillant a été caché dans les fichiers du projet Visual Studio pour échapper à la détection, exécutant automatiquement lorsque le projet est construit.Les attaquants ont également rembourré l'exécutable avec de nombreux zéros, une technique utilisée pour augmenter artificiellement la taille du fichier. CheckMarx rapporte que le fichier exécutable rembourré partage des similitudes avec les logiciels malveillants "Keyzetsu Clipper", ciblant les portefeuilles de crypto-monnaie.Le logiciel malveillant établit une persistance sur les machines Windows infectées en créant une tâche planifiée qui exécute l'exécutable malveillant quotidiennement à 4 heures du matin sans confirmation de l'utilisateur. ## Recommandations CheckMarx recommande pour empêcher la victime de la victime d'attaques similaires pour garder un œil sur les propriétés suspectes suivantes d'un repo: 1. Commissez la fréquence: le repo a-t-il un nombre extraordinaire de validations par rapport à son âge?Ces engagements modifient-ils le même fichier avec des modifications très mineures? 2. Stargazers: Qui met en vedette ce dépôt?La plupart des Stargazers semblent-ils avoir eu des comptes créés à peu près au même moment? En étant conscients de ces drapeaux rouges, les utilisateurs peuvent mieux se protéger des téléchargements et exécuter par inadvertance des logiciels malveillants. ## Les références [https://checkmarx.com/blog/new-technique-to-trick-develovers-detected-in-an-open-source-supply-chain-attattaque/#new_tab/ New-technique-to-trick-développateurs détecté dans une ouvrition d'ouvre-aventure-chain-attaque / # new_tab) ## Snapshot Checkmarx reports a recent attack campaign where cybercriminals manipulated GitHub\'s search functionality and used repositories to distribute malware. ## Description The attackers created repositories with popular names and topics, using techniques like automated updates and using fake accounts to add fake stargazers to projects to boost search rankings and deceive users. Malicious code was hidden within Visual Studio project files to evade detection, automatically executing when the project is built. The attackers also padded the executable with many zeros, a technique used to artificially boost the file size. Checkmarx reports the padded executable file shares similarities with the "Keyzetsu clipper" malware, targeting cryptocurrency wallets. The malware establishes persistence on infected Windows machines by creating a scheduled task that runs the malicious executable daily at 4AM without user confirmation. ## Recommendations Checkmarx reccomends to prevent falling victim to similar attacks to keep an eye on the following suspicious properties of a repo: 1. Commit frequency: Does the repo have an extraordinary number of commits relative to its age? Are these commits changing the same file with very minor changes? 2. Stargazers: Who is starring this repo? Do most of the stargazers appear to have had accounts created around the same time? By being aware of these red flags, users can better protect themselves from inadvertently downloading and executing malware. ## References [https://checkmarx.com/blog/new-technique-to-trick-developers-detected-in-an-open-source-supply-chain-attack/#new_tab](https://checkmarx.com/blog/new-technique-to-trick-developers-detected-in-an-open-source-supply-chain-attac	Malware		★★
	2024-04-12 18:11:30	TA547 cible les organisations allemandes avec Rhadamanthys Stealer TA547 Targets German Organizations with Rhadamanthys Stealer (lien direct)	#### Géolocations ciblées - Allemagne ## Instantané Proofpoint a identifié TA547 lancement d'une campagne de courriel ciblant les organisations allemandes avec Rhadamanthys malware, marquant la première utilisation connue de Rhadamanthys par cet acteur de menace.La campagne consistait à usurper l'identité d'une entreprise de vente au détail allemande dans des e-mails contenant des fichiers ZIP protégés par mot de passe prétendument liés aux factures, ciblant plusieurs industries en Allemagne. ## Description Les fichiers zip contenaient des fichiers LNK qui, lorsqu'ils sont exécutés, ont déclenché un script PowerShell pour exécuter un script distant chargeant des Rhadamanthys en mémoire, en contournant l'écriture de disque.Le script PowerShell affichait des caractéristiques suggérant un contenu généré par la machine, potentiellement à partir de modèles de langues grands (LLM). La récente campagne en Allemagne représente un changement dans les techniques de TA547, y compris l'utilisation de LNK comprimés et du voleur Rhadamanthys non observé auparavant.L'incorporation de contenu suspecté de LLM dans la chaîne d'attaque donne un aperçu de la façon dont les acteurs de la menace tirent parti du contenu généré par LLM dans les campagnes de logiciels malveillants, bien qu'il n'ait pas modifié la fonctionnalité ou l'efficacité du malware ou la façon dont les outils de sécurité ont défendu contre lui. ## Recommandations [Consultez la rédaction de Microsoft \\ sur les voleurs d'informations ici.] (Https://sip.security.microsoft.com/intel-profiles/2296d491ea381b532b24f2575f9418d4b6723c17b8a1f507d20c2140a75d16d6) [Consultez OSINT supplémentaire sur Rhadamanthys ici.] (Https://sip.security.microsoft.com/intel-explorer/articles/0131b256) ## Les références [https://www.poolinpoint.com/us/blog/thereat-insight/security-brief-ta547-targets-geman-organizations-rhadamanthys-tealermenace-insight / sécurité-Brief-Ta547-Targets-German-Organisations-Rhadamanthys-Stealer) #### Targeted Geolocations - Germany ## Snapshot Proofpoint has identified TA547 launching an email campaign targeting German organizations with Rhadamanthys malware, marking the first known use of Rhadamanthys by this threat actor. The campaign involved impersonating a German retail company in emails containing password-protected ZIP files purportedly related to invoices, targeting multiple industries in Germany. ## Description The ZIP files contained LNK files which, when executed, triggered a PowerShell script to run a remote script loading Rhadamanthys into memory, bypassing disk writing. The PowerShell script displayed characteristics suggestive of machine-generated content, potentially from large language models (LLMs). The recent campaign in Germany represents a shift in techniques for TA547, including the use of compressed LNKs and the previously unobserved Rhadamanthys stealer. The incorporation of suspected LLM-generated content into the attack chain provides insight into how threat actors are leveraging LLM-generated content in malware campaigns, although it did not change the functionality or efficacy of the malware or the way security tools defended against it. ## Recommendations [Check out Microsoft\'s write-up on information stealers here.](https://sip.security.microsoft.com/intel-profiles/2296d491ea381b532b24f2575f9418d4b6723c17b8a1f507d20c2140a75d16d6) [Check out additional OSINT on Rhadamanthys here.](https://sip.security.microsoft.com/intel-explorer/articles/0131b256) ## References [https://www.proofpoint.com/us/blog/threat-insight/security-brief-ta547-targets-german-organizations-rhadamanthys-stealer](https://www.proofpoint.com/us/blog/threat-insight/security-brief-ta547-targets-german-organizations-rhadamanthys-stealer)	Malware Tool Threat		★★
	2024-04-11 19:26:57	La campagne cybercriminale propage les infostelleurs, mettant en évidence les risques pour le jeu Web3 Cybercriminal Campaign Spreads Infostealers, Highlighting Risks to Web3 Gaming (lien direct)	## Instantané Le groupe INSIKT a découvert une opération de cybercriminalité en langue russe à grande échelle qui tire parti de faux projets de jeu Web3 pour distribuer des logiciels malveillants infoséaler ciblant les utilisateurs de macOS et Windows. ## Description Ces jeux Web3, basés sur la technologie de la blockchain, attirent les utilisateurs avec le potentiel de gains de crypto-monnaie.La campagne consiste à créer des projets de jeu d'imitation Web3 avec des modifications mineures pour paraître légitimes, ainsi que de faux comptes de médias sociaux pour améliorer leur crédibilité.Lors de la visite des principales pages Web de ces projets, les utilisateurs sont invités à télécharger des logiciels malveillants tels que le voleur atomique MacOS (AMOS), le Stealc, Rhadamanthys ou Risepro, selon leur système d'exploitation.Les acteurs de la menace ont établi une infrastructure résiliente et ciblent les joueurs Web3, exploitant leur manque potentiel d'hygiène de la cyber dans la poursuite de gains financiers. Les variantes de logiciels malveillants, y compris AMOS, sont capables d'infecter à la fois Intel et Apple M1 Mac, indiquant une large vulnérabilité parmi les utilisateurs.L'objectif principal de la campagne semble être le vol de portefeuilles de crypto-monnaie, posant un risque important pour la sécurité financière.Les acteurs de la menace \\ 'Origine russe sont allumés par des artefacts dans le code HTML, bien que leur emplacement exact reste incertain. ## Les références [https://www.recordedfuture.com/cybercriminal-campaign-spreads-infostealers-highlighting-risks-to-web3-gamingrisques-web3-gaming) ## Snapshot The Insikt Group has uncovered a large-scale Russian-language cybercrime operation that leverages fake Web3 gaming projects to distribute infostealer malware targeting both macOS and Windows users. ## Description These Web3 games, based on blockchain technology, entice users with the potential for cryptocurrency earnings. The campaign involves creating imitation Web3 gaming projects with minor modifications to appear legitimate, along with fake social media accounts to enhance their credibility. Upon visiting the main webpages of these projects, users are prompted to download malware such as Atomic macOS Stealer (AMOS), Stealc, Rhadamanthys, or RisePro, depending on their operating system. The threat actors have established a resilient infrastructure and are targeting Web3 gamers, exploiting their potential lack of cyber hygiene in pursuit of financial gains. The malware variants, including AMOS, are capable of infecting both Intel and Apple M1 Macs, indicating a broad vulnerability among users. The primary objective of the campaign appears to be the theft of cryptocurrency wallets, posing a significant risk to financial security. The threat actors\' Russian origin is hinted at by artifacts within the HTML code, although their exact location remains uncertain. ## References [https://www.recordedfuture.com/cybercriminal-campaign-spreads-infostealers-highlighting-risks-to-web3-gaming](https://www.recordedfuture.com/cybercriminal-campaign-spreads-infostealers-highlighting-risks-to-web3-gaming)	Malware Vulnerability Threat		★★★
	2024-04-10 20:29:45	Campions de malvertisation détourne les médias sociaux pour répandre les voleurs ciblant les utilisateurs de logiciels AI Malvertising Campaigns Hijack Social Media to Spread Stealers Targeting AI Software Users (lien direct)	#### Géolocations ciblées - Europe du Sud - Europe du Nord - Europe de l'Ouest - L'Europe de l'Est ## Instantané BitDefender discute de l'utilisation croissante de l'intelligence artificielle (IA) par les cybercriminels pour mener des campagnes malvertisantes sur les plateformes de médias sociaux. ## Description Les acteurs de la menace ont usurpé l'identité d'un logiciel d'IA populaire tel que MidJourney, Sora AI, Dall-E 3, Evoto et Chatgpt 5 sur Facebook pour inciter les utilisateurs à télécharger des versions de bureau officielles prétendues de ces logiciels AI.Les pages Web malveillantes téléchargent ensuite des voleurs intrusifs tels que Rilide, Vidar, Icerat et Nova Stealer, qui récoltent des informations sensibles, notamment les informations d'identification, les données de la saisie semi-automatique, les informations sur les cartes de crédit et les informations de portefeuille cryptographique. Ces campagnes de malvertisation ont ciblé les utilisateurs européens et ont une portée significative par le biais du système publicitaire parrainé par Meta \\.Les campagnes sont organisées en reprenant les comptes Facebook existants, en modifiant le contenu de la page \\ pour paraître légitime et en stimulant la popularité de la page \\ avec un contenu engageant et des images générées par AI-AI. ## Les références [https://www.bitdefender.com/blog/labs/ai-meets-next-gen-info-Stealers-in-Social-Media-Malvertising-Campaigns / # new_tab] (https://www.bitdefender.com/blog/labs/ai-meets-next-gen-info-teners-in-social-media-malvertising-campagnes / # new_tab) #### Targeted Geolocations - Southern Europe - Northern Europe - Western Europe - Eastern Europe ## Snapshot Bitdefender discusses the increasing use of artificial intelligence (AI) by cybercriminals to conduct malvertising campaigns on social media platforms. ## Description Threat actors have been impersonating popular AI software such as Midjourney, Sora AI, DALL-E 3, Evoto, and ChatGPT 5 on Facebook to trick users into downloading purported official desktop versions of these AI software. The malicious webpages then download intrusive stealers such as Rilide, Vidar, IceRAT, and Nova Stealer, which harvest sensitive information including credentials, autocomplete data, credit card information, and crypto wallet information. These malvertising campaigns have targeted European users and have a significant reach through Meta\'s sponsored ad system. The campaigns are organized by taking over existing Facebook accounts, changing the page\'s content to appear legitimate, and boosting the page\'s popularity with engaging content and AI-generated images. ## References [https://www.bitdefender.com/blog/labs/ai-meets-next-gen-info-stealers-in-social-media-malvertising-campaigns/#new_tab](https://www.bitdefender.com/blog/labs/ai-meets-next-gen-info-stealers-in-social-media-malvertising-campaigns/#new_tab)		ChatGPT	★★★
	2024-04-09 19:48:57	Threat Actors Hack YouTube Channels to Distribute Infostealers (Vidar and LummaC2) (lien direct)	## Instantané L'AHNLAB Security Intelligence Center (ASEC) a identifié une tendance préoccupante où les acteurs de menace exploitent les canaux YouTube pour distribuer des infostelleurs, en particulier Vidar et Lummac2. ## Description Plutôt que de créer de nouveaux canaux, les attaquants détournent des canaux populaires existants avec des centaines de milliers d'abonnés.Le malware est déguisé en versions fissurées de logiciels légitimes, et les attaquants utilisent des descriptions et des commentaires vidéo de YouTube \\ pour distribuer les liens malveillants.Le malware Vidar, par exemple, est déguisé en installateur de logiciel Adobe, et il communique avec son serveur de commande et de contrôle (C & C) via Telegram et Steam Community.De même, Lummac2 est distribué sous le couvert de logiciels commerciaux fissurés et est conçu pour voler des informations d'identification de compte et des fichiers de portefeuille de crypto-monnaie. La méthode des acteurs de menace \\ 'd'infiltration de canaux YouTube bien connus avec une grande base d'abonnés soulève des préoccupations concernant la portée et l'impact potentiels du malware distribué.Le malware déguisé est souvent compressé avec une protection par mot de passe pour échapper à la détection par des solutions de sécurité.Il est crucial pour les utilisateurs de faire preuve de prudence lors du téléchargement de logiciels à partir de sources non officielles et de s'assurer que leur logiciel de sécurité est à la hauteurdate pour prévenir les infections de logiciels malveillants. ## Les références [https://asec.ahnlab.com/en/63980/ ## Snapshot The AhnLab Security Intelligence Center (ASEC) has identified a concerning trend where threat actors are exploiting YouTube channels to distribute Infostealers, specifically Vidar and LummaC2. ## Description Rather than creating new channels, the attackers are hijacking existing, popular channels with hundreds of thousands of subscribers. The malware is disguised as cracked versions of legitimate software, and the attackers use YouTube\'s video descriptions and comments to distribute the malicious links. The Vidar malware, for example, is disguised as an installer for Adobe software, and it communicates with its command and control (C&C) server via Telegram and Steam Community. Similarly, LummaC2 is distributed under the guise of cracked commercial software and is designed to steal account credentials and cryptocurrency wallet files. The threat actors\' method of infiltrating well-known YouTube channels with a large subscriber base raises concerns about the potential reach and impact of the distributed malware. The disguised malware is often compressed with password protection to evade detection by security solutions. It is crucial for users to exercise caution when downloading software from unofficial sources and to ensure that their security software is up to date to prevent malware infections. ## References [https://asec.ahnlab.com/en/63980/](https://asec.ahnlab.com/en/63980/)	Malware Hack Threat Prediction Commercial		★★★
	2024-04-08 20:36:41	ScrubCrypt Deploys VenomRAT with an Arsenal of Plugins (lien direct)	## Instantané L'article de Fortiguard Labs Threat Research révèle une distribution récente de Venomrat et d'autres plugins par un acteur de menace via un e-mail de phishing contenant des fichiers de graphiques vectoriels évolutifs malveillants (SVG). ## Description L'e-mail incite les victimes à cliquer sur une pièce jointe, qui télécharge un fichier zip contenant un fichier batch obstiné avec l'outil BATCLOAK.Par la suite, Scrubcrypt est utilisé pour charger la charge utile finale, Venomrat, tout en maintenant une connexion avec un serveur de commande et de contrôle (C2) pour installer des plugins sur les environnements victimes.Les fichiers de plugin téléchargés à partir du serveur C2 incluent Venomrat version 6, Remcos, Xworm, Nanocore et un voleur conçu pour des portefeuilles cryptographiques spécifiques. ## Les références [https://www.fortinet.com/blog/thereat-research/scrubcrypt-deploys-venomrat-with-arsenal-of-plugins dedéploie-venomrat-avec-arsenal-de-plugins) ## Snapshot The article from FortiGuard Labs Threat Research uncovers a recent threat actor\'s distribution of VenomRAT and other plugins through a phishing email containing malicious Scalable Vector Graphics (SVG) files. ## Description The email entices victims to click on an attachment, which downloads a ZIP file containing a Batch file obfuscated with the BatCloak tool. Subsequently, ScrubCrypt is used to load the final payload, VenomRAT, while maintaining a connection with a command and control (C2) server to install plugins on victims\' environments. The plugin files downloaded from the C2 server include VenomRAT version 6, Remcos, XWorm, NanoCore, and a stealer designed for specific crypto wallets. ## References [https://www.fortinet.com/blog/threat-research/scrubcrypt-deploys-venomrat-with-arsenal-of-plugins](https://www.fortinet.com/blog/threat-research/scrubcrypt-deploys-venomrat-with-arsenal-of-plugins)	Tool Threat		★★
	2024-04-08 15:09:15	Faits saillants hebdomadaires, 8 avril 2024 Weekly OSINT Highlights, 8 April 2024 (lien direct)	Last week\'s OSINT reporting reveals several key trends emerge in the realm of cybersecurity threats. Firstly, there is a notable diversification and sophistication in attack techniques employed by threat actors, ranging from traditional malware distribution through phishing emails to advanced methods like DLL hijacking and API unhooking for evading detection. Secondly, the threat landscape is characterized by the presence of various actors, including state-sponsored groups like Earth Freybug (a subset of APT41) engaging in cyberespionage and financially motivated attacks, as well as cybercrime actors orchestrating malware campaigns such as Agent Tesla and Rhadamanthys. Thirdly, the targets of these attacks span across different sectors and regions, with organizations in America, Australia, and European countries facing significant threats. Additionally, the emergence of cross-platform malware like DinodasRAT highlights the adaptability of threat actors to target diverse systems, emphasizing the need for robust cybersecurity measures across all platforms. Overall, these trends underscore the dynamic and evolving nature of cyber threats, necessitating continuous vigilance and proactive defense strategies from organizations and cybersecurity professionals. 1. [Latrodectus Loader Malware Overview](https://sip.security.microsoft.com/intel-explorer/articles/b4fe59bf) Latrodectus is a new downloader malware, distinct from IcedID, designed to download payloads and execute arbitrary commands. It shares characteristics with IcedID, indicating possible common developers. 2. [Earth Freybug Cyberespionage Campaign](https://sip.security.microsoft.com/intel-explorer/articles/327771c8) Earth Freybug, a subset of APT41, engages in cyberespionage and financially motivated attacks since at least 2012. The attack involved sophisticated techniques like DLL hijacking and API unhooking to deploy UNAPIMON, evading detection and enabling malicious commands execution. 3. [Agent Tesla Malware Campaign](https://sip.security.microsoft.com/intel-explorer/articles/cbdfe243) Agent Tesla malware targets American and Australian organizations through phishing campaigns aimed at stealing email credentials. Check Point Research identified two connected cybercrime actors behind the operation. 4. [DinodasRAT Linux Version Analysis](https://sip.security.microsoft.com/intel-explorer/articles/57ab8662) DinodasRAT, associated with the Chinese threat actor LuoYu, is a cross-platform backdoor primarily targeting Linux servers. The latest version introduces advanced evasion capabilities and is installed to gain additional footholds in networks. 5. [Rhadamanthys Information Stealer Malware](https://sip.security.microsoft.com/intel-explorer/articles/bf8b5bc1) Rhadamanthys utilizes Google Ads tracking to distribute itself, disguising as popular software installers. After installation, it injects into legitimate Windows files for data theft, exploiting users through deceptive ad redirects. 6. [Sophisticated Phishing Email Malware](https://sip.security.microsoft.com/intel-explorer/articles/abfabfa1) A phishing email campaign employs ZIP file attachments leading to a series of malicious file downloads, culminating in the deployment of PowerShell scripts to gather system information and download further malware. 7. [AceCryptor Cryptors-as-a-Service (CaaS)](https://sip.security.microsoft.com/intel-explorer/articles/e3595388) AceCryptor is a prevalent cryptor-as-a-service utilized in Rescoms campaigns, particularly in European countries. Threat actors behind these campaigns abuse compromised accounts to send spam emails, aiming to obtain credentials for further attacks. ## Learn More For the latest security research from the Microsoft Threat Intelligence community, check out the Microsoft Threat Intelligence Blog: [https://aka.ms/threatintelblog](https://aka.ms/threatintelblog). Microsoft customers can use the following reports in Microsoft Defender Threat Intelligence to ge	Ransomware Spam Malware Tool Threat Cloud	APT 41	★★★
	2024-04-05 18:15:05	Déception de phishing - Les domaines suspendus révèlent une charge utile malveillante pour la région d'Amérique latine Phishing Deception - Suspended Domains Reveal Malicious Payload for Latin American Region (lien direct)	#### Géolocations ciblées - Mexique - Amérique du Sud - L'Amérique centrale et les Caraïbes - Amérique du Nord ## Instantané Trustwave SpiderLabs a découvert une campagne de phishing ciblant la région latino-américaine. ## Description L'e-mail de phishing contient une pièce jointe de fichiers zip qui, lorsqu'elle est extraite, révèle un fichier HTML qui mène à un téléchargement de fichiers malveillant se faisant passer pour une facture.Le fichier HTML joint contient une URL concaténée qui conduit à une page suspendue lorsqu'elle est accessible dans une autre région.Cependant, si l'URL est accessible à l'aide d'une IP basée au Mexique, elle redirigera vers une page CAPTCHA pour la vérification humaine, ce qui mène à une autre URL qui téléchargera un fichier RAR malveillant.Le fichier RAR contient un script PowerShell qui vérifiera la machine de la victime pour des informations telles que le nom de l'ordinateur, le système d'exploitation, etc. Il vérifiera également la présence d'un produit antivirus.Plusieurs chaînes codées Base64 dans le script ont été observées, dont une, lorsqu'elle est décodée, contient une autre demande d'URL qui utilise la méthode \\ 'post \' pour la réponse URL.L'URL décodée vérifiera le pays de l'utilisateur.Une autre chaîne codée notable Base64 contient une URL malveillante qui téléchargera un fichier zip malveillant. ## Les références [https://www.trustwave.com/en-us/resources/blogs/spiderLabs-log/phishing-decection-suspedend-domains-reveal-malicious-payload-for-latin-american-region//www.trustwave.com/en-us/resources/blogs/spiderLabs-log/phishing-decection-suspedend-domains-reveal-malicious-payload-for-latin-american-region/) #### Targeted Geolocations - Mexico - South America - Central America and the Caribbean - North America ## Snapshot Trustwave SpiderLabs has discovered a phishing campaign targeting the Latin American region. ## Description The phishing email contains a ZIP file attachment that, when extracted, reveals an HTML file that leads to a malicious file download posing as an invoice. The attached HTML file contains a concatenated URL that leads to a suspended page when accessed in a different region. However, if the URL is accessed using a Mexico-based IP, it will redirect to a captcha page for human verification, which leads to another URL that will download a malicious RAR file. The RAR file contains a PowerShell script that will check the victim\'s machine for information like computer name, operating system, etc. It will also check for the presence of an antivirus product. Several base64 encoded strings in the script were observed, one of which, when decoded, contains another URL request that uses the \'Post\' method for the URL response. The decoded URL will check for the user\'s country. Another notable base64 encoded string contains a malicious URL that will download a malicious ZIP file. ## References [https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/phishing-deception-suspended-domains-reveal-malicious-payload-for-latin-american-region/](https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/phishing-deception-suspended-domains-reveal-malicious-payload-for-latin-american-region/)			★★★
	2024-04-05 13:39:39	Même cibles, nouveaux manuels: les acteurs de la menace en Asie de l'Est utilisent des méthodes uniques Same targets, new playbooks: East Asia threat actors employ unique methods (lien direct)	## Snapshot Microsoft has observed several notable cyber and influence trends from China and North Korea since June 2023 that demonstrate not only doubling down on familiar targets, but also attempts to use more sophisticated influence techniques to achieve their goals. Chinese cyber actors broadly selected three target areas over the last seven months. - One set of Chinese actors extensively targeted entities across the South Pacific Islands. - A second set of Chinese activity continued a streak of cyberattacks against regional adversaries in the South China Sea region. - Meanwhile, a third set of Chinese actors compromised the US defense industrial base. Chinese influence actors-rather than broadening the geographic scope of their targets-honed their techniques and experimented with new media. Chinese influence campaigns continued to refine AI-generated or AI-enhanced content. The influence actors behind these campaigns have shown a willingness to both amplify AI-generated media that benefits their strategic narratives, as well as create their own video, memes, and audio content. Such tactics have been used in campaigns stoking divisions within the United States and exacerbating rifts in the Asia-Pacific region-including Taiwan, Japan, and South Korea. These campaigns achieved varying levels of resonance with no singular formula producing consistent audience engagement. North Korean cyber actors made headlines for increasing software supply chain attacks and cryptocurrency heists over the past year. While strategic spear-phishing campaigns targeting researchers who study the Korean Peninsula remained a constant trend, North Korean threat actors appeared to make greater use of legitimate software to compromise even more victims. ## Activity Overview ### Chinese cyber operations target strategic partners and competitors #### Gingham Typhoon targets government, IT, and multinational entities across the South Pacific Islands ![Graph showing targeted regions in the South Pacific by China based threat actor Gingham Typhoon](https://cdn-riq-ti.azureedge.net/49bcef0e-36ca-42a0-a66d-f5339c8b48e2) Figure 1: Observed events from Gingham Typhoon from June 2023 to January 2024 highlights their continued focus on South Pacific Island nations. However, much of this targeting has been ongoing, reflecting a yearslong focus on the region. Geographic locations and diameter of symbology are representational. During the summer of 2023, Microsoft Threat Intelligence observed extensive activity from China-based espionage group Gingham Typhoon that targeted nearly every South Pacific Island country. Gingham Typhoon is the most active actor in this region, hitting international organizations, government entities, and the IT sector with complex phishing campaigns. Victims also included vocal critics of the Chinese government. Diplomatic allies of China who were victims of recent Gingham Typhoon activity include executive offices in government, trade-related departments, internet service providers, as well as a transportation entity. Heightened geopolitical and diplomatic competition in the region may be motivations for these offensive cyber activities. China pursues strategic partnerships with South Pacific Island nations to expand economic ties and broker diplomatic and security agreements. Chinese cyber espionage in this region also follows economic partners. For example, Chinese actors engaged in large-scale targeting of multinational organizations in Papua New Guinea, a longtime diplomatic partner that is benefiting from multiple Belt and Road Initiative (BRI) projects including the construction of a major highway which links a Papua New Guinea government building to the capital city\'s main road. (1) #### Chinese threat actors retain focus on South China Sea amid Western military exercises China-based threat actors continued to target entities related to China\'s economic and military interests in a	Malware Tool Vulnerability Threat Studies Industrial Prediction Technical	Guam	★★★
	2024-04-03 20:46:53	Earth Freybug Uses UNAPIMON for Unhooking Critical APIs (lien direct)	#### Description Trend Micro a analysé une attaque de cyberespionnage que la société a attribuée à Earth Freybug, un sous-ensemble d'APT41 (suivi par Microsoft comme [typhon en laiton] (https: // sip.security.microsoft.com/intel-profiles/f0aaa62bfbaf3739bb92106688e6a00fc05afc0d4158b0e389b4078112d37c6?)).Selon Trend Micro, Earth Freybug est actif depuis àAu moins 2012 et le groupe lié au chinois a été actif dans l'espionnage et les attaques financièrement motivées.Earth Freybug utilise divers outils tels que Lolbins et les logiciels malveillants personnalisés, ciblant les organisations à l'échelle mondiale.L'attaque a utilisé des techniques telles que Dynamic Link Library (DLL) détournement et décrocheur API pour éviter la surveillance d'un nouveau malware appelé Unapimon.Unapimon élude la détection en empêchant les processus enfants d'être surveillés. Le flux d'attaque a consisté à créer des tâches planifiées à distance et à exécuter des commandes de reconnaissance pour recueillir des informations système.Par la suite, une porte dérobée a été lancée à l'aide d'un chargement latéral DLL via un service appelé sessionnv, qui charge une DLL malveillante.Unapimon, la DLL injectée, utilise le crochet de l'API pour échapper à la surveillance et à l'exécution de commandes malveillantes non détectées, présentant les attaquants \\ 'sophistication. [Consultez la rédaction de Microsoft \\ sur Dynamic-Link Library (DLL) Rijacking ici.] (Https://sip.security.microsoft.com/intel-explorer/articles/91be20e8?) #### URL de référence (s) 1. https://www.trendmicro.com/en_us/research/24/d/arth-freybug.html #### Date de publication 2 avril 2024 #### Auteurs) Christopher So #### Description Trend Micro analyzed a cyberespionage attack the company has attributed to Earth Freybug, a subset of APT41 (tracked by Microsoft as [Brass Typhoon](https://sip.security.microsoft.com/intel-profiles/f0aaa62bfbaf3739bb92106688e6a00fc05eafc0d4158b0e389b4078112d37c6?)). According to Trend Micro, Earth Freybug has been active since at least 2012 and the Chinese-linked group has been active in espionage and financially motivated attacks. Earth Freybug employs diverse tools like LOLBins and custom malware, targeting organizations globally. The attack used techniques like dynamic link library (DLL) hijacking and API unhooking to avoid monitoring for a new malware called UNAPIMON. UNAPIMON evades detection by preventing child processes from being monitored. The attack flow involved creating remote scheduled tasks and executing reconnaissance commands to gather system information. Subsequently, a backdoor was launched using DLL side-loading via a service called SessionEnv, which loads a malicious DLL. UNAPIMON, the injected DLL, uses API hooking to evade monitoring and execute malicious commands undetected, showcasing the attackers\' sophistication. [Check out Microsoft\'s write-up on dynamic-link library (DLL) hijacking here.](https://sip.security.microsoft.com/intel-explorer/articles/91be20e8?) #### Reference URL(s) 1. https://www.trendmicro.com/en_us/research/24/d/earth-freybug.html #### Publication Date April 2, 2024 #### Author(s) Christopher So	Malware Tool Prediction	APT 41	★★
	2024-04-02 20:33:27	Malware Spotlight: Linodas aka DinodasRAT for Linux (lien direct)	#### Description Check Point Research a analysé la dernière version Linux (V11) de Dinodasrat, qui est une porte dérobée multiplateforme qui a été observée dans les attaques de l'acteur de la menace chinoise Luoyu. Le malware est plus mature que la version Windows, avec un ensemble de capacités adaptées spécifiquement pour les serveurs Linux.La dernière version introduit un module d'évasion distinct pour masquer les traces de logiciels malveillants dans le système en proxyant et en modifiant l'exécution des binaires système \\ '.Le malware est installé sur les serveurs Linux comme moyen pour les acteurs de la menace de prendre pied supplémentaires dans le réseau. Dinodasrat était initialement basé sur le projet open source appelé SimplerMoter, un outil d'accès à distance basé sur le rat GH0ST, mais avec plusieurs mises à niveau supplémentaires. #### URL de référence (s) 1. https://research.checkpoint.com/2024/29676/ #### Date de publication 31 mars 2024 #### Auteurs) Recherche de point de contrôle #### Description Check Point Research has analyzed the latest Linux version (v11) of DinodasRAT, which is a cross-platform backdoor that was observed in attacks by the Chinese threat actor LuoYu. The malware is more mature than the Windows version, with a set of capabilities tailored specifically for Linux servers. The latest version introduces a separate evasion module to hide any traces of malware in the system by proxying and modifying the system binaries\' execution. The malware is installed on Linux servers as a way for the threat actors to gain an additional foothold in the network. DinodasRAT was initially based on the open-source project called SimpleRemoter, a remote access tool based on the Gh0st RAT, but with several additional upgrades. #### Reference URL(s) 1. https://research.checkpoint.com/2024/29676/ #### Publication Date March 31, 2024 #### Author(s) Check Point Research	Malware Tool Threat		★★
	2024-04-01 22:00:49	"Hé, ce n'est pas le bon site!"Distribution des logiciels malveillants exploitant le suivi des annonces Google "Hey, This Isn\\'t the Right Site!" Distribution of Malware Exploiting Google Ads Tracking (lien direct)	#### Description Ahnlab Security Intelligence Center (ASEC) a découvert Rhadamanthys, un malware d'information de voleur, en utilisant le suivi des publicités Google pour se distribuer, se faisant passer pour des installateurs de groupware populaires comme la notion et le mou.Le malware télécharge des fichiers malveillants après l'installation, souvent distribués via Inno Configuration ou des installateurs NSIS.Les attaquants ont utilisé le suivi des publicités Google pour conduire les utilisateurs vers un site malveillant, profitant de la capacité de la plate-forme \\ à insérer des adresses de site Web analytique externes.En cliquant sur les annonces, les utilisateurs ont redirigé un site qui les a incité à télécharger le malware, injectant finalement les logiciels malveillants Rhadamanthys en fichiers Windows légitimes pour le vol de données. > [Consultez la rédaction de Microsoft \\ sur les voleurs d'informations ici.] (Https://sip.security.microsoft.com/intel-profiles/2296d491ea381b532b24f2575f9418d4b6723c17b8a1f507d20c2140a75d16d6?)?) > [Découvrez les rapports OSINT précédents sur Rhadamanthys ici.] (Https://sip.security.microsoft.com/intel-explorer/articles/463afcea) #### URL de référence (s) 1. https://asec.ahnlab.com/en/63477/ #### Date de publication 31 mars 2024 #### Auteurs) Ahnlab Security Intelligence Center #### Description AhnLab Security Intelligence Center (ASEC) discovered Rhadamanthys, an information stealer malware, using Google Ads tracking to distribute itself, posing as installers for popular groupware like Notion and Slack. The malware downloads malicious files after installation, often distributed through Inno Setup or NSIS installers. The attackers utilized Google Ads tracking to lead users to a malicious site, taking advantage of the platform\'s ability to insert external analytic website addresses. Clicking on the ads redirected users to a site tricking them into downloading the malware, ultimately injecting the Rhadamanthys malware into legitimate Windows files for data theft. >[Check out Microsoft\'s write-up on Information Stealers here.](https://sip.security.microsoft.com/intel-profiles/2296d491ea381b532b24f2575f9418d4b6723c17b8a1f507d20c2140a75d16d6?) >[Check out previous OSINT reporting on Rhadamanthys here.](https://sip.security.microsoft.com/intel-explorer/articles/463afcea) #### Reference URL(s) 1. https://asec.ahnlab.com/en/63477/ #### Publication Date March 31, 2024 #### Author(s) AhnLab Security Intelligence Center	Malware		★★
	2024-04-01 20:02:08	Rescoms monte des vagues de spam d'acceptor Rescoms Rides Waves of AceCryptor Spam (lien direct)	#### Description ESET Research partage des informations sur l'accryptor, l'une des Cryptors-as-a-Service les plus populaires et les plus répandues en seconde période de 2023, en mettant l'accent sur les campagnes de rescoms dans les pays européens.Même si bien connu selon les produits de sécurité, la prévalence d'Acecryptor \\ ne montre pas les indications de déclin: au contraire, le nombre d'attaques a considérablement augmenté en raison des campagnes Rescoms. L'acteur de menace derrière ces campagnes dans certains cas a abusé des comptes a compromis les comptes pour envoyer des e-mails de spam afin de les rendre aussi crédibles que possible.L'objectif des campagnes de spam était d'obtenir des titres de compétences stockés dans des navigateurs ou des clients de messagerie, ce qui, en cas de compromis réussi, ouvrirait des possibilités d'attaques supplémentaires. #### URL de référence (s) 1. https://www.welivesecurity.com/en/eset-research/rescoms-rides-waves-acecryptor-spam/ #### Date de publication 20 mars 2024 #### Auteurs) Jakub Kaloč #### Description ESET research shares insights into AceCryptor, one of the most popular and prevalent cryptors-as-a-service (CaaS) in the second half of 2023, with a focus on Rescoms campaigns in European countries. Even though well known by security products, AceCryptor\'s prevalence is not showing indications of decline: on the contrary, the number of attacks significantly increased due to the Rescoms campaigns. The threat actor behind those campaigns in some cases abused compromised accounts to send spam emails in order to make them look as credible as possible. The goal of the spam campaigns was to obtain credentials stored in browsers or email clients, which in case of a successful compromise would open possibilities for further attacks. #### Reference URL(s) 1. https://www.welivesecurity.com/en/eset-research/rescoms-rides-waves-acecryptor-spam/ #### Publication Date March 20, 2024 #### Author(s) Jakub Kaloč	Spam Threat		★★
	2024-04-01 13:51:22	Faits saillants hebdomadaires, 1er avril 2024 Weekly OSINT Highlights, 1 April 2024 (lien direct)	Last week\'s OSINT reporting reveals an array of cyber threats marked by sophisticated attack tactics and diverse targets. From malvertising campaigns deploying stealers like Rhadamanthys to the first known attack campaign targeting AI workloads, threat actors exhibit a range of attack vectors targeting both individuals and organizations. Notably, the evolution of malware such as Vultur and StrelaStealer highlights a continual arms race between attackers and defenders, with adversaries demonstrating adaptability and persistence in their pursuit of data theft and system compromise. The targeting of specific platforms like WordPress sites and email clients underscores the threat to online ecosystems, while the widespread impact across industries emphasizes the need for robust cybersecurity measures and constant vigilance against evolving threats.  1. [Go Malvertising Campaign with Rhadamanthys Stealer](https://security.microsoft.com/intel-explorer/articles/e6d270fc): A malvertising campaign had utilized a Go language loader to deploy the Rhadamanthys stealer, targeting users through a fake PuTTY homepage ad at the top of Google search results. The loader, closely linked to the malvertising infrastructure, had retrieved the payload, Rhadamanthys, which had been executed by the parent process PuTTY.exe, indicating a coordinated attack by the same threat actor.  2. [Active Attack Campaign Exploiting Ray Framework Vulnerability](https://security.microsoft.com/intel-explorer/articles/e4cd5bc2): An ongoing active attack campaign had exploited a critical vulnerability in the Ray open-source AI framework, known as ShadowRay (CVE-2023-48022), impacting thousands of companies globally. Attackers had exploited this vulnerability to take control of computing resources, steal sensitive data, and conduct cryptocurrency mining operations, demonstrating the severity of the issue and its widespread impact across industries.  3. [Evolution of Android Banking Malware Vultur](https://security.microsoft.com/intel-explorer/articles/3f7c3599): Authors behind the Android banking malware Vultur had enhanced its capabilities, including remote interaction with victim devices and encryption of C2 communication, showcasing continual development to evade detection and carry out malicious actions with greater sophistication.  4. [Agent Tesla Phishing Email Infection Chain](https://security.microsoft.com/intel-explorer/articles/5ffaa8a4): SpiderLabs had identified a phishing email leading to an infection chain deploying Agent Tesla, utilizing obfuscation, packing techniques, and polymorphic behavior to evade detection and ensure stealthy execution, posing challenges for traditional antivirus systems.  5. [Sign1 Malware Campaign Exploiting WordPress Sites](https://security.microsoft.com/intel-explorer/articles/063f7fac): Sucuri and GoDaddy Infosec had discovered the Sign1 malware campaign infecting over 2,500 WordPress sites, injecting malicious code into custom HTML widgets to redirect visitors to scam sites, demonstrating the threat to website integrity and visitor security.  6. [StrelaStealer Email Client Targeting Malware](https://security.microsoft.com/intel-explorer/articles/82785858): StrelaStealer, a malware targeting email clients to steal login data, had launched large-scale email campaigns impacting over 100 organizations, particularly targeting high-tech industries. The malware\'s evolving infection chain and updated payloads had underscored its adaptability and the challenge it had posed to security analysts and products.  ## Learn More  For the latest security research from the Microsoft Threat Intelligence community, check out the Microsoft Threat Intelligence Blog: [https://aka.ms/threatintelblog](https://aka.ms/threatintelblog).  Microsoft customers can use the following reports in Microsoft Defender Threat Intelligence to get the most up-to-date information about the threat actor, malicious activity, and techniques discussed in this summa	Ransomware Spam Malware Tool Vulnerability Threat Mobile Cloud		★★
	2024-03-29 19:00:47	New Go Loader pousse le voleur de Rhadamanthys New Go Loader Pushes Rhadamanthys Stealer (lien direct)	#### Description Une nouvelle campagne de malvertising a été découverte qui utilise un chargeur de langage Go pour déployer le voleur de Rhadamanthys. L'acteur de menace a acheté une annonce qui apparaît en haut des résultats de la recherche Google, affirmant être la page d'accueil du mastic.L'URL AD indique un domaine contrôlé par l'attaquant où il peut montrer une page légitime aux visiteurs qui ne sont pas de vraies victimes.Les vraies victimes venant des États-Unis seront redirigées vers un faux site qui ressemble exactement à Putty.org.La charge utile malveillante est téléchargée via une chaîne de redirection en deux étapes, et le serveur est censé effectuer des vérifications pour les procurations tout en enregistrant l'adresse IP de la victime.Lors de l'exécution du compte-gouttes, il y a une vérification IP pour l'adresse IP publique de la victime.Si une correspondance est trouvée, le compte-gouttes procède à la récupération d'une charge utile de suivi d'un autre serveur.La charge utile est Rhadamanthys, qui est exécuté par le processus parent putty.exe.Le chargeur est étroitement lié à l'infrastructure de malvertisation, et il est très probable que le même acteur de menace contrôle les deux. #### URL de référence (s) 1. https://www.malwarebytes.com/blog/thereat-intelligence/2024/03/new-go-loader-pushes-rhadamanthys #### Date de publication 22 mars 2024 #### Auteurs) J & eacute; r & ocirc; moi segura #### Description A new malvertising campaign has been discovered that uses a Go language loader to deploy the Rhadamanthys stealer. The threat actor purchased an ad that appears at the top of Google search results, claiming to be the PuTTY homepage. The ad URL points to an attacker-controlled domain where they can show a legitimate page to visitors that are not real victims. Real victims coming from the US will be redirected to a fake site that looks and feels exactly like putty.org. The malicious payload is downloaded via a two-step redirection chain, and the server is believed to perform some checks for proxies while also logging the victim\'s IP address. Upon executing the dropper, there is an IP check for the victim\'s public IP address. If a match is found, the dropper proceeds to retrieve a follow-up payload from another server. The payload is Rhadamanthys, which is executed by the parent process PuTTy.exe. The loader is closely tied to the malvertising infrastructure, and it is quite likely that the same threat actor is controlling both. #### Reference URL(s) 1. https://www.malwarebytes.com/blog/threat-intelligence/2024/03/new-go-loader-pushes-rhadamanthys #### Publication Date March 22, 2024 #### Author(s) Jérôme Segura	Threat		★★
	2024-03-28 20:08:52	Shadowray: Première campagne d'attaque connue ciblant les charges de travail AI activement exploitées dans la nature ShadowRay: First Known Attack Campaign Targeting AI Workloads Actively Exploited in the Wild (lien direct)	#### Description Les analystes d'Oligo, une société de recherche israélienne en matière de sécurité, ont identifié une campagne d'attaque active en cours ciblant une vulnérabilité critique dans le cadre de l'IA open-source Ray, ce qui concerne des milliers d'entreprises et de serveurs à l'échelle mondiale.Cette vulnérabilité, connue sous le nom de ShadowRay (CVE-2023-48022), permet aux attaquants de prendre le contrôle des ressources informatiques et de divulguer des données sensibles.Selon le développeur de Ray \\, tous les domaines, ce problème n'est pas une vulnérabilité.Il s'agit plutôt d'une caractéristique essentielle de la conception de Ray \\ qui permet l'exécution d'un code dynamique dans un cluster.Par conséquent, Anyscale n'a pas publié de correctif et CVE-2023-48022 n'apparaît pas dans plusieurs bases de données de vulnérabilité. Depuis septembre 2023, les acteurs malveillants ont accédé à des milliers de serveurs Ray dans plusieurs industries, notamment l'éducation, la finance et le biopharma.En exploitant cet accès, les acteurs ont volé des données sensibles, des informations d'identification, des jetons cloud et des ressources informatiques utilisées pour les opérations d'extraction de crypto-monnaie. [Consultez la rédaction de Microsoft \\ sur CVE-2023-48022 ici.] (Https://sip.security.microsoft.com/intel-explorer/cves/cve-2023-48022/description?) #### URL de référence (s) 1. https://www.oligo.security/blog/shadowray-attack-ai-workloads-actively-exploited-in-the-wild #### Date de publication 26 mars 2024 #### Auteurs) Avi Lumelsky, Guy Kaplan et Gal Elbaz #### Description Analysts from Oligo, an Israeli security research company, have identified an ongoing active attack campaign targeting a critical vulnerability in the Ray open-source AI framework, impacting thousands of companies and servers globally. This vulnerability, known as ShadowRay (CVE-2023-48022), allows attackers to take control of computing resources and leak sensitive data. According to Ray\'s developer, Anyscale, this issue is not a vulnerability. Rather, it is an essential feature of Ray\'s design that enables the execution of dynamic code within a cluster. Therefore, Anyscale has not released a patch and CVE-2023-48022 does not appear in several vulnerability databases. Since September 2023, malicious actors have accessed thousands of Ray servers across multiple industries, including education, finance, and biopharma. Exploiting this access, actors have stolen sensitive data, credentials, cloud tokens, and used computing resources for cryptocurrency mining operations. [Check out Microsoft\'s write-up on CVE-2023-48022 here.](https://sip.security.microsoft.com/intel-explorer/cves/CVE-2023-48022/description?) #### Reference URL(s) 1. https://www.oligo.security/blog/shadowray-attack-ai-workloads-actively-exploited-in-the-wild #### Publication Date March 26, 2024 #### Author(s) Avi Lumelsky, Guy Kaplan, and Gal Elbaz	Vulnerability Cloud		★★
	2024-03-28 19:11:03	Android Malware Vultur étend son envergure Android Malware Vultur Expands Its Wingspan (lien direct)	#### Description The authors behind Android banking malware Vultur have been spotted adding new technical features, which allow the malware operator to further remotely interact with the victim\'s mobile device. Vultur has also started masquerading more of its malicious activity by encrypting its C2 communication, using multiple encrypted payloads that are decrypted on the fly, and using the guise of legitimate applications to carry out its malicious actions. #### Reference URL(s) 1. https://research.nccgroup.com/2024/03/28/android-malware-vultur-expands-its-wingspan/ #### Publication Date March 28, 2024 #### Author(s) Joshua Kamp #### Description The authors behind Android banking malware Vultur have been spotted adding new technical features, which allow the malware operator to further remotely interact with the victim\'s mobile device. Vultur has also started masquerading more of its malicious activity by encrypting its C2 communication, using multiple encrypted payloads that are decrypted on the fly, and using the guise of legitimate applications to carry out its malicious actions. #### Reference URL(s) 1. https://research.nccgroup.com/2024/03/28/android-malware-vultur-expands-its-wingspan/ #### Publication Date March 28, 2024 #### Author(s) Joshua Kamp	Malware Mobile Technical		★★★
	2024-03-27 19:14:21	La nouvelle conduite de l'agent Tesla \\: la montée d'un nouveau chargeur Agent Tesla\\'s New Ride: The Rise of a Novel Loader (lien direct)	#### Description SpiderLabs a identifié un e-mail de phishing le 8 mars 2024, avec une archive ci-jointe qui comprenait un exécutable Windows déguisé en paiement bancaire frauduleux.Cette action a lancé une chaîne d'infection culminant dans le déploiement de l'agent Tesla.Le chargeur est compilé avec .NET et utilise des techniques d'obscurcissement et d'emballage pour échapper à la détection.Il présente également un comportement polymorphe avec des routines de décryptage distinctes, ce qui rend difficile la détection des systèmes antivirus traditionnels.Le chargeur utilise des méthodes telles que le correctif pour contourner la détection de la détection d'interface de numérisation anti-anti-logiciels (AMSI) et charge dynamiquement des charges utiles, assurant une exécution furtive et minimisant les traces sur le disque. > [Consultez la rédaction de Microsoft \\ sur les informationsStealiers ici.] (Https://sip.security.microsoft.com/intel-profiles/2296d491ea381b532b24f2575f9418d4b6723c17b8a1f507d20c2140a75d16d6) #### URL de référence (s) 1. https://www.trustwave.com/en-us/Ressources / blogs / spiderLabs-blog / agent-teslas-new-ride-the-ramen-of-a-novel-chargedeur / #### Date de publication 26 mars 2024 #### Auteurs) Bernard Bautista #### Description SpiderLabs identified a phishing email on March 8, 2024, with an attached archive that included a Windows executable disguised as a fraudulent bank payment. This action initiated an infection chain culminating in the deployment of Agent Tesla. The loader is compiled with .NET and uses obfuscation and packing techniques to evade detection. It also exhibits polymorphic behavior with distinct decryption routines, making it difficult for traditional antivirus systems to detect. The loader uses methods like patching to bypass Antimalware Scan Interface (AMSI) detection and dynamically load payloads, ensuring stealthy execution and minimizing traces on disk. > [Check out Microsoft\'s write-up on Information Stealers here.](https://sip.security.microsoft.com/intel-profiles/2296d491ea381b532b24f2575f9418d4b6723c17b8a1f507d20c2140a75d16d6) #### Reference URL(s) 1. https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/agent-teslas-new-ride-the-rise-of-a-novel-loader/ #### Publication Date March 26, 2024 #### Author(s) Bernard Bautista	Patching		★★★
	2024-03-26 19:39:28	MALWORE SIGN1: analyse, historique de la campagne et indicateurs de compromis Sign1 Malware: Analysis, Campaign History & Indicators of Compromise (lien direct)	#### Description Une nouvelle campagne de logiciels malveillants appelée Sign1 a été découverte par Sucuri et Godaddy Infosec.Le malware a été trouvé sur plus de 2 500 sites au cours des deux derniers mois.Le malware est injecté dans des widgets HTML personnalisés WordPress que les attaquants ajoutent aux sites Web compromis.Le malware est injecté à l'aide d'un plugin CSS et JS personnalisé légitime.Le malware est conçu pour rediriger les visiteurs vers des sites d'escroquerie.Le malware est basé sur le temps et utilise du code JavaScript dynamique pour générer des URL qui changent toutes les 10 minutes.Le logiciel malveillant cherche spécifiquement à voir si le visiteur provient de sites Web majeurs tels que Google, Facebook, Yahoo, Instagram, etc. Si le référent ne correspond pas à ces principaux sites, alors le malware ne s'exécutera pas. #### URL de référence (s) 1. https://blog.sucuri.net/2024/03/sign1-malware-analysis-campaign-history-indicators-odi-cocompromis.html #### Date de publication 20 mars 2024 #### Auteurs) Ben Martin #### Description A new malware campaign called Sign1 has been discovered by Sucuri and GoDaddy Infosec. The malware has been found on over 2,500 sites in the past two months. The malware is injected into WordPress custom HTML widgets that the attackers add to compromised websites. The malware is injected using a legitimate Simple Custom CSS and JS plugin. The malware is designed to redirect visitors to scam sites. The malware is time-based and uses dynamic JavaScript code to generate URLs that change every 10 minutes. The malware is specifically looking to see if the visitor has come from any major websites such as Google, Facebook, Yahoo, Instagram etc. If the referrer does not match to these major sites, then the malware will not execute. #### Reference URL(s) 1. https://blog.sucuri.net/2024/03/sign1-malware-analysis-campaign-history-indicators-of-compromise.html #### Publication Date March 20, 2024 #### Author(s) Ben Martin	Malware	Yahoo	★★
	2024-03-26 17:11:47	Campagne à grande échelle de Strelaslateal au début de 2024 Large-Scale StrelaStealer Campaign in Early 2024 (lien direct)	#### Description Strelastealer est un logiciel malveillant qui cible les clients de messagerie pour voler des données de connexion, en l'envoyant au serveur de l'attaquant \\ pour des attaques potentielles supplémentaires.Depuis l'émergence de Strelaslealer \\ en 2022, l'acteur de menace a lancé plusieurs campagnes de messagerie à grande échelle, ses dernières campagnes ayant un impact sur 100 organisations à travers l'UE et les attaquants américains ont ciblé des organisations dans une variété d'industries, mais des organisations dans laL'industrie de la haute technologie a été la plus grande cible.L'analyse technique de Strelaslaster révèle une chaîne d'infection en évolution utilisant des pièces jointes ZIP, des fichiers JScript et des charges utiles de DLL mises à jour, démontrant l'adaptabilité du malware \\ et le défi qu'il pose aux analystes et produits de sécurité. #### URL de référence (s) 1. https: // Unit42.paloaltonetworks.com/strelastealer-campage/ #### Date de publication 22 mars 2024 #### Auteurs) Benjamin Chang, Goutam Tripathy, Pranay Kumar Chhapurwal, Anmol Maurya et Vishwa Thothathri #### Description StrelaStealer is a malware that targets email clients to steal login data, sending it to the attacker\'s server for potential further attacks. Since StrelaStealer\'s emergence in 2022, the threat actor has launched multiple large-scale email campaigns, with its most recent campaigns impacting over 100 organizations across the EU and U.S. Attackers have targeted organizations in a variety of industries, but organizations in the high tech industry have been the biggest target. Technical analysis of StrelaStealer reveals an evolving infection chain using ZIP attachments, JScript files, and updated DLL payloads, demonstrating the malware\'s adaptability and the challenge it poses to security analysts and products. #### Reference URL(s) 1. https://unit42.paloaltonetworks.com/strelastealer-campaign/ #### Publication Date March 22, 2024 #### Author(s) Benjamin Chang, Goutam Tripathy, Pranay Kumar Chhaparwal, Anmol Maurya, and Vishwa Thothathri	Malware Threat Technical		★★
	2024-03-25 13:28:48	Faits saillants hebdomadaires, 25 mars 2024 Weekly OSINT Highlights, 25 March 2024 (lien direct)	La semaine dernière, les rapports OSINT de \\ présentent une gamme de cyber-menaces, des campagnes d'espionnage parrainées par l'État russe par Secret Blizzard à l'infosteller malware comme Formbook et le lecteur Adobe Infosaler, démontrant l'adaptabilité et la persistance entre les acteurs de la menace.Des tactiques trompeuses telles que la typosquat et la distribution de faux logiciels sont utilisées pour le camouflage des activités et ciblent des groupes d'utilisateurs spécifiques, comme on le voit dans le cas du ciblage chinois des moteurs de recherche.De plus, le malvertising basé sur la recherche, notamment avec le malware FakeBat, met en évidence l'abus de sites Web légitimes et de certificats numériques pour échapper aux mesures de sécurité.Dans l'ensemble, ces tendances soulignent la nécessité de mesures de cybersécurité robustes et de l'intelligence continue des menaces pour atténuer efficacement les menaces en évolution. 1. [Campagne d'espionnage de Turla] (https://security.microsoft.com/intel-explorer/articles/bf6723e9?): Le groupe d'espionnage russe Turla, également connu sous le nom de Blizzard secret par Microsoft, orchestraciblant une ONG européenne, employant des tactiques comme le vol d'information et l'infiltration du réseau.Les activités post-compromises de Turla \\ impliquent le déploiement d'implants comme Tinyturla-ng et la reconnaissance de la reconnaissance, la démonstration de persistance et de furtivité dans leurs opérations. 2. [Linux Server RCE Attack] (https://security.microsoft.com/intel-explorer/articles/9b8f807f?): Cybereason Security Services rapporte un incident impliquant un serveur Linux exploité via une exécution de code distante (RCE) Vulnérabilité dans Apache ActiveMQ, facilitant le déploiement de VADes charges utiles malveillantes comme Mirai Botnet, Hellokitty Ransomware et Coinminers.Attaquer les méthodologiesClude l'automatisation et les séances interactives via les coquilles inversées de Netcat, mettant en évidence le divers arsenal des acteurs de la menace et leurs tactiques adaptables. 3. [Formbook InfoSteller Malware] (https://security.microsoft.com/intel-explorer/articles/7b321c6c?): Formbook, un logiciel malveillant infoséaler, présente des capacités avancées comme le suivi de la touche et la capture de l'écran, pendant l'évasion de l'évasion, comme le suivi des touches de touche et la capture d'écran, pendant l'évadisation, toutDétection par des techniques d'obscurcissement et de chiffrement.Les cybercriminels distribuent Formbook par courrier électronique, avec des cas d'utilisation notés lors des conflits géopolitiques, soulignant sa flexibilité et sa menace persistante. 4. [Ciblage de moteurs de recherche chinois] (https://security.microsoft.com/intel-explorer/articles/5a806c77?): Kaspersky découvre une menace ciblant les utilisateurs chinois via des versions modifiées de rédacteurs de texte populaires distribués via le type typosquattinget d'autres techniques trompeuses, soulignant les acteurs de la menace \\ 'efforts pour imiter les ressources légitimes à des fins malveillantes. 5. [Phantomblu Malware Campaign] (https://security.microsoft.com/intel-explorer/articles/356f4d44?): Perception Point révèle la campagne Phantomblu ciblant les organisations américaines avec le rat Netsupport, l'utilisation de la campagne avancée AdvanceLes tactiques d'évasion comme la manipulation des modèles OLE et l'ingénierie sociale pour compromettre efficacement les systèmes, présentant une évolution des stratégies de livraison de logiciels malveillants mélangeant l'évasion et l'ingénierie sociale. 6. [Surge malvertising basé sur la recherche] (https://security.microsoft.com/intel-explorer/articles/7cc81ecb?): MalwareBytes rapporte une augmentation des incidents malvertisons basés sur la recherche, impliquant notamment le malware FakeBat malveillant FakeBat.Distribué par le biais des installateurs de MSIX avec le code PowerShell obsc	Ransomware Spam Malware Tool Vulnerability Threat		★★★
	2024-03-22 21:01:12	De nouveaux détails sur l'activité post-compromise de TinyTurla \\ ont révélé une chaîne de kill complète New Details on TinyTurla\\'s Post-Compromise Activity Reveal Full Kill Chain (lien direct)	#### Description Cisco Talos et CERT.NGO ont fourni des mises à jour sur une campagne en cours du groupe d'espionnage russe, Turla (suivi par Microsoft en tant que Secret Blizzard), révélant toute la chaîne de mise à mort utilisée par le groupe, y compris des tactiques comme le vol d'informations et la diffusion de réseaux infectés.Les attaquants ont ciblé une ONG européenne, infectant plusieurs systèmes, établissant de la persistance et échangeant des produits antivirus avant de déployer leur implant Tinyturla-ng pour l'exfiltration des données et le pivotement du réseau.Les activités post-compromises de Turla \\ impliquent la configuration des exclusions antivirus, la mise en place de persistance via des fichiers de lots et le déploiement de Tinyturla-NG et une balise de ciseau personnalisée pour la reconnaissance et l'exfiltration.Malgré les dates initiales de compromis en octobre 2023, la majorité de l'exfiltration des données s'est produite en janvier 2024, mettant en évidence la persistance et la furtivité des opérations de Turla \\. > [Consultez la rédaction de Microsoft \\ sur Secret Blizzard ici.] (Https://sip.security.microsoft.com/intel-Profils / 01d15f655c45c517f52235d63932fb377c319176239426681412afb01bf39dcc?) #### URL de référence (s) 1. https://blog.talosintelligence.com/tinyturla-full-kill-chain/ #### Date de publication 21 mars 2024 #### Auteurs) Asheer Malhotra Holger Unterbrink Vitor Ventura Arnaud Zobec #### Description Cisco Talos and CERT.NGO have provided updates on an ongoing campaign by the Russian espionage group, Turla (tracked by Microsoft as Secret Blizzard), revealing the entire kill chain used by the group, including tactics like stealing information and spreading through infected networks. The attackers targeted a European NGO, infecting multiple systems, establishing persistence, and evading anti-virus products before deploying their TinyTurla-NG implant for data exfiltration and network pivoting. Turla\'s post-compromise activities involve configuring anti-virus exclusions, setting up persistence through batch files, and deploying TinyTurla-NG and a custom Chisel beacon for reconnaissance and exfiltration. Despite initial compromise dates in October 2023, the majority of data exfiltration occurred in January 2024, highlighting the persistence and stealth of Turla\'s operations. > [Check out Microsoft\'s write-up on Secret Blizzard here.](https://sip.security.microsoft.com/intel-profiles/01d15f655c45c517f52235d63932fb377c319176239426681412afb01bf39dcc?) #### Reference URL(s) 1. https://blog.talosintelligence.com/tinyturla-full-kill-chain/ #### Publication Date March 21, 2024 #### Author(s) Asheer Malhotra Holger Unterbrink Vitor Ventura Arnaud Zobec			★★
	2024-03-21 20:17:15	Beware of the Messengers, Exploiting ActiveMQ Vulnerability (lien direct)	#### Description Cybereason Security Services a publié un rapport d'analyse des menaces sur un incident impliquant un serveur Linux qui a vu des exécutions de shell malveillant à partir d'un processus Java exécutant Apache ActiveMQ.Le service ActiveMQ est un courtier de messages open source utilisé pour rejeter les communications à partir de serveurs séparés exécutant différents composants et / ou écrits dans différentes langues.L'activité est fortement évaluée pour avoir mis à profit une vulnérabilité à distance d'exécution de code (RCE) CVE-2023-46604. Les exécutions de shell observées incluent les tentatives de téléchargement des charges utiles supplémentaires telles que les exécutables de MiraiBotnet, Hellokitty Ransomware, Sparkrat Executables et Coinminers, y compris XMRIG.Les méthodologies de déploiementemployez principalement l'automatisation;Cependant, une étape initiale dépend d'une session interactive via des coquilles inversées NetCAT. > [Consultez la rédaction de Microsoft \\ sur CVE-2023-46604 - Apache ActiveMQ ici.] (Https://sip.security.microsoft.com/intel-profiles/cve-2023-46604) #### URL de référence (s) 1. https://www.cybereason.com/blog/beware-of-the-messengers-expoiting-activemq-vulnerabilité #### Date de publication 13 mars 2024 #### Auteurs) Équipe de services de sécurité de la cyberéasie #### Description Cybereason Security Services has issued a Threat Analysis Report on an incident involving a Linux server that saw malicious shell executions from a Java process running Apache ActiveMQ. The ActiveMQ service is an open-source message broker used to bridge communications from separate servers running different components and/or written in different languages. The activity is strongly assessed to have leveraged a Remote Code Execution (RCE) vulnerability CVE-2023-46604. The observed shell executions include attempts to download additional payloads such as executables of Mirai Botnet, HelloKitty Ransomware, SparkRAT executables, and coinminers including XMRig. The deployment methodologies mainly employ automation; however, one initial foothold is dependent on an interactive session via Netcat reverse shells. > [Check out Microsoft\'s write-up on CVE-2023-46604 - Apache ActiveMQ here.](https://sip.security.microsoft.com/intel-profiles/CVE-2023-46604) #### Reference URL(s) 1. https://www.cybereason.com/blog/beware-of-the-messengers-exploiting-activemq-vulnerability #### Publication Date March 13, 2024 #### Author(s) Cybereason Security Services Team	Ransomware Vulnerability Threat		★★
	2024-03-21 19:45:35	Malware de formbook FormBook Malware (lien direct)	#### Description FormBook, un voleur d'informations (InfoSteller) malware découvert en 2016, possède diverses capacités telles que le suivi des touches, l'accès aux fichiers, la capture de captures d'écran et le vol de mots de passe des navigateurs Web.Il peut exécuter des logiciels malveillants supplémentaires comme indiqué par un serveur de commandement et de contrôle et est apte à éluder la détection via des techniques telles que l'obscurcissement du code et le chiffrement.La flexibilité de FormBook \\ permet de personnaliser pour des cibles spécifiques et ses méthodes d'obscurcissement rendent la suppression difficile.Les cybercriminels distribuent Formbook via des pièces jointes par e-mail comme les PDF et les documents de bureau, avec une utilisation notable lors du conflit Russie-Ukraine 2022.Le successeur de FormBook \\, Xloader, est actuellement actif. > [Consultez la rédaction de Microsoft \\ sur les voleurs d'informations ici.] (Https://sip.security.microsoft.com/intel-Profils / 2296d491ea381b532b24f2575f9418d4b6723c17b8a1f507d20c2140a75d16d6?) #### URL de référence (s) 1. https://www.rewterz.com/rewterz-news/rewterz-threat-lert-formbook-malware-active-iocs-98 #### Date de publication 21 mars 2024 #### Auteurs) Rewterz #### Description FormBook, an information stealer (infostealer) malware discovered in 2016, has various capabilities such as tracking keystrokes, accessing files, capturing screenshots, and stealing passwords from web browsers. It can execute additional malware as directed by a command-and-control server and is adept at evading detection through techniques like code obfuscation and encryption. FormBook\'s flexibility allows customization for specific targets and its obfuscation methods make removal challenging. Cybercriminals distribute FormBook through email attachments like PDFs and Office Documents, with notable use during the 2022 Russia-Ukraine conflict. FormBook\'s successor, XLoader, is currently active. > [Check out Microsoft\'s write-up on information stealers here.](https://sip.security.microsoft.com/intel-profiles/2296d491ea381b532b24f2575f9418d4b6723c17b8a1f507d20c2140a75d16d6?) #### Reference URL(s) 1. https://www.rewterz.com/rewterz-news/rewterz-threat-alert-formbook-malware-active-iocs-98 #### Publication Date March 21, 2024 #### Author(s) Rewterz	Malware		★★★
	2024-03-20 20:05:33	Les éditeurs de texte infecté chargent la porte dérobée dans macOS Infected Text Editors Load Backdoor into MacOS (lien direct)	#### Description Les chercheurs de Kaspersky ont découvert une nouvelle menace qui cible les utilisateurs chinois de l'un des moteurs de recherche les plus populaires en Chine.La menace implique des versions modifiées des éditeurs de texte populaires qui ont été distribués dans le système.Dans le premier cas, la ressource malveillante est apparue dans la section publicitaire, tandis que dans le deuxième cas, il est apparu en haut des résultats de la recherche.Les attaquants ont utilisé la typosquat et d'autres techniques pour rendre leurs ressources aussi similaires que possible aux sites Web officiels des programmes populaires. #### URL de référence (s) 1. https://securelist.com/trojanisé-Text-Editor-apps/112167/ #### Date de publication 13 mars 2024 #### Auteurs) Sergey Puzan #### Description Kaspersky researchers have discovered a new threat that targets Chinese users of one of the most popular search engines in China. The threat involves modified versions of popular text editors that were distributed in the system. In the first case, the malicious resource appeared in the advertisement section, while in the second case, it appeared at the top of the search results. The attackers used typosquatting and other techniques to make their resources look as similar as possible to the official websites of popular programs. #### Reference URL(s) 1. https://securelist.com/trojanized-text-editor-apps/112167/ #### Publication Date March 13, 2024 #### Author(s) Sergey Puzan	Threat		★★★
	2024-03-19 21:16:06	Opération Phantomblu: la méthode nouvelle et évasive fournit un rat Netsupport Operation PhantomBlu: New and Evasive Method Delivers NetSupport RAT (lien direct)	#### Description Les chercheurs de la sécurité de Perception Point ont découvert la campagne Phantomblu ciblant les organisations américaines, déploiement du rat Netsupport grâce à des techniques d'évasion sophistiquées et des tactiques d'ingénierie sociale.Les attaquants ont utilisé des caractéristiques légitimes des outils d'administration à distance, tels que Netsupport Manager, pour des activités malveillantes telles que la surveillance, le keylogging, le transfert de fichiers et le contrôle du système.La campagne a exploité la manipulation du modèle OLE dans des documents Microsoft Office pour masquer et exécuter un code malveillant, en échappant aux systèmes de sécurité traditionnels.Grâce à l'analyse des e-mails et des charges utiles de phishing, les chercheurs ont identifié la préférence des attaquants pour utiliser des plateformes de livraison de messagerie réputées et leurs techniques complexes de compte-gouttes PowerShell.L'opération Phantomblu représente une évolution des stratégies de livraison de logiciels malveillants, mélangeant des méthodes d'évasion avancées avec l'ingénierie sociale pour compromettre efficacement les organisations ciblées. #### URL de référence (s) 1. https://perception-point.io/blog/operation-phantomblu-new-and-evasive-method-delivers-netsupport-rat/ #### Date de publication 18 mars 2024 #### Auteurs) Ariel Davidpur #### Description Perception Point\'s security researchers uncovered the PhantomBlu campaign targeting US-based organizations, deploying the NetSupport RAT through sophisticated evasion techniques and social engineering tactics. The attackers used legitimate features of remote administration tools, such as NetSupport Manager, for malicious activities like surveillance, keylogging, file transfer, and system control. The campaign leveraged OLE template manipulation in Microsoft Office documents to hide and execute malicious code, evading traditional security systems. Through analysis of phishing emails and payloads, the researchers identified the attackers\' preference for using reputable email delivery platforms and their intricate PowerShell dropper techniques. The PhantomBlu operation represents an evolution in malware delivery strategies, blending advanced evasion methods with social engineering to compromise targeted organizations effectively. #### Reference URL(s) 1. https://perception-point.io/blog/operation-phantomblu-new-and-evasive-method-delivers-netsupport-rat/ #### Publication Date March 18, 2024 #### Author(s) Ariel Davidpur	Malware Tool		★★
	2024-03-19 19:15:33	Fakebat livré via plusieurs campagnes de malvertising actives FakeBat Delivered via Several Active Malvertising Campaigns (lien direct)	#### Description MalwareBytes a rapporté que le nombre d'incidents de malvertising basés sur la recherche a presque doublé en février 2024. Une famille de logiciels malveillants qui a été suivi est FakeBat, qui utilise des installateurs MSIX emballés avec du code PowerShell fortement obscurci. Le malvertiser distribuant les logiciels malveillants abusait des services de raccourcisseurs d'URL, mais a maintenant commencé à utiliser des sites Web légitimes qui semblent avoir été compromis.Les dernières campagnes ciblent de nombreuses marques différentes, notamment OneNote, Epic Games, Ginger et l'application Braavos Smart Wallet.Chaque fichier téléchargé est un installateur MSIX signé avec un certificat numérique valide, et une fois extrait, chaque installateur contient plus ou moins les mêmes fichiers avec un script PowerShell particulier.Lorsque l'installateur est exécuté, ce script PowerShell s'exécutera et se connectera au serveur de commande et de contrôle de l'attaquant \\.L'acteur de menace est en mesure de servir une redirection conditionnelle vers leur propre site malveillant, et les victimes d'intérêt seront cataloguées pour une utilisation ultérieure.La chaîne d'infection complète peut être résumé dans l'image du trafic Web vu dans l'article.Les distributeurs de logiciels malveillants sont en mesure de contourner les contrôles de sécurité de Google \\ et de rediriger les victimes vers la tromperie des sites Web. #### URL de référence (s) 1. https://www.malwarebytes.com/blog/thereat-intelligence/2024/03/fakebat-delivered-via-several-active-malvertising-campaignes #### Date de publication 12 mars 2024 #### Auteurs) J & eacute; r & ocirc; moi segura #### Description Malwarebytes has reported that the number of search-based malvertising incidents almost doubled in February 2024. One malware family that has been tracked is FakeBat, which uses MSIX installers packaged with heavily obfuscated PowerShell code. The malvertiser distributing the malware was abusing URL shortener services, but has now started to use legitimate websites that appear to have been compromised. The latest campaigns are targeting many different brands, including OneNote, Epic Games, Ginger, and the Braavos smart wallet application. Each downloaded file is an MSIX installer signed with a valid digital certificate, and once extracted, each installer contains more or less the same files with a particular PowerShell script. When the installer is run, this PowerShell script will execute and connect to the attacker\'s command and control server. The threat actor is able to serve a conditional redirect to their own malicious site, and victims of interest will be cataloged for further use. The full infection chain can be summarized in the web traffic image seen in the article. The malware distributors are able to bypass Google\'s security checks and redirect victims to deceiving websites. #### Reference URL(s) 1. https://www.malwarebytes.com/blog/threat-intelligence/2024/03/fakebat-delivered-via-several-active-malvertising-campaigns #### Publication Date March 12, 2024 #### Author(s) Jérôme Segura	Malware Threat		★★★
	2024-03-18 15:42:59	(Déjà vu) Infostealer Disguised as Adobe Reader Installer (lien direct)	#### Description Ahnlab Security Intelligence Center (ASEC) a récemment découvert la distribution d'un infostèler déguisé en installateur d'Adobe Reader.L'acteur de menace distribue le fichier en tant que PDF, incitant les utilisateurs à télécharger et à exécuter le fichier.Le faux fichier PDF est écrit en portugais, et le message indique aux utilisateurs de télécharger le lecteur Adobe et de l'installer.En disant aux utilisateurs qu'Adobe Reader est tenu d'ouvrir le fichier, il invite l'utilisateur à télécharger le logiciel malveillant et à l'installer. #### URL de référence (s) 1. https://asec.ahnlab.com/en/62853/ #### Date de publication 11 mars 2024 #### Auteurs) UNE SECONDE #### Description AhnLab Security intelligence Center (ASEC) recently discovered the distribution of an infostealer disguised as the Adobe Reader installer. The threat actor is distributing the file as PDF, prompting users to download and run the file. The fake PDF file is written in Portuguese, and the message tells the users to download the Adobe Reader and install it. By telling the users that Adobe Reader is required to open the file, it prompts the user to download the malware and install it. #### Reference URL(s) 1. https://asec.ahnlab.com/en/62853/ #### Publication Date March 11, 2024 #### Author(s) ASEC	Malware Threat		★★
	2024-03-18 13:23:03	Faits saillants hebdomadaires OSINT, 18 mars 2024 Weekly OSINT Highlights, 18 March 2024 (lien direct)	## Weekly OSINT Highlights, 18 March 2024 Last week\'s OSINT reporting revealed a common theme: cyberattacks targeting specific user groups are becoming more sophisticated. Take, for instance, the Notion installer malware, which dupes users by posing as a legitimate software installer, showcasing adept social engineering. Similarly, the BIPClip campaign demonstrates a highly targeted approach towards developers involved in cryptocurrency projects, with the threat actors leveraging multiple open-source packages to steal sensitive mnemonic phrases. Despite distinct attack methods, both instances underscore threat actors\' adaptability in tailoring attacks to their targets. Additionally, the analysis highlights a growing trend where attackers focus on specific sectors or user demographics, indicating a shift towards more targeted and stealthy cyber threats rather than indiscriminate attacks. This trend underscores the importance of user vigilance and the necessity for industry-specific cybersecurity measures to mitigate evolving risks. 1. [Notion Installer Malware](https://security.microsoft.com/intel-explorer/articles/f21ac4ec?): A new MSIX malware posing as the Notion installer is distributed through a fake website resembling the official Notion homepage. The malware, signed with a valid certificate, infects Windows PCs when users attempt to install Notion, compromising their systems with malware. 2. [BIPClip Crypto Wallet Theft Campaign](https://security.microsoft.com/intel-explorer/articles/21aa5484?): ReversingLabs uncovered the BIPClip campaign, which utilizes seven open-source packages across 19 versions from PyPI to steal mnemonic phrases for crypto wallet recovery. The campaign targets developers involved in cryptocurrency wallet projects, particularly those implementing Bitcoin Improvement Proposal 39 (BIP39), and employs sophisticated methods to avoid detection. The BIPClip campaign underscores how crypto assets are one of the most popular targets of cybercriminal groups and other threat actors, such as North Korean APTs. ## Learn More For the latest security research from the Microsoft Threat Intelligence community, check out the Microsoft Threat Intelligence Blog: [https://aka.ms/threatintelblog](https://aka.ms/threatintelblog). Microsoft customers can use the following reports in Microsoft Defender Threat Intelligence to get the most up-to-date information about the threat actor, malicious activity, and techniques discussed in this summary. The following reports provide the intelligence, protection information, and recommended actions to prevent, mitigate, or respond to associated threats found in customer environments: - Tool Profile: [Information stealers](https://sip.security.microsoft.com/intel-profiles/2296d491ea381b532b24f2575f9418d4b6723c17b8a1f507d20c2140a75d16d6?) - [Financially motivated threat actors misusing App Installer](https://security.microsoft.com/intel-explorer/articles/74368091?) ## Recommendations to protect against Information stealers Microsoft recommends the following mitigations to reduce the impact of Information stealer threats. - Check your Office 365 email filtering settings to ensure you block spoofed emails, spam, and emails with malware. Use [Microsoft Defender for Office 365](https://learn.microsoft.com/microsoft-365/security/office-365-security/defender-for-office-365?ocid=magicti_ta_learndoc) for enhanced phishing protection and coverage against new threats and polymorphic variants. Configure Microsoft Defender for Office 365 to [recheck links on click](https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-links-about?ocid=magicti_ta_learndoc) and [delete sent mail](https://learn.microsoft.com/microsoft-365/security/office-365-security/zero-hour-auto-purge?ocid=magicti_ta_learndoc) in response to newly acquired threat intelligence. Turn on [safe attachments policies](https://learn.microsoft.com/microsoft-365/security/office-365-sec	Ransomware Spam Malware Tool Threat Prediction		★★★
	2024-03-12 19:01:44	BIPCLIP: packages PYPI malveillants cibler les mots de passe de récupération de portefeuille crypto BIPClip: Malicious PyPI Packages Target Crypto Wallet Recovery Passwords (lien direct)	#### Description RenversingLabs a découvert une nouvelle campagne appelée BIPCLIP, qui utilise sept packages open source différents avec 19 versions différentes sur l'index Python Package (PYPI) pour voler des phrases mnémoniques utilisées pour récupérer des portefeuilles cryptographiques perdus ou détruits.La campagne cible les développeurs travaillant sur des projets liés à la génération et à la sécurisation des portefeuilles de crypto-monnaie, en particulier ceux qui cherchent à mettre en œuvre la proposition d'amélioration du Bitcoin 39 (BIP39). Les acteurs de la menace derrière cette campagne ont combiné une variété de méthodes connues et bien documentées pour atteindre leurs objectifs tout en évitant la détection.Tout d'abord, ils ont rendu leurs forfaits moins suspects en mettant leurs fonctionnalités malveillantes dans des packages dépendants et non dans les paquets qui étaient directement distribués à leurs cibles.Deuxièmement, le contenu de chacun des forfaits découverts a été soigneusement conçu pour le rendre moins suspect.Enfin, les acteurs de la menace se sont concentrés uniquement sur ce qu'ils voulaient obtenir, ne faisant aucun effort pour tirer parti de leur accès pour obtenir un contrôle total sur un système compromis ou se déplacer latéralement au sein de l'organisation de développement compromise. #### URL de référence (s) 1. https://www.reversingLabs.com/blog/bipclip-malicious-pypi-packages-target-crypto-wallet-recovery-passwords #### Date de publication 12 mars 2024 #### Auteurs) Karlo Zanki #### Description ReversingLabs has discovered a new campaign called BIPClip, which uses seven different open-source packages with 19 different versions on the Python Package Index (PyPI) to steal mnemonic phrases used to recover lost or destroyed crypto wallets. The campaign targets developers working on projects related to generating and securing cryptocurrency wallets, particularly those looking to implement the Bitcoin Improvement Proposal 39 (BIP39). The threat actors behind this campaign combined a variety of known and well-documented methods to achieve their goals while avoiding detection. First, they made their packages less suspicious by putting their malicious functionality into dependent packages and not into the packages that were directly distributed to their targets. Second, the content of each of the discovered packages was carefully crafted to make it look less suspicious. Finally, the threat actors focused only on what they wanted to get, making no effort to leverage their access to achieve full control over a compromised system or move laterally within the compromised development organization. #### Reference URL(s) 1. https://www.reversinglabs.com/blog/bipclip-malicious-pypi-packages-target-crypto-wallet-recovery-passwords #### Publication Date March 12, 2024 #### Author(s) Karlo Zanki	Threat		★★
	2024-03-11 20:06:53	Distribution of MSIX Malware Disguised as Notion Installer (lien direct)	#### Description Un nouveau malware MSIX déguisé en notion d'installation est distribué via un site Web qui ressemble à la page d'accueil de notion réelle.Ce fichier est un programme d'installation de l'application Windows et il est signé avec un certificat valide.Lors de l'exécution du fichier, l'utilisateur obtient une fenêtre contextuelle et en cliquant sur le bouton Installer, la notion est installée sur le PC et est infectée par des logiciels malveillants. #### URL de référence (s) 1.https://asec.ahnlab.com/en/62815/ #### Date de publication 10 mars 2024 #### Auteurs) Anh Ho Facundo mu & ntilde; oz Marc-Etienne M.L & Eacute; Veill & Eacute; #### Description A new MSIX malware disguised as the Notion installer is being distributed through a website that looks similar to the actual Notion homepage. This file is a Windows app installer, and it is signed with a valid certificate. Upon running the file, the user gets a pop-up, and upon clicking the Install button, Notion is installed on the PC and is infected with malware. #### Reference URL(s) 1. https://asec.ahnlab.com/en/62815/ #### Publication Date March 10, 2024 #### Author(s) Anh Ho Facundo Muñoz Marc-Etienne M.Léveillé	Malware		★★★
	2024-03-11 13:43:18	Faits saillants hebdomadaires OSINT, 11 mars 2024 Weekly OSINT Highlights, 11 March 2024 (lien direct)	## Weekly OSINT Highlights, 11 March 2024 The OSINT reporting last week underscores several prevalent trends in cyber threats. Firstly, ransomware continues to be a significant threat, with groups like GhostSec conducting double extortion attacks and offering RaaS programs, while threat actors like SocGholish exploit vulnerabilities in web platforms like WordPress. Additionally, phishing remains a persistent tactic, exemplified by the discovery of the CryptoChameleon kit targeting cryptocurrency platforms and governmental agencies. Furthermore, attackers are targeting misconfigured servers and leveraging 1-day vulnerabilities to conduct various malicious activities, from cryptocurrency mining to unauthorized data collection. These trends emphasize the evolving tactics and motivations of cyber threat actors, highlighting the need for robust cybersecurity measures and vigilance across various sectors and platforms. 1. [SocGholish Malware Targeting WordPress](https://security.microsoft.com/intel-explorer/articles/0218512b?): WordPress websites are targeted by SocGholish malware, initiating with a JavaScript malware framework and leading to potential ransomware infections, often through compromised administrator accounts. 2. [GhostSec Ransomware Activities Surge](https://security.microsoft.com/intel-explorer/articles/ee5a4e56?): GhostSec, a financially motivated hacking group, collaborates with Stormous ransomware in double extortion attacks across various business verticals, offering a ransomware-as-a-service (RaaS) program, with a surge in activities observed recently. 3. [CryptoChameleon Phishing Kit](https://security.microsoft.com/intel-explorer/articles/9227be0c?): Lookout uncovers the CryptoChameleon phishing kit, adept at stealing sensitive data from cryptocurrency platforms and the FCC, utilizing custom single sign-on (SSO) pages and SMS lures, primarily targeting victims in the United States. Notably, the kit includes an administrative console to monitor phishing attempts and offers customized redirections based on victims\' responses, with an emphasis on mimicking authentic MFA processes. 4. [Malware Campaign Targeting Misconfigured Servers](https://security.microsoft.com/intel-explorer/articles/68797fe5?): Cado Security Labs discovers a malware campaign targeting misconfigured servers, leveraging unique payloads and exploiting n-day vulnerabilities for Remote Code Execution (RCE) attacks and cryptocurrency mining. 5. [Earth Kapre Espionage Group](https://security.microsoft.com/intel-explorer/articles/d2d46a48?): Trend Micro exposes the Earth Kapre espionage group, conducting phishing campaigns across multiple countries, with malicious attachments leading to unauthorized data collection and transmission to command-and-control (C&C) servers. 6. [Magnet Goblin Exploiting 1-Day Vulnerabilities](https://security.microsoft.com/intel-explorer/articles/11616c16?): Check Point identifies Magnet Goblin\'s financially motivated attacks, rapidly adopting 1-day vulnerabilities, particularly targeting Ivanti Connect Secure VPN, with a diverse arsenal including a Linux version of NerbianRAT and JavaScript credential stealers. ## Learn More For the latest security research from the Microsoft Threat Intelligence community, check out the Microsoft Threat Intelligence Blog: [https://aka.ms/threatintelblog](https://aka.ms/threatintelblog) and the following blog posts: - [Ransomware as a service: Understanding the cybercrime gig economy and how to protect yourself](https://www.microsoft.com/en-us/security/blog/2022/05/09/ransomware-as-a-service-understanding-the-cybercrime-gig-economy-and-how-to-protect-yourself/?ocid=magicti_ta_blog#defending-against-ransomware) - [Cryptojacking: Understanding and defending against cloud compute resource abuse](https://www.microsoft.com/en-us/security/blog/2023/07/25/cryptojacking-understanding-and-defending-against-cloud-compute-resource-abuse/) Microsoft customers can use the following reports in Mi	Ransomware Malware Tool Vulnerability Threat Prediction Cloud		★★★
	2024-03-08 17:30:16	Magnet Goblin Targets Publicly Facing Servers Using 1-Day Vulnerabilities (lien direct)	#### Description Check Point rapporte que Magnet Goblin est un acteur de menace à motivation financière qui adopte rapidement et exploite les vulnérabilités d'un jour dans les services accessibles au public en tant que vecteur d'infection initial.Au moins dans un cas d'Ivanti Connect Secure VPN (CVE-2024-21887), l'exploit est entré dans l'arsenal du groupe \\ aussi vite que dans un jour suivant un POC pour sa publication.Le groupe a ciblé Ivanti, Magento, Qlink Sense et éventuellement Apache ActiveMQ.L'analyse de la récente campagne VPN de la récente Ivanti Secure VPN de l'acteur a révélé une nouvelle version Linux d'un logiciel malveillant appelé Nerbianrat, en plus de Warpwire, un voleur d'identification JavaScript.L'arsenal de l'acteur \\ comprend également Mininerbian, une petite porte dérobée Linux et des outils de surveillance et de gestion à distance (RMM) pour les fenêtres comme Screenconnect et AnyDesk. #### URL de référence (s) 1. https://research.checkpoint.com/2024/magnet-goblin-targets-publicly-facing-servers-using-1d-day-vulnerabilities/ #### Date de publication 8 mars 2024 #### Auteurs) Point de contrôle #### Description Check Point reports Magnet Goblin is a financially motivated threat actor that quickly adopts and leverages 1-day vulnerabilities in public-facing services as an initial infection vector. At least in one case of Ivanti Connect Secure VPN (CVE-2024-21887), the exploit entered the group\'s arsenal as fast as within 1 day after a POC for it was published. The group has targeted Ivanti, Magento, Qlink Sense, and possibly Apache ActiveMQ. Analysis of the actor\'s recent Ivanti Connect Secure VPN campaign revealed a novel Linux version of a malware called NerbianRAT, in addition to WARPWIRE, a JavaScript credential stealer. The actor\'s arsenal also includes MiniNerbian, a small Linux backdoor, and remote monitoring and management (RMM) tools for Windows like ScreenConnect and AnyDesk. #### Reference URL(s) 1. https://research.checkpoint.com/2024/magnet-goblin-targets-publicly-facing-servers-using-1-day-vulnerabilities/ #### Publication Date March 8, 2024 #### Author(s) Check Point	Malware Tool Vulnerability Threat		★★
	2024-03-07 21:48:42	Dévoiler la terre kapre aka tactiques de cyberespionnage de redcurl \\ Unveiling Earth Kapre aka RedCurl\\'s Cyberespionage Tactics (lien direct)	#### Description L'équipe Trend Micro MDR a enquêté et a découvert avec succès les ensembles d'intrusion employés par Earth Kapre dans un incident récent.Le groupe d'espionnage Earth Kapre (alias Redcurl et Red Wolf) a mené activement des campagnes de phishing ciblant des organisations en Russie, en Allemagne, en Ukraine, au Royaume-Uni, en Slovénie, au Canada, en Australie et aux États-Unis.Il utilise des e-mails de phishing qui contiennent des pièces jointes malveillantes (.iso et .img), ce qui conduit à des infections réussies lors de l'ouverture.Cela déclenche la création d'une tâche planifiée de persistance, aux côtés de la collecte non autorisée et de la transmission de données sensibles aux serveurs de commandement et de contrôle (C&C). #### URL de référence (s) 1.https://www.trendmicro.com/en_us/research/24/c/unveiling-earth-kapre-aka-redcurls-cyberespionage-tactics-with-t.html #### Date de publication 7 mars 2024 #### Auteurs) Copain Tancio Maria Emreen Viray Mohamed Fahmy #### Description Trend Micro MDR team investigated and successfully uncovered the intrusion sets employed by Earth Kapre in a recent incident. The espionage group Earth Kapre (aka RedCurl and Red Wolf) has been actively conducting phishing campaigns targeting organizations in Russia, Germany, Ukraine, the United Kingdom, Slovenia, Canada, Australia, and the US. It uses phishing emails that contain malicious attachments (.iso and .img), which lead to successful infections upon opening. This triggers the creation of a scheduled task for persistence, alongside the unauthorized collection and transmission of sensitive data to command-and-control (C&C) servers. #### Reference URL(s) 1. https://www.trendmicro.com/en_us/research/24/c/unveiling-earth-kapre-aka-redcurls-cyberespionage-tactics-with-t.html #### Publication Date March 7, 2024 #### Author(s) Buddy Tancio Maria Emreen Viray Mohamed Fahmy			★★
	2024-03-06 21:12:22	Fil de spinning - Une nouvelle campagne de logiciels malveillants Linux cible Docker, Apache Hadoop, Redis et Confluence Spinning YARN - A New Linux Malware Campaign Targets Docker, Apache Hadoop, Redis and Confluence (lien direct)	#### Description Les chercheurs de CADO Security Labs ont récemment rencontré une campagne de logiciels malveillants émergente ciblant des serveurs mal configurés exécutant des services orientés Web. La campagne utilise un certain nombre de charges utiles uniques et non déclarées, dont quatre binaires Golang, qui servent d'outils pour automatiser la découverte et l'infection des hôtes exécutant les services ci-dessus.Les attaquants tirent parti de ces outils pour émettre du code d'exploitation, en profitant des erreurs de configuration courantes et en exploitant une vulnérabilité du jour, pour effectuer des attaques d'exécution de code distant (RCE) et infecter de nouveaux hôtes. Une fois l'accès initial atteint, une série de scripts de coquille et de techniques d'attaque General Linux sont utilisées pour livrer un mineur de crypto-monnaie, engendrer une coquille inversée et permettre un accès persistant aux hôtes compromis. #### URL de référence (s) 1. https://www.cadosecurity.com/spinning-yarn-a-new-Linux-Malware-Campaign-Targets-Docker-Apache-Hadoop-Redis-and-Confluence / #### Date de publication 6 mars 2024 #### Auteurs) Matt Muir #### Description Cado Security Labs researchers have recently encountered an emerging malware campaign targeting misconfigured servers running web-facing services. The campaign utilises a number of unique and unreported payloads, including four Golang binaries, that serve as tools to automate the discovery and infection of hosts running the above services. The attackers leverage these tools to issue exploit code, taking advantage of common misconfigurations and exploiting an n-day vulnerability, to conduct Remote Code Execution (RCE) attacks and infect new hosts. Once initial access is achieved, a series of shell scripts and general Linux attack techniques are used to deliver a cryptocurrency miner, spawn a reverse shell and enable persistent access to the compromised hosts. #### Reference URL(s) 1. https://www.cadosecurity.com/spinning-yarn-a-new-linux-malware-campaign-targets-docker-apache-hadoop-redis-and-confluence/ #### Publication Date March 6, 2024 #### Author(s) Matt Muir	Malware Tool Vulnerability Threat		★★★
	2024-03-06 14:38:08	Cryptochameleon: de nouvelles tactiques de phishing exposées dans l'attaque ciblée par la FCC CryptoChameleon: New Phishing Tactics Exhibited in FCC-Targeted Attack (lien direct)	#### Description Des chercheurs en sécurité de Lookout ont récemment découvert un kit de phishing sophistiqué, connu sous le nom de cryptochameleon, utilisant de nouvelles techniques pour voler des données sensibles des plateformes de crypto-monnaie et de la Federal Communications Commission (FCC).Ce kit utilise des pages de connexion unique (SSO) personnalisées et des leurres téléphoniques / SMS pour extraire les informations d'identification de connexion, les jetons multi-facteurs et les identifiants photo des victimes, principalement sur les appareils mobiles.Notamment, le kit comprend une console administrative pour surveiller les tentatives de phishing et offre des redirections personnalisées basées sur les réponses des victimes, en mettant l'accent sur l'imitation des processus AMF authentiques.Les attaques ont réussi à compromettre des centaines de victimes, principalement aux États-Unis.Alors que les tactiques ressemblent à des acteurs précédents comme [dispersée Spider alias Octo Tempest] (https://ti.defender.microsoft.com/intel-profiles/205381037ed05d275251862061dd923309ac9ecdc2a9951d7c344d890a61101a), infrastructure. #### URL de référence (s) 1. https://www.lookout.com/Threat-intelligence/article/cryptochameleon-fcc-phishing-kit #### Date de publication 29 février 2024 #### Auteurs) David Richardson Savio Lau #### Description Security researchers from Lookout recently uncovered a sophisticated phishing kit, known as CryptoChameleon, utilizing novel techniques to steal sensitive data from cryptocurrency platforms and the Federal Communications Commission (FCC). This kit employs custom single sign-on (SSO) pages and phone/SMS lures to extract login credentials, multi-factor tokens, and photo IDs from victims, primarily on mobile devices. Notably, the kit includes an administrative console to monitor phishing attempts and offers customized redirections based on victims\' responses, with an emphasis on mimicking authentic MFA processes. Attacks have successfully compromised hundreds of victims, primarily in the United States. While tactics resemble previous actors like [Scattered Spider AKA Octo Tempest](https://ti.defender.microsoft.com/intel-profiles/205381037ed05d275251862061dd923309ac9ecdc2a9951d7c344d890a61101a), infrastructure differences suggest a distinctly different threat group. #### Reference URL(s) 1. https://www.lookout.com/threat-intelligence/article/cryptochameleon-fcc-phishing-kit #### Publication Date February 29, 2024 #### Author(s) David Richardson Savio Lau	Threat Mobile		★★★

Last update at: 2024-04-27 07:08:33
See our sources.

To see everything: Our RSS (filtrered)