What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2024-03-21 19:45:35 | Malware de formbook FormBook Malware (lien direct) |
#### Description
FormBook, un voleur d'informations (InfoSteller) malware découvert en 2016, possède diverses capacités telles que le suivi des touches, l'accès aux fichiers, la capture de captures d'écran et le vol de mots de passe des navigateurs Web.Il peut exécuter des logiciels malveillants supplémentaires comme indiqué par un serveur de commandement et de contrôle et est apte à éluder la détection via des techniques telles que l'obscurcissement du code et le chiffrement.La flexibilité de FormBook \\ permet de personnaliser pour des cibles spécifiques et ses méthodes d'obscurcissement rendent la suppression difficile.Les cybercriminels distribuent Formbook via des pièces jointes par e-mail comme les PDF et les documents de bureau, avec une utilisation notable lors du conflit Russie-Ukraine 2022.Le successeur de FormBook \\, Xloader, est actuellement actif.
> [Consultez la rédaction de Microsoft \\ sur les voleurs d'informations ici.] (Https://sip.security.microsoft.com/intel-Profils / 2296d491ea381b532b24f2575f9418d4b6723c17b8a1f507d20c2140a75d16d6?)
#### URL de référence (s)
1. https://www.rewterz.com/rewterz-news/rewterz-threat-lert-formbook-malware-active-iocs-98
#### Date de publication
21 mars 2024
#### Auteurs)
Rewterz
#### Description FormBook, an information stealer (infostealer) malware discovered in 2016, has various capabilities such as tracking keystrokes, accessing files, capturing screenshots, and stealing passwords from web browsers. It can execute additional malware as directed by a command-and-control server and is adept at evading detection through techniques like code obfuscation and encryption. FormBook\'s flexibility allows customization for specific targets and its obfuscation methods make removal challenging. Cybercriminals distribute FormBook through email attachments like PDFs and Office Documents, with notable use during the 2022 Russia-Ukraine conflict. FormBook\'s successor, XLoader, is currently active. > [Check out Microsoft\'s write-up on information stealers here.](https://sip.security.microsoft.com/intel-profiles/2296d491ea381b532b24f2575f9418d4b6723c17b8a1f507d20c2140a75d16d6?) #### Reference URL(s) 1. https://www.rewterz.com/rewterz-news/rewterz-threat-alert-formbook-malware-active-iocs-98 #### Publication Date March 21, 2024 #### Author(s) Rewterz |
Malware | ★★★ | |
|
2024-03-20 20:05:33 | Les éditeurs de texte infecté chargent la porte dérobée dans macOS Infected Text Editors Load Backdoor into MacOS (lien direct) |
#### Description
Les chercheurs de Kaspersky ont découvert une nouvelle menace qui cible les utilisateurs chinois de l'un des moteurs de recherche les plus populaires en Chine.La menace implique des versions modifiées des éditeurs de texte populaires qui ont été distribués dans le système.Dans le premier cas, la ressource malveillante est apparue dans la section publicitaire, tandis que dans le deuxième cas, il est apparu en haut des résultats de la recherche.Les attaquants ont utilisé la typosquat et d'autres techniques pour rendre leurs ressources aussi similaires que possible aux sites Web officiels des programmes populaires.
#### URL de référence (s)
1. https://securelist.com/trojanisé-Text-Editor-apps/112167/
#### Date de publication
13 mars 2024
#### Auteurs)
Sergey Puzan
#### Description Kaspersky researchers have discovered a new threat that targets Chinese users of one of the most popular search engines in China. The threat involves modified versions of popular text editors that were distributed in the system. In the first case, the malicious resource appeared in the advertisement section, while in the second case, it appeared at the top of the search results. The attackers used typosquatting and other techniques to make their resources look as similar as possible to the official websites of popular programs. #### Reference URL(s) 1. https://securelist.com/trojanized-text-editor-apps/112167/ #### Publication Date March 13, 2024 #### Author(s) Sergey Puzan |
Threat | ★★★ | |
|
2024-03-19 21:16:06 | Opération Phantomblu: la méthode nouvelle et évasive fournit un rat Netsupport Operation PhantomBlu: New and Evasive Method Delivers NetSupport RAT (lien direct) |
#### Description
Les chercheurs de la sécurité de Perception Point ont découvert la campagne Phantomblu ciblant les organisations américaines, déploiement du rat Netsupport grâce à des techniques d'évasion sophistiquées et des tactiques d'ingénierie sociale.Les attaquants ont utilisé des caractéristiques légitimes des outils d'administration à distance, tels que Netsupport Manager, pour des activités malveillantes telles que la surveillance, le keylogging, le transfert de fichiers et le contrôle du système.La campagne a exploité la manipulation du modèle OLE dans des documents Microsoft Office pour masquer et exécuter un code malveillant, en échappant aux systèmes de sécurité traditionnels.Grâce à l'analyse des e-mails et des charges utiles de phishing, les chercheurs ont identifié la préférence des attaquants pour utiliser des plateformes de livraison de messagerie réputées et leurs techniques complexes de compte-gouttes PowerShell.L'opération Phantomblu représente une évolution des stratégies de livraison de logiciels malveillants, mélangeant des méthodes d'évasion avancées avec l'ingénierie sociale pour compromettre efficacement les organisations ciblées.
#### URL de référence (s)
1. https://perception-point.io/blog/operation-phantomblu-new-and-evasive-method-delivers-netsupport-rat/
#### Date de publication
18 mars 2024
#### Auteurs)
Ariel Davidpur
#### Description Perception Point\'s security researchers uncovered the PhantomBlu campaign targeting US-based organizations, deploying the NetSupport RAT through sophisticated evasion techniques and social engineering tactics. The attackers used legitimate features of remote administration tools, such as NetSupport Manager, for malicious activities like surveillance, keylogging, file transfer, and system control. The campaign leveraged OLE template manipulation in Microsoft Office documents to hide and execute malicious code, evading traditional security systems. Through analysis of phishing emails and payloads, the researchers identified the attackers\' preference for using reputable email delivery platforms and their intricate PowerShell dropper techniques. The PhantomBlu operation represents an evolution in malware delivery strategies, blending advanced evasion methods with social engineering to compromise targeted organizations effectively. #### Reference URL(s) 1. https://perception-point.io/blog/operation-phantomblu-new-and-evasive-method-delivers-netsupport-rat/ #### Publication Date March 18, 2024 #### Author(s) Ariel Davidpur |
Malware Tool | ★★ | |
|
2024-03-19 19:15:33 | Fakebat livré via plusieurs campagnes de malvertising actives FakeBat Delivered via Several Active Malvertising Campaigns (lien direct) |
#### Description
MalwareBytes a rapporté que le nombre d'incidents de malvertising basés sur la recherche a presque doublé en février 2024. Une famille de logiciels malveillants qui a été suivi est FakeBat, qui utilise des installateurs MSIX emballés avec du code PowerShell fortement obscurci.
Le malvertiser distribuant les logiciels malveillants abusait des services de raccourcisseurs d'URL, mais a maintenant commencé à utiliser des sites Web légitimes qui semblent avoir été compromis.Les dernières campagnes ciblent de nombreuses marques différentes, notamment OneNote, Epic Games, Ginger et l'application Braavos Smart Wallet.Chaque fichier téléchargé est un installateur MSIX signé avec un certificat numérique valide, et une fois extrait, chaque installateur contient plus ou moins les mêmes fichiers avec un script PowerShell particulier.Lorsque l'installateur est exécuté, ce script PowerShell s'exécutera et se connectera au serveur de commande et de contrôle de l'attaquant \\.L'acteur de menace est en mesure de servir une redirection conditionnelle vers leur propre site malveillant, et les victimes d'intérêt seront cataloguées pour une utilisation ultérieure.La chaîne d'infection complète peut être résumé dans l'image du trafic Web vu dans l'article.Les distributeurs de logiciels malveillants sont en mesure de contourner les contrôles de sécurité de Google \\ et de rediriger les victimes vers la tromperie des sites Web.
#### URL de référence (s)
1. https://www.malwarebytes.com/blog/thereat-intelligence/2024/03/fakebat-delivered-via-several-active-malvertising-campaignes
#### Date de publication
12 mars 2024
#### Auteurs)
J & eacute; r & ocirc; moi segura
#### Description Malwarebytes has reported that the number of search-based malvertising incidents almost doubled in February 2024. One malware family that has been tracked is FakeBat, which uses MSIX installers packaged with heavily obfuscated PowerShell code. The malvertiser distributing the malware was abusing URL shortener services, but has now started to use legitimate websites that appear to have been compromised. The latest campaigns are targeting many different brands, including OneNote, Epic Games, Ginger, and the Braavos smart wallet application. Each downloaded file is an MSIX installer signed with a valid digital certificate, and once extracted, each installer contains more or less the same files with a particular PowerShell script. When the installer is run, this PowerShell script will execute and connect to the attacker\'s command and control server. The threat actor is able to serve a conditional redirect to their own malicious site, and victims of interest will be cataloged for further use. The full infection chain can be summarized in the web traffic image seen in the article. The malware distributors are able to bypass Google\'s security checks and redirect victims to deceiving websites. #### Reference URL(s) 1. https://www.malwarebytes.com/blog/threat-intelligence/2024/03/fakebat-delivered-via-several-active-malvertising-campaigns #### Publication Date March 12, 2024 #### Author(s) Jérôme Segura |
Malware Threat | ★★★ | |
|
2024-03-18 15:42:59 | (Déjà vu) Infostealer Disguised as Adobe Reader Installer (lien direct) | #### Description
Ahnlab Security Intelligence Center (ASEC) a récemment découvert la distribution d'un infostèler déguisé en installateur d'Adobe Reader.L'acteur de menace distribue le fichier en tant que PDF, incitant les utilisateurs à télécharger et à exécuter le fichier.Le faux fichier PDF est écrit en portugais, et le message indique aux utilisateurs de télécharger le lecteur Adobe et de l'installer.En disant aux utilisateurs qu'Adobe Reader est tenu d'ouvrir le fichier, il invite l'utilisateur à télécharger le logiciel malveillant et à l'installer.
#### URL de référence (s)
1. https://asec.ahnlab.com/en/62853/
#### Date de publication
11 mars 2024
#### Auteurs)
UNE SECONDE
#### Description AhnLab Security intelligence Center (ASEC) recently discovered the distribution of an infostealer disguised as the Adobe Reader installer. The threat actor is distributing the file as PDF, prompting users to download and run the file. The fake PDF file is written in Portuguese, and the message tells the users to download the Adobe Reader and install it. By telling the users that Adobe Reader is required to open the file, it prompts the user to download the malware and install it. #### Reference URL(s) 1. https://asec.ahnlab.com/en/62853/ #### Publication Date March 11, 2024 #### Author(s) ASEC |
Malware Threat | ★★ | |
|
2024-03-18 13:23:03 | Faits saillants hebdomadaires OSINT, 18 mars 2024 Weekly OSINT Highlights, 18 March 2024 (lien direct) |
## Weekly OSINT Highlights, 18 March 2024 Last week\'s OSINT reporting revealed a common theme: cyberattacks targeting specific user groups are becoming more sophisticated. Take, for instance, the Notion installer malware, which dupes users by posing as a legitimate software installer, showcasing adept social engineering. Similarly, the BIPClip campaign demonstrates a highly targeted approach towards developers involved in cryptocurrency projects, with the threat actors leveraging multiple open-source packages to steal sensitive mnemonic phrases. Despite distinct attack methods, both instances underscore threat actors\' adaptability in tailoring attacks to their targets. Additionally, the analysis highlights a growing trend where attackers focus on specific sectors or user demographics, indicating a shift towards more targeted and stealthy cyber threats rather than indiscriminate attacks. This trend underscores the importance of user vigilance and the necessity for industry-specific cybersecurity measures to mitigate evolving risks. 1. **[Notion Installer Malware](https://security.microsoft.com/intel-explorer/articles/f21ac4ec?):** A new MSIX malware posing as the Notion installer is distributed through a fake website resembling the official Notion homepage. The malware, signed with a valid certificate, infects Windows PCs when users attempt to install Notion, compromising their systems with malware. 2. **[BIPClip Crypto Wallet Theft Campaign](https://security.microsoft.com/intel-explorer/articles/21aa5484?):** ReversingLabs uncovered the BIPClip campaign, which utilizes seven open-source packages across 19 versions from PyPI to steal mnemonic phrases for crypto wallet recovery. The campaign targets developers involved in cryptocurrency wallet projects, particularly those implementing Bitcoin Improvement Proposal 39 (BIP39), and employs sophisticated methods to avoid detection. The BIPClip campaign underscores how crypto assets are one of the most popular targets of cybercriminal groups and other threat actors, such as North Korean APTs. ## Learn More For the latest security research from the Microsoft Threat Intelligence community, check out the Microsoft Threat Intelligence Blog: [https://aka.ms/threatintelblog](https://aka.ms/threatintelblog). Microsoft customers can use the following reports in Microsoft Defender Threat Intelligence to get the most up-to-date information about the threat actor, malicious activity, and techniques discussed in this summary. The following reports provide the intelligence, protection information, and recommended actions to prevent, mitigate, or respond to associated threats found in customer environments: - Tool Profile: [Information stealers](https://sip.security.microsoft.com/intel-profiles/2296d491ea381b532b24f2575f9418d4b6723c17b8a1f507d20c2140a75d16d6?) - [Financially motivated threat actors misusing App Installer](https://security.microsoft.com/intel-explorer/articles/74368091?) ## Recommendations to protect against Information stealers Microsoft recommends the following mitigations to reduce the impact of Information stealer threats. - Check your Office 365 email filtering settings to ensure you block spoofed emails, spam, and emails with malware. Use [Microsoft Defender for Office 365](https://learn.microsoft.com/microsoft-365/security/office-365-security/defender-for-office-365?ocid=magicti_ta_learndoc) for enhanced phishing protection and coverage against new threats and polymorphic variants. Configure Microsoft Defender for Office 365 to [recheck links on click](https://learn.microsoft.com/microsoft-365/security/office-365-security/safe-links-about?ocid=magicti_ta_learndoc) and [delete sent mail](https://learn.microsoft.com/microsoft-365/security/office-365-security/zero-hour-auto-purge?ocid=magicti_ta_learndoc) in response to newly acquired threat intelligence. Turn on [safe attachments policies](https://learn.microsoft.com/microsoft-365/security/office-365-sec | Ransomware Spam Malware Tool Threat Prediction | ★★★ | |
|
2024-03-12 19:01:44 | BIPCLIP: packages PYPI malveillants cibler les mots de passe de récupération de portefeuille crypto BIPClip: Malicious PyPI Packages Target Crypto Wallet Recovery Passwords (lien direct) |
#### Description
RenversingLabs a découvert une nouvelle campagne appelée BIPCLIP, qui utilise sept packages open source différents avec 19 versions différentes sur l'index Python Package (PYPI) pour voler des phrases mnémoniques utilisées pour récupérer des portefeuilles cryptographiques perdus ou détruits.La campagne cible les développeurs travaillant sur des projets liés à la génération et à la sécurisation des portefeuilles de crypto-monnaie, en particulier ceux qui cherchent à mettre en œuvre la proposition d'amélioration du Bitcoin 39 (BIP39).
Les acteurs de la menace derrière cette campagne ont combiné une variété de méthodes connues et bien documentées pour atteindre leurs objectifs tout en évitant la détection.Tout d'abord, ils ont rendu leurs forfaits moins suspects en mettant leurs fonctionnalités malveillantes dans des packages dépendants et non dans les paquets qui étaient directement distribués à leurs cibles.Deuxièmement, le contenu de chacun des forfaits découverts a été soigneusement conçu pour le rendre moins suspect.Enfin, les acteurs de la menace se sont concentrés uniquement sur ce qu'ils voulaient obtenir, ne faisant aucun effort pour tirer parti de leur accès pour obtenir un contrôle total sur un système compromis ou se déplacer latéralement au sein de l'organisation de développement compromise.
#### URL de référence (s)
1. https://www.reversingLabs.com/blog/bipclip-malicious-pypi-packages-target-crypto-wallet-recovery-passwords
#### Date de publication
12 mars 2024
#### Auteurs)
Karlo Zanki
#### Description ReversingLabs has discovered a new campaign called BIPClip, which uses seven different open-source packages with 19 different versions on the Python Package Index (PyPI) to steal mnemonic phrases used to recover lost or destroyed crypto wallets. The campaign targets developers working on projects related to generating and securing cryptocurrency wallets, particularly those looking to implement the Bitcoin Improvement Proposal 39 (BIP39). The threat actors behind this campaign combined a variety of known and well-documented methods to achieve their goals while avoiding detection. First, they made their packages less suspicious by putting their malicious functionality into dependent packages and not into the packages that were directly distributed to their targets. Second, the content of each of the discovered packages was carefully crafted to make it look less suspicious. Finally, the threat actors focused only on what they wanted to get, making no effort to leverage their access to achieve full control over a compromised system or move laterally within the compromised development organization. #### Reference URL(s) 1. https://www.reversinglabs.com/blog/bipclip-malicious-pypi-packages-target-crypto-wallet-recovery-passwords #### Publication Date March 12, 2024 #### Author(s) Karlo Zanki |
Threat | ★★ | |
|
2024-03-11 20:06:53 | Distribution of MSIX Malware Disguised as Notion Installer (lien direct) | #### Description
Un nouveau malware MSIX déguisé en notion d'installation est distribué via un site Web qui ressemble à la page d'accueil de notion réelle.Ce fichier est un programme d'installation de l'application Windows et il est signé avec un certificat valide.Lors de l'exécution du fichier, l'utilisateur obtient une fenêtre contextuelle et en cliquant sur le bouton Installer, la notion est installée sur le PC et est infectée par des logiciels malveillants.
#### URL de référence (s)
1.https://asec.ahnlab.com/en/62815/
#### Date de publication
10 mars 2024
#### Auteurs)
Anh Ho
Facundo mu & ntilde; oz
Marc-Etienne M.L & Eacute; Veill & Eacute;
#### Description A new MSIX malware disguised as the Notion installer is being distributed through a website that looks similar to the actual Notion homepage. This file is a Windows app installer, and it is signed with a valid certificate. Upon running the file, the user gets a pop-up, and upon clicking the Install button, Notion is installed on the PC and is infected with malware. #### Reference URL(s) 1. https://asec.ahnlab.com/en/62815/ #### Publication Date March 10, 2024 #### Author(s) Anh Ho Facundo Muñoz Marc-Etienne M.Léveillé |
Malware | ★★★ | |
|
2024-03-11 13:43:18 | Faits saillants hebdomadaires OSINT, 11 mars 2024 Weekly OSINT Highlights, 11 March 2024 (lien direct) |
## Weekly OSINT Highlights, 11 March 2024 The OSINT reporting last week underscores several prevalent trends in cyber threats. Firstly, ransomware continues to be a significant threat, with groups like GhostSec conducting double extortion attacks and offering RaaS programs, while threat actors like SocGholish exploit vulnerabilities in web platforms like WordPress. Additionally, phishing remains a persistent tactic, exemplified by the discovery of the CryptoChameleon kit targeting cryptocurrency platforms and governmental agencies. Furthermore, attackers are targeting misconfigured servers and leveraging 1-day vulnerabilities to conduct various malicious activities, from cryptocurrency mining to unauthorized data collection. These trends emphasize the evolving tactics and motivations of cyber threat actors, highlighting the need for robust cybersecurity measures and vigilance across various sectors and platforms. 1. **[SocGholish Malware Targeting WordPress](https://security.microsoft.com/intel-explorer/articles/0218512b?)**: WordPress websites are targeted by SocGholish malware, initiating with a JavaScript malware framework and leading to potential ransomware infections, often through compromised administrator accounts. 2. **[GhostSec Ransomware Activities Surge](https://security.microsoft.com/intel-explorer/articles/ee5a4e56?)**: GhostSec, a financially motivated hacking group, collaborates with Stormous ransomware in double extortion attacks across various business verticals, offering a ransomware-as-a-service (RaaS) program, with a surge in activities observed recently. 3. **[CryptoChameleon Phishing Kit](https://security.microsoft.com/intel-explorer/articles/9227be0c?)**: Lookout uncovers the CryptoChameleon phishing kit, adept at stealing sensitive data from cryptocurrency platforms and the FCC, utilizing custom single sign-on (SSO) pages and SMS lures, primarily targeting victims in the United States. Notably, the kit includes an administrative console to monitor phishing attempts and offers customized redirections based on victims\' responses, with an emphasis on mimicking authentic MFA processes. 4. **[Malware Campaign Targeting Misconfigured Servers](https://security.microsoft.com/intel-explorer/articles/68797fe5?)**: Cado Security Labs discovers a malware campaign targeting misconfigured servers, leveraging unique payloads and exploiting n-day vulnerabilities for Remote Code Execution (RCE) attacks and cryptocurrency mining. 5. **[Earth Kapre Espionage Group](https://security.microsoft.com/intel-explorer/articles/d2d46a48?)**: Trend Micro exposes the Earth Kapre espionage group, conducting phishing campaigns across multiple countries, with malicious attachments leading to unauthorized data collection and transmission to command-and-control (C&C) servers. 6. **[Magnet Goblin Exploiting 1-Day Vulnerabilities](https://security.microsoft.com/intel-explorer/articles/11616c16?)**: Check Point identifies Magnet Goblin\'s financially motivated attacks, rapidly adopting 1-day vulnerabilities, particularly targeting Ivanti Connect Secure VPN, with a diverse arsenal including a Linux version of NerbianRAT and JavaScript credential stealers. ## Learn More For the latest security research from the Microsoft Threat Intelligence community, check out the Microsoft Threat Intelligence Blog: [https://aka.ms/threatintelblog](https://aka.ms/threatintelblog) and the following blog posts: - [Ransomware as a service: Understanding the cybercrime gig economy and how to protect yourself](https://www.microsoft.com/en-us/security/blog/2022/05/09/ransomware-as-a-service-understanding-the-cybercrime-gig-economy-and-how-to-protect-yourself/?ocid=magicti_ta_blog#defending-against-ransomware) - [Cryptojacking: Understanding and defending against cloud compute resource abuse](https://www.microsoft.com/en-us/security/blog/2023/07/25/cryptojacking-understanding-and-defending-against-cloud-compute-resource-abuse/) Microsoft customers can use the following reports in Mi | Ransomware Malware Tool Vulnerability Threat Prediction Cloud | ★★★ | |
|
2024-03-08 17:30:16 | Magnet Goblin Targets Publicly Facing Servers Using 1-Day Vulnerabilities (lien direct) | #### Description
Check Point rapporte que Magnet Goblin est un acteur de menace à motivation financière qui adopte rapidement et exploite les vulnérabilités d'un jour dans les services accessibles au public en tant que vecteur d'infection initial.Au moins dans un cas d'Ivanti Connect Secure VPN (CVE-2024-21887), l'exploit est entré dans l'arsenal du groupe \\ aussi vite que dans un jour suivant un POC pour sa publication.Le groupe a ciblé Ivanti, Magento, Qlink Sense et éventuellement Apache ActiveMQ.L'analyse de la récente campagne VPN de la récente Ivanti Secure VPN de l'acteur a révélé une nouvelle version Linux d'un logiciel malveillant appelé Nerbianrat, en plus de Warpwire, un voleur d'identification JavaScript.L'arsenal de l'acteur \\ comprend également Mininerbian, une petite porte dérobée Linux et des outils de surveillance et de gestion à distance (RMM) pour les fenêtres comme Screenconnect et AnyDesk.
#### URL de référence (s)
1. https://research.checkpoint.com/2024/magnet-goblin-targets-publicly-facing-servers-using-1d-day-vulnerabilities/
#### Date de publication
8 mars 2024
#### Auteurs)
Point de contrôle
#### Description Check Point reports Magnet Goblin is a financially motivated threat actor that quickly adopts and leverages 1-day vulnerabilities in public-facing services as an initial infection vector. At least in one case of Ivanti Connect Secure VPN (CVE-2024-21887), the exploit entered the group\'s arsenal as fast as within 1 day after a POC for it was published. The group has targeted Ivanti, Magento, Qlink Sense, and possibly Apache ActiveMQ. Analysis of the actor\'s recent Ivanti Connect Secure VPN campaign revealed a novel Linux version of a malware called NerbianRAT, in addition to WARPWIRE, a JavaScript credential stealer. The actor\'s arsenal also includes MiniNerbian, a small Linux backdoor, and remote monitoring and management (RMM) tools for Windows like ScreenConnect and AnyDesk. #### Reference URL(s) 1. https://research.checkpoint.com/2024/magnet-goblin-targets-publicly-facing-servers-using-1-day-vulnerabilities/ #### Publication Date March 8, 2024 #### Author(s) Check Point |
Malware Tool Vulnerability Threat | ★★ | |
|
2024-03-07 21:48:42 | Dévoiler la terre kapre aka tactiques de cyberespionnage de redcurl \\ Unveiling Earth Kapre aka RedCurl\\'s Cyberespionage Tactics (lien direct) |
#### Description
L'équipe Trend Micro MDR a enquêté et a découvert avec succès les ensembles d'intrusion employés par Earth Kapre dans un incident récent.Le groupe d'espionnage Earth Kapre (alias Redcurl et Red Wolf) a mené activement des campagnes de phishing ciblant des organisations en Russie, en Allemagne, en Ukraine, au Royaume-Uni, en Slovénie, au Canada, en Australie et aux États-Unis.Il utilise des e-mails de phishing qui contiennent des pièces jointes malveillantes (.iso et .img), ce qui conduit à des infections réussies lors de l'ouverture.Cela déclenche la création d'une tâche planifiée de persistance, aux côtés de la collecte non autorisée et de la transmission de données sensibles aux serveurs de commandement et de contrôle (C&C).
#### URL de référence (s)
1.https://www.trendmicro.com/en_us/research/24/c/unveiling-earth-kapre-aka-redcurls-cyberespionage-tactics-with-t.html
#### Date de publication
7 mars 2024
#### Auteurs)
Copain Tancio
Maria Emreen Viray
Mohamed Fahmy
#### Description Trend Micro MDR team investigated and successfully uncovered the intrusion sets employed by Earth Kapre in a recent incident. The espionage group Earth Kapre (aka RedCurl and Red Wolf) has been actively conducting phishing campaigns targeting organizations in Russia, Germany, Ukraine, the United Kingdom, Slovenia, Canada, Australia, and the US. It uses phishing emails that contain malicious attachments (.iso and .img), which lead to successful infections upon opening. This triggers the creation of a scheduled task for persistence, alongside the unauthorized collection and transmission of sensitive data to command-and-control (C&C) servers. #### Reference URL(s) 1. https://www.trendmicro.com/en_us/research/24/c/unveiling-earth-kapre-aka-redcurls-cyberespionage-tactics-with-t.html #### Publication Date March 7, 2024 #### Author(s) Buddy Tancio Maria Emreen Viray Mohamed Fahmy |
★★ | ||
|
2024-03-06 21:12:22 | Fil de spinning - Une nouvelle campagne de logiciels malveillants Linux cible Docker, Apache Hadoop, Redis et Confluence Spinning YARN - A New Linux Malware Campaign Targets Docker, Apache Hadoop, Redis and Confluence (lien direct) |
#### Description
Les chercheurs de CADO Security Labs ont récemment rencontré une campagne de logiciels malveillants émergente ciblant des serveurs mal configurés exécutant des services orientés Web.
La campagne utilise un certain nombre de charges utiles uniques et non déclarées, dont quatre binaires Golang, qui servent d'outils pour automatiser la découverte et l'infection des hôtes exécutant les services ci-dessus.Les attaquants tirent parti de ces outils pour émettre du code d'exploitation, en profitant des erreurs de configuration courantes et en exploitant une vulnérabilité du jour, pour effectuer des attaques d'exécution de code distant (RCE) et infecter de nouveaux hôtes.
Une fois l'accès initial atteint, une série de scripts de coquille et de techniques d'attaque General Linux sont utilisées pour livrer un mineur de crypto-monnaie, engendrer une coquille inversée et permettre un accès persistant aux hôtes compromis.
#### URL de référence (s)
1. https://www.cadosecurity.com/spinning-yarn-a-new-Linux-Malware-Campaign-Targets-Docker-Apache-Hadoop-Redis-and-Confluence /
#### Date de publication
6 mars 2024
#### Auteurs)
Matt Muir
#### Description Cado Security Labs researchers have recently encountered an emerging malware campaign targeting misconfigured servers running web-facing services. The campaign utilises a number of unique and unreported payloads, including four Golang binaries, that serve as tools to automate the discovery and infection of hosts running the above services. The attackers leverage these tools to issue exploit code, taking advantage of common misconfigurations and exploiting an n-day vulnerability, to conduct Remote Code Execution (RCE) attacks and infect new hosts. Once initial access is achieved, a series of shell scripts and general Linux attack techniques are used to deliver a cryptocurrency miner, spawn a reverse shell and enable persistent access to the compromised hosts. #### Reference URL(s) 1. https://www.cadosecurity.com/spinning-yarn-a-new-linux-malware-campaign-targets-docker-apache-hadoop-redis-and-confluence/ #### Publication Date March 6, 2024 #### Author(s) Matt Muir |
Malware Tool Vulnerability Threat | ★★★ | |
|
2024-03-06 14:38:08 | Cryptochameleon: de nouvelles tactiques de phishing exposées dans l'attaque ciblée par la FCC CryptoChameleon: New Phishing Tactics Exhibited in FCC-Targeted Attack (lien direct) |
#### Description
Des chercheurs en sécurité de Lookout ont récemment découvert un kit de phishing sophistiqué, connu sous le nom de cryptochameleon, utilisant de nouvelles techniques pour voler des données sensibles des plateformes de crypto-monnaie et de la Federal Communications Commission (FCC).Ce kit utilise des pages de connexion unique (SSO) personnalisées et des leurres téléphoniques / SMS pour extraire les informations d'identification de connexion, les jetons multi-facteurs et les identifiants photo des victimes, principalement sur les appareils mobiles.Notamment, le kit comprend une console administrative pour surveiller les tentatives de phishing et offre des redirections personnalisées basées sur les réponses des victimes, en mettant l'accent sur l'imitation des processus AMF authentiques.Les attaques ont réussi à compromettre des centaines de victimes, principalement aux États-Unis.Alors que les tactiques ressemblent à des acteurs précédents comme [dispersée Spider alias Octo Tempest] (https://ti.defender.microsoft.com/intel-profiles/205381037ed05d275251862061dd923309ac9ecdc2a9951d7c344d890a61101a), infrastructure.
#### URL de référence (s)
1. https://www.lookout.com/Threat-intelligence/article/cryptochameleon-fcc-phishing-kit
#### Date de publication
29 février 2024
#### Auteurs)
David Richardson
Savio Lau
#### Description Security researchers from Lookout recently uncovered a sophisticated phishing kit, known as CryptoChameleon, utilizing novel techniques to steal sensitive data from cryptocurrency platforms and the Federal Communications Commission (FCC). This kit employs custom single sign-on (SSO) pages and phone/SMS lures to extract login credentials, multi-factor tokens, and photo IDs from victims, primarily on mobile devices. Notably, the kit includes an administrative console to monitor phishing attempts and offers customized redirections based on victims\' responses, with an emphasis on mimicking authentic MFA processes. Attacks have successfully compromised hundreds of victims, primarily in the United States. While tactics resemble previous actors like [Scattered Spider AKA Octo Tempest](https://ti.defender.microsoft.com/intel-profiles/205381037ed05d275251862061dd923309ac9ecdc2a9951d7c344d890a61101a), infrastructure differences suggest a distinctly different threat group. #### Reference URL(s) 1. https://www.lookout.com/threat-intelligence/article/cryptochameleon-fcc-phishing-kit #### Publication Date February 29, 2024 #### Author(s) David Richardson Savio Lau |
Threat Mobile | ★★★ | |
|
2024-03-06 01:05:06 | Faits saillants hebdomadaires d'osint, 4 mars 2024 Weekly OSINT Highlights, 4 March 2024 (lien direct) |
## Weekly OSINT Highlights, 4 March 2024 Ransomware loomed large in cyber security research news this week, with our curated OSINT featuring research on Abyss Locker, BlackCat, and Phobos. Phishing attacks, information stealers, and spyware are also in the mix, highlighting the notable diversity in the cyber threat landscape. The OSINT reporting this week showcases the evolving tactics of threat actors, with operators increasingly employing multifaceted strategies across different operating systems. Further, the targets of these attacks span a wide range, from civil society figures targeted by spyware in the Middle East and North Africa to state and local governments victimized by ransomware. The prevalence of attacks on sectors like healthcare underscores the significant impact on critical infrastructure and the potential for substantial financial gain through ransom payments. 1. [**Abyss Locker Ransomware Evolution and Tactics**](https://ti.defender.microsoft.com/articles/fc80abff): Abyss Locker ransomware, derived from HelloKitty, exfiltrates victim data before encryption and targets Windows systems, with a subsequent Linux variant observed. Its capabilities include deleting backups and employing different tactics for virtual machines, indicating a growing sophistication in ransomware attacks. 2. [**ALPHV Blackcat Ransomware-as-a-Service (RaaS)**:](https://ti.defender.microsoft.com/articles/b85e83eb) The FBI and CISA warn of ALPHV Blackcat RaaS, which targets multiple sectors, particularly healthcare. Recent updates to ALPHV Blackcat include improved defense evasion, encryption capabilities for Windows and Linux, reflecting the increasing sophistication in ransomware operations. 3. [**Phobos RaaS Model**](https://ti.defender.microsoft.com/articles/ad1bfcb4): Phobos ransomware, operating as a RaaS model, frequently targets state and local governments. Its use of accessible open-source tools enhances its popularity among threat actors, emphasizing the ease of deployment and customization for various environments. 4. [**TimbreStealer Phishing Campaign**](https://ti.defender.microsoft.com/articles/b61544ba): Talos identifies a phishing campaign distributing TimbreStealer, an information stealer disguised as Mexican tax-related themes. The threat actor was previously associated with banking trojans, underscoring the adaptability and persistence of malicious actors. 5. [**Nood RAT Malware Features and Stealth**](https://ti.defender.microsoft.com/articles/cc509147): ASEC uncovers Nood RAT, a Linux-based variant of Gh0st RAT, equipped with encryption and disguised as legitimate software. The malware\'s flexibility in binary creation and process naming underscores the threat actor\'s intent to evade detection and carry out malicious activities with sophistication. 6. [**Predator Spyware Infrastructure and Targeting**](https://ti.defender.microsoft.com/articles/7287eb1b): The Insikt Group\'s discovery highlights the widespread use of Predator spyware, primarily targeting journalists, politicians, and activists in various countries. Despite its purported use for counterterrorism and law enforcement, Predator is employed by threat actors outside these contexts, posing significant privacy and safety risks. ## Learn More For the latest security research from the Microsoft Threat Intelligence community, check out the Microsoft Threat Intelligence Blog: [https://aka.ms/threatintelblog](https://aka.ms/threatintelblog) and the following blog posts: - [Ransomware as a service: Understanding the cybercrime gig economy and how to protect yourself](https://www.microsoft.com/en-us/security/blog/2022/05/09/ransomware-as-a-service-understanding-the-cybercrime-gig-economy-and-how-to-protect-yourself/?ocid=magicti_ta_blog#defending-against-ransomware) Microsoft customers can use the following reports in Microsoft Defender Threat Intelligence to get the most up-to-date information about the threat actor, malicious activity, and techniques discussed in this summary. The following | Ransomware Spam Malware Tool Threat Legislation Medical | ★★★★ | |
|
2024-03-05 20:46:20 | Le fonctionnement conjoint des ransomwares et l'évolution de leur arsenal GhostSec\\'s Joint Ransomware Operation and Evolution of their Arsenal (lien direct) |
#### Description
Cisco Talos a observé une augmentation de GhostSec, des activités malveillantes d'un groupe de piratage depuis l'année dernière.
GhostSec, un groupe de piratage à motivation financière, a été observé menant des attaques de ransomwares à double extorsion contre diverses verticales commerciales dans plusieurs pays.Le groupe a évolué avec un nouveau Ransomware Ghostlocker 2.0, une variante Golang du Ransomware Ghostlocker.Les groupes GhostSec et Stormous Ransomware mènent conjointement ces attaques et ont lancé un nouveau programme Ransomware-as-a-Service (RAAS) STMX_GHOSTLOCKER, offrant diverses options pour leurs affiliés.Les groupes GhostSec et Stormous Ransomware ont conjointement mené des attaques de ransomware à double extorsion ciblant les victimes dans divers secteurs d'activité dans plusieurs pays.
Talos a également découvert deux nouveaux outils dans l'arsenal de GhostSec \\, le "GhostSec Deep Scan Tool" et "Ghostpresser", tous deux utilisés dans les attaques contre les sites Web GhostSec sont restés actifs depuis l'année dernière et ont mené plusieurs déni de-Service (DOS) attaque et aLes sites Web des victimes ont été retirées.
#### URL de référence (s)
1. https://blog.talosintelligence.com/ghostec-ghostlocker2-ransomware/
#### Date de publication
5 mars 2024
#### Auteurs)
Chetan Raghuprasad
#### Description Cisco Talos observed a surge in GhostSec, a hacking group\'s malicious activities since this past year. GhostSec, a financially motivated hacking group, has been observed conducting double extortion ransomware attacks on various business verticals in multiple countries. The group has evolved with a new GhostLocker 2.0 ransomware, a Golang variant of the GhostLocker ransomware. GhostSec and Stormous ransomware groups are jointly conducting these attacks and have started a new ransomware-as-a-service (RaaS) program STMX_GhostLocker, providing various options for their affiliates. GhostSec and Stormous ransomware groups have jointly conducted double extortion ransomware attacks targeting victims across various business verticals in multiple countries. Talos also discovered two new tools in GhostSec\'s arsenal, the "GhostSec Deep Scan tool" and "GhostPresser," both likely being used in the attacks against websites GhostSec has remained active since last year and has conducted several denial-of-service (DoS) attacks and has taken down victims\' websites. #### Reference URL(s) 1. https://blog.talosintelligence.com/ghostsec-ghostlocker2-ransomware/ #### Publication Date March 5, 2024 #### Author(s) Chetan Raghuprasad |
Ransomware Tool | ★★★ | |
|
2024-03-05 19:03:47 | Rester en avance sur les acteurs de la menace à l'ère de l'IA Staying ahead of threat actors in the age of AI (lien direct) |
## Snapshot Over the last year, the speed, scale, and sophistication of attacks has increased alongside the rapid development and adoption of AI. Defenders are only beginning to recognize and apply the power of generative AI to shift the cybersecurity balance in their favor and keep ahead of adversaries. At the same time, it is also important for us to understand how AI can be potentially misused in the hands of threat actors. In collaboration with OpenAI, today we are publishing research on emerging threats in the age of AI, focusing on identified activity associated with known threat actors, including prompt-injections, attempted misuse of large language models (LLM), and fraud. Our analysis of the current use of LLM technology by threat actors revealed behaviors consistent with attackers using AI as another productivity tool on the offensive landscape. You can read OpenAI\'s blog on the research [here](https://openai.com/blog/disrupting-malicious-uses-of-ai-by-state-affiliated-threat-actors). Microsoft and OpenAI have not yet observed particularly novel or unique AI-enabled attack or abuse techniques resulting from threat actors\' usage of AI. However, Microsoft and our partners continue to study this landscape closely. The objective of Microsoft\'s partnership with OpenAI, including the release of this research, is to ensure the safe and responsible use of AI technologies like ChatGPT, upholding the highest standards of ethical application to protect the community from potential misuse. As part of this commitment, we have taken measures to disrupt assets and accounts associated with threat actors, improve the protection of OpenAI LLM technology and users from attack or abuse, and shape the guardrails and safety mechanisms around our models. In addition, we are also deeply committed to using generative AI to disrupt threat actors and leverage the power of new tools, including [Microsoft Copilot for Security](https://www.microsoft.com/security/business/ai-machine-learning/microsoft-security-copilot), to elevate defenders everywhere. ## Activity Overview ### **A principled approach to detecting and blocking threat actors** The progress of technology creates a demand for strong cybersecurity and safety measures. For example, the White House\'s Executive Order on AI requires rigorous safety testing and government supervision for AI systems that have major impacts on national and economic security or public health and safety. Our actions enhancing the safeguards of our AI models and partnering with our ecosystem on the safe creation, implementation, and use of these models align with the Executive Order\'s request for comprehensive AI safety and security standards. In line with Microsoft\'s leadership across AI and cybersecurity, today we are announcing principles shaping Microsoft\'s policy and actions mitigating the risks associated with the use of our AI tools and APIs by nation-state advanced persistent threats (APTs), advanced persistent manipulators (APMs), and cybercriminal syndicates we track. These principles include: - **Identification and action against malicious threat actors\' use:** Upon detection of the use of any Microsoft AI application programming interfaces (APIs), services, or systems by an identified malicious threat actor, including nation-state APT or APM, or the cybercrime syndicates we track, Microsoft will take appropriate action to disrupt their activities, such as disabling the accounts used, terminating services, or limiting access to resources. - **Notification to other AI service providers:** When we detect a threat actor\'s use of another service provider\'s AI, AI APIs, services, and/or systems, Microsoft will promptly notify the service provider and share relevant data. This enables the service provider to independently verify our findings and take action in accordance with their own policies. - **Collaboration with other stakeholders:** Microsoft will collaborate with other stakeholders to regularly exchange information a | Ransomware Malware Tool Vulnerability Threat Studies Medical Technical | APT 28 ChatGPT APT 4 | ★★ |
|
2024-03-04 20:21:51 | Une nouvelle vague d'infections de Socgholish imite les plugins WordPress New Wave of SocGholish Infections Impersonates WordPress Plugins (lien direct) |
#### Description
Une nouvelle vague d'infections de logiciels malveillants SocGholish a été identifiée, ciblant les sites Web WordPress.La campagne malveillante tire parti d'un cadre de logiciel malveillant JavaScript qui est utilisé depuis au moins 2017. Le malware tente de inciter les utilisateurs sans méfiance à télécharger ce qui est en fait un Trojan (rat) d'accès à distance sur leurs ordinateurs, qui est souvent la première étape d'un ransomware à distanceinfection.Les sites infectés ont été compromis via des comptes d'administrateur WP-Admin piratés.
#### URL de référence (s)
1. https://blog.sucuri.net/2024/03/new-wave-of-socgholish-infections-impersonates-wordpress-plugins.html
#### Date de publication
1er mars 2024
#### Auteurs)
Ben Martin
#### Description A new wave of SocGholish malware infections has been identified, targeting WordPress websites. The malware campaign leverages a JavaScript malware framework that has been in use since at least 2017. The malware attempts to trick unsuspecting users into downloading what is actually a Remote Access Trojan (RAT) onto their computers, which is often the first stage in a ransomware infection. The infected sites were compromised through hacked wp-admin administrator accounts. #### Reference URL(s) 1. https://blog.sucuri.net/2024/03/new-wave-of-socgholish-infections-impersonates-wordpress-plugins.html #### Publication Date March 1, 2024 #### Author(s) Ben Martin |
Ransomware Malware | ★★ | |
|
2024-03-01 20:49:50 | Les opérateurs de logiciels espions prédateurs reconstruisent l'infrastructure à plusieurs niveaux pour cibler les appareils mobiles Predator Spyware Operators Rebuild Multi-Tier Infrastructure to Target Mobile Devices (lien direct) |
#### Description
Le groupe INSIKT de Future \\ a découvert de nouvelles infrastructures liées aux opérateurs de Predator, un logiciel spymétrique mobile mercenaire.L'infrastructure serait utilisée dans au moins onzepays, dont l'Angola, l'Arménie, le Botswana, l'Égypte, l'Indonésie, le Kazakhstan, la Mongolie, Oman, les Philippines, l'Arabie saoudite,et Trinidad et Tobago.Bien qu'il soit commercialisé pour la lutte contre le terrorisme et les forces de l'ordre, Predator est souvent utilisé contre la société civile, ciblant les journalistes, les politiciens et les militants.
L'utilisation de logiciels espions comme Predator présente des risques importants pour la confidentialité, la légalité et la sécurité physique, en particulier lorsqu'ils sont utilisés en dehors des contextes graves de criminalité et de lutte contre le terrorisme.La recherche du groupe INSIKT \\ a identifié une nouvelle infrastructure de livraison de prédateurs à plusieurs niveaux, avec des preuves de l'analyse du domaine et des données de renseignement du réseau.Malgré les divulgations publiques en septembre 2023, les opérateurs de Predator \\ ont poursuivi leurs opérations avec un minimum de changements.Predator, aux côtés de Pegasus de NSO Group \\, reste un principal fournisseur de logiciels espions mercenaires, avec des tactiques, des techniques et des procédures cohérentes au fil du temps.À mesure que le marché des logiciels espions mercenaires se développe, les risques s'étendent au-delà de la société civile à toute personne intéressée aux entités ayant accès à ces outils.Les innovations dans ce domaine sont susceptibles de conduire à des capacités de logiciels espions plus furtifs et plus complets.
#### URL de référence (s)
1. https://www.recordedfuture.com/predator-spyware-operators-rebuild-multi-tier-infrastructure-target-mobile-devices
#### Date de publication
1er mars 2024
#### Auteurs)
Groupe insikt
#### Description Recorded Future\'s Insikt Group has discovered new infrastructure related to the operators of Predator, a mercenary mobile spyware. The infrastructure is believed to be in use in at least eleven countries, including Angola, Armenia, Botswana, Egypt, Indonesia, Kazakhstan, Mongolia, Oman, the Philippines, Saudi Arabia, and Trinidad and Tobago. Despite being marketed for counterterrorism and law enforcement, Predator is often used against civil society, targeting journalists, politicians, and activists. The use of spyware like Predator poses significant risks to privacy, legality, and physical safety, especially when used outside serious crime and counterterrorism contexts. The Insikt Group\'s research identified a new multi-tiered Predator delivery infrastructure, with evidence from domain analysis and network intelligence data. Despite public disclosures in September 2023, Predator\'s operators have continued their operations with minimal changes. Predator, alongside NSO Group\'s Pegasus, remains a leading provider of mercenary spyware, with consistent tactics, techniques, and procedures over time. As the mercenary spyware market expands, the risks extend beyond civil society to anyone of interest to entities with access to these tools. Innovations in this field are likely to lead to more stealthy and comprehensive spyware capabilities. #### Reference URL(s) 1. https://www.recordedfuture.com/predator-spyware-operators-rebuild-multi-tier-infrastructure-target-mobile-devices #### Publication Date March 1, 2024 #### Author(s) Insikt Group |
Tool Mobile Technical | ★★ | |
|
2024-02-29 20:16:44 | #Hundredprees: Phobos tient #StopRansomware: Phobos Ransomware (lien direct) |
#### Description
Phobos est structuré comme un modèle ransomware en tant que service (RAAS).Depuis mai 2019, des incidents de ransomware de phobos ayant un impact sur les gouvernements de l'État, du local, des tribus et territoriaux (SLTT) ont été régulièrement signalés au MS-ISAC.Phobos Ransomware fonctionne en conjonction avec divers outils open source tels que SmokeLoader, Cobalt Strike et Bloodhound.Ces outils sont tous largement accessibles et faciles à utiliser dans divers environnements d'exploitation, ce qui en fait (et les variantes associées) un choix populaire pour de nombreux acteurs de menace.
#### URL de référence (s)
1. https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-060a
#### Date de publication
26 février 2024
#### Auteurs)
Cisa
#### Description Phobos is structured as a ransomware-as-a-service (RaaS) model. Since May 2019, Phobos ransomware incidents impacting state, local, tribal, and territorial (SLTT) governments have been regularly reported to the MS-ISAC. Phobos ransomware operates in conjunction with various open source tools such as Smokeloader, Cobalt Strike, and Bloodhound. These tools are all widely accessible and easy to use in various operating environments, making it (and associated variants) a popular choice for many threat actors. #### Reference URL(s) 1. https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-060a #### Publication Date February 26, 2024 #### Author(s) CISA |
Ransomware Tool Threat | ★★ | |
|
2024-02-28 18:15:21 | #Stopransomware: alphv Blackcat (lien direct) | #### Description
Le Federal Bureau of Investigation (FBI) et l'Agence de sécurité de la cybersécurité et des infrastructures (CISA) publient cette CSA conjointe pour diffuser les CIO connues et les TTP associés au Ransomware BlackCat AlphV comme service (RAAS) identifié par le biais d'enquêtes du FBI comme récemment en février 2024.
Ce conseil fournit des mises à jour des indicateurs de compromis BlackCat / AlphV du FBI Flash sur le 19 avril 2022, et à cet avis publié le 19 décembre 2023.compromis initial.Depuis la mi-décembre 2023, sur près de 70 victimes divulguées, le secteur des soins de santé a été le plus couramment victime.Ceci est probablement en réponse au poste d'administrateur BlackCat Alphv \\ en encourageant ses affiliés à cibler les hôpitaux après une action opérationnelle contre le groupe et ses infrastructures début décembre 2023.
En février 2023, les administrateurs d'ALPHV BlackCat ont annoncé la mise à jour SPHYNX ALPHV BLACKCAT RANSOMWAYAGE 2.0, qui a été réécrite pour fournir des fonctionnalités supplémentaires aux affiliés, tels qu'une meilleure évasion de défense et des outils supplémentaires.Cette mise à jour BlackCat Alphv a la capacité de crypter les appareils Windows et Linux et les instances VMware.Les affiliés ALPHV Blackcat ont des réseaux et une expérience étendus avec les opérations de ransomware et d'extorsion de données.Selon le FBI, en septembre 2023, les affiliés de Blackcat Alphv ont compromis plus de 1000 entités dont 75% sont aux États-Unis et environ 250 à l'extérieur des États-Unis - ont demandé plus de 500 millions de dollars et ont reçu près de 300 millions de dollars de rançonPaiements.
#### URL de référence (s)
1. https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-353a
#### Date de publication
19 décembre 2023
#### Auteurs)
Cisa
#### Description The Federal Bureau of Investigation (FBI) and the Cybersecurity and Infrastructure Security Agency (CISA) are releasing this joint CSA to disseminate known IOCs and TTPs associated with the ALPHV Blackcat ransomware as a service (RaaS) identified through FBI investigations as recently as February 2024. This advisory provides updates to the FBI FLASH BlackCat/ALPHV Ransomware Indicators of Compromise released April 19, 2022, and to this advisory released December 19, 2023. ALPHV Blackcat actors have since employed improvised communication methods by creating victim-specific emails to notify of the initial compromise. Since mid-December 2023, of the nearly 70 leaked victims, the healthcare sector has been the most commonly victimized. This is likely in response to the ALPHV Blackcat administrator\'s post encouraging its affiliates to target hospitals after operational action against the group and its infrastructure in early December 2023.. In February 2023, ALPHV Blackcat administrators announced the ALPHV Blackcat Ransomware 2.0 Sphynx update, which was rewritten to provide additional features to affiliates, such as better defense evasion and additional tooling. This ALPHV Blackcat update has the capability to encrypt both Windows and Linux devices, and VMWare instances. ALPHV Blackcat affiliates have extensive networks and experience with ransomware and data extortion operations. According to the FBI, as of September 2023, ALPHV Blackcat affiliates have compromised over 1000 entities-nearly 75 percent of which are in the United States and approximately 250 outside the United States-, demanded over $500 million, and received nearly $300 million in ransom payments. #### Reference URL(s) 1. https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-353a #### Publication Date December 19, 2023 #### Author(s) CISA |
Ransomware | ★★★ | |
|
2024-02-27 22:38:36 | Ransomware Roundup – Abyss Locker (lien direct) | #### Description
Bien qu'il ait été soumis pour la première fois à un service de numérisation de fichiers accessible au public en juillet 2023, la première variante du ransomware ABYSS Locker peut avoir été originaire encore plus tôt en raison de sa fondation sur le code source du ransomware Hellokitty.Début janvier 2024, les chercheurs ont découvert une variante de version 1 ciblant les systèmes Windows, suivis d'une version ultérieure de la version 2 plus tard ce mois-ci.
L'acteur Abyss Locker Threat adopte une stratégie d'exfiltration de données sur les victimes avant de déployer le ransomware pour le chiffrement des fichiers, avec des capacités supplémentaires, notamment la suppression de copies fantômes de volume et les sauvegardes du système.De plus, une variante Linux de ABYSS Locker a été observée, qui utilise différentes tactiques telles que le ciblage des machines virtuelles et crypter des fichiers avec une extension ".crypt".
#### URL de référence (s)
1. https://www.fortinet.com/blog/thereat-research/ransomware-wounup-abyss-locker
#### Date de publication
26 février 2024
#### Auteurs)
Shunichi imano
Fred Gutierrez
#### Description Despite being first submitted to a publicly available file scanning service in July 2023, the earliest variant of the Abyss Locker ransomware may have originated even earlier due to its foundation on the HelloKitty ransomware source code. In early January 2024, researchers uncovered a version 1 variant targeting Windows systems, followed by a subsequent version 2 release later that month. The Abyss Locker threat actor adopts a strategy of exfiltrating victims\' data before deploying the ransomware for file encryption, with additional capabilities including the deletion of Volume Shadow Copies and system backups. Additionally, a Linux variant of Abyss Locker has been observed, which employs different tactics such as targeting virtual machines and encrypting files with a ".crypt" extension. #### Reference URL(s) 1. https://www.fortinet.com/blog/threat-research/ransomware-roundup-abyss-locker #### Publication Date February 26, 2024 #### Author(s) Shunichi Imano Fred Gutierrez |
Ransomware Threat | ★★ | |
|
2024-02-27 20:31:31 | La campagne Timbrester cible les utilisateurs mexicains avec des leurres financiers TimbreStealer Campaign Targets Mexican Users with Financial Lures (lien direct) |
#### Description
Talos a observé une campagne de spam de phishing ciblant les victimes potentielles au Mexique, attirant les utilisateurs à télécharger un nouveau voleur d'informations obscurcis Talos appelle Timbrester, qui est actif depuis au moins novembre 2023. Il contient plusieurs modules intégrés utilisés pour l'orchestration, le décryptage et la protection dele malware binaire.
Cet acteur de menace a été observé distribuant Timbrester via une campagne de spam utilisant des thèmes mexicains liés à l'impôt à partir du moins en novembre 2023. L'acteur de menace a déjà utilisé des tactiques, des techniques et des procédures similaires (TTPS) pour distribuer un trojan bancaire connu sous le nom de «Mispadu».
#### URL de référence (s)
1. https://blog.talosintelligence.com/timbrestealer-campaign-targets-mexican-users/
#### Date de publication
27 février 2024
#### Auteurs)
Guilherme Veree
Jacob Finn
Tucker Favreau
Jacob Stanfill
James Nutland
#### Description Talos has observed a phishing spam campaign targeting potential victims in Mexico, luring users to download a new obfuscated information stealer Talos is calling TimbreStealer, which has been active since at least November 2023. It contains several embedded modules used for orchestration, decryption and protection of the malware binary. This threat actor was observed distributing TimbreStealer via a spam campaign using Mexican tax-related themes starting in at least November 2023. The threat actor has previously used similar tactics, techniques and procedures (TTPs) to distribute a banking trojan known as “Mispadu.” #### Reference URL(s) 1. https://blog.talosintelligence.com/timbrestealer-campaign-targets-mexican-users/ #### Publication Date February 27, 2024 #### Author(s) Guilherme Venere Jacob Finn Tucker Favreau Jacob Stanfill James Nutland |
Spam Malware Threat | ★★ | |
|
2024-02-26 20:46:17 | Analysis of Nood RAT Used in Attacks Against Linux (Gh0st RAT\'s Variant) (lien direct) | #### Description
Ahnlab Security Intelligence Center (ASEC) a découvert que Nood Rat, une variante de GH0ST RAT qui fonctionne dans Linux, est utilisé dans des attaques de logiciels malveillants.Nood Rat est un malware de porte dérobée qui peut recevoir des commandes du serveur C&C pour effectuer des activités malveillantes telles que le téléchargement de fichiers malveillants, le vol de fichiers internes de systèmes \\ 'et l'exécution de commandes.Bien que simple en forme, il est équipé d'une fonction de chiffrement pour éviter la détection des paquets de réseau.
Nood Rat est développé à l'aide d'un constructeur qui permet à l'acteur de menace de créer du binaire x86 ou x64 basé sur l'architecture et de choisir et d'utiliser le binaire qui correspond au système cible.Le malware a une fonctionnalité qui modifie son nom afin de se déguiser en programme légitime.L'acteur de menace est en mesure de décider du faux nom de processus du malware \\ pendant la phase de développement.
#### URL de référence (s)
1. https://asec.ahnlab.com/en/62144/
#### Date de publication
25 février 2024
#### Auteurs)
Sanseo
#### Description AhnLab Security Intelligence Center (ASEC) has discovered that Nood RAT, a variant of Gh0st RAT that works in Linux, is being used in malware attacks. Nood RAT is a backdoor malware that can receive commands from the C&C server to perform malicious activities such as downloading malicious files, stealing systems\' internal files, and executing commands. Although simple in form, it is equipped with an encryption feature to avoid network packet detection. Nood RAT is developed using a builder that allows the threat actor to create x86 or x64 binary based on the architecture and choose and use the binary that fits the target system. The malware has a feature that changes its name in order to disguise itself as a legitimate program. The threat actor is able to decide the malware\'s fake process name during the development stage. #### Reference URL(s) 1. https://asec.ahnlab.com/en/62144/ #### Publication Date February 25, 2024 #### Author(s) Sanseo |
Malware Threat | ★★ | |
|
2024-02-23 20:51:22 | Astaroth, Mekotio & Ousaban abusant Google Cloud Run dans les campagnes de logiciels malveillants axés sur LATAM Astaroth, Mekotio & Ousaban Abusing Google Cloud Run in LATAM-Focused Malware Campaigns (lien direct) |
#### Description
Depuis septembre 2023, Cisco Talos a observé une augmentation significative du volume de courriels malveillants tirant parti du service Google Cloud Run pour infecter les victimes potentielles avec des chevaux de Troie bancaires.
Les chaînes d'infection associées à ces familles de logiciels malveillants présentent l'utilisation de installateurs Microsoft malveillants (MSIS) qui fonctionnent comme des gouttes ou des téléchargeurs pour la charge utile des logiciels malveillants finaux.Les campagnes de distribution pour ces familles de logiciels malveillants sont liées, Astaroth et Mekotio distribués sous le même projet Google Cloud et Google Cloud Storage Bucket.Ousaban est également abandonné dans le cadre du processus d'infection Astaroth.
Le malware est distribué par e-mails qui sont envoyés à l'aide de thèmes liés aux factures ou aux documents financiers et fiscaux, et se présentent parfois comme étant envoyés par l'agence fiscale du gouvernement local dans le pays ciblé.Les e-mails contiennent des hyperliens vers Google Cloud Run, qui peuvent être identifiés en raison de l'utilisation de l'application Run [.] Comme domaine de niveau supérieur (TLD).Lorsque les victimes accèdent à ces hyperliens, elles sont redirigées vers les services Web d'exécution du cloud déployés par les acteurs de la menace et ont livré les composants nécessaires pour initier le processus d'infection.
#### URL de référence (s)
1. https://blog.talosintelligence.com/google-cloud-run-abuse/
#### Date de publication
20 février 2024
#### Auteurs)
Edmund Brumaghin
Ashley Shen
Holger Unterbrink
Guilherme Veree
#### Description Since September 2023, Cisco Talos have observed a significant increase in the volume of malicious emails leveraging the Google Cloud Run service to infect potential victims with banking trojans. The infection chains associated with these malware families feature the use of malicious Microsoft Installers (MSIs) that function as droppers or downloaders for the final malware payload(s). The distribution campaigns for these malware families are related, with Astaroth and Mekotio being distributed under the same Google Cloud Project and Google Cloud storage bucket. Ousaban is also being dropped as part of the Astaroth infection process. The malware is being distributed via emails that are being sent using themes related to invoices or financial and tax documents, and sometimes pose as being sent from the local government tax agency in the country being targeted. The emails contain hyperlinks to Google Cloud Run, which can be identified due to the use of run[.]app as the top-level domain (TLD). When victims access these hyperlinks, they are redirected to the Cloud Run web services deployed by the threat actors and delivered the components necessary to initiate the infection process. #### Reference URL(s) 1. https://blog.talosintelligence.com/google-cloud-run-abuse/ #### Publication Date February 20, 2024 #### Author(s) Edmund Brumaghin Ashley Shen Holger Unterbrink Guilherme Venere |
Malware Threat Cloud | ★★ | |
|
2024-02-22 18:15:27 | Tinyturla Next Generation (lien direct) | #### Description
Cisco Talos, en collaboration avec cert.ngo, a découvert de nouveaux composants malveillants utilisés par le Turla Apt.
Talos illustre l'activité post-compromise réalisée par les opérateurs de la porte dérobée Tinyturla-NG (TTNG) pour émettre des commandes aux points de terminaison infectés.Ils ont trouvé trois ensembles distincts de commandes PowerShell adressées à TTNG pour énumérer, mettre en scène et exfiltrater les fichiers que les attaquants ont jugées intéressants.
TALOS évalue avec une grande confiance que Tinyturla-NG, tout comme Tinyturla, est une petite porte dérobée «dernière chance» qui est laissée pour être utilisée lorsque tous les autres mécanismes d'accès / porte dérobée non autorisés ont échoué ou ont été détectés sur les systèmes infectés.
#### URL de référence (s)
1. https://blog.talosintelligence.com/tinyturla-next-generation/
2. https://blog.talosintelligence.com/tinyTurla-ng-toling-et-c2 /
#### Date de publication
22 février,
#### Auteurs)
Asher Malihorra
Holger Unterbrink
Arnaud Zobec
Vitor Ventura
#### Description Cisco Talos, in collaboration with CERT.NGO, has discovered new malicious components used by the Turla APT. Talos illustrates the post-compromise activity carried out by the operators of the TinyTurla-NG (TTNG) backdoor to issue commands to the infected endpoints. They found three distinct sets of PowerShell commands issued to TTNG to enumerate, stage and exfiltrate files that the attackers found to be of interest. Talos assesses with high confidence that TinyTurla-NG, just like TinyTurla, is a small “last chance” backdoor that is left behind to be used when all other unauthorized access/backdoor mechanisms have failed or been detected on the infected systems. #### Reference URL(s) 1. https://blog.talosintelligence.com/tinyturla-next-generation/ 2. https://blog.talosintelligence.com/tinyturla-ng-tooling-and-c2/ #### Publication Date February 22, 2024 #### Author(s) Asheer Malhotra Holger Unterbrink Arnaud Zobec Vitor Ventura |
★★ | ||
|
2024-02-20 21:35:38 | Alpha Ransomware émerge des cendres Netwalker Alpha Ransomware Emerges from NetWalker Ashes (lien direct) |
#### Description
Alpha, un nouveau ransomware qui est apparu pour la première fois en février 2023 a intensifié ses activités ces dernières semaines et ressemble fortement aux ransomwares de Netwalker désormais disparus qui ont disparu en janvier 2021. L'analyse d'Alpha révèle des parallèles importants avec Netwalker, y compris l'utilisation d'une puissance similaire baséechargeur et code de code.Alors qu'Alpha est initialement resté peu profond après son apparition en février 2023, les attaques récentes indiquent une augmentation des opérations, y compris le déploiement d'un site de fuite de données et l'utilisation d'outils de vie comme TaskKill et Psexec.Les similitudes entre Alpha et Netwalker suggèrent un renouveau potentiel de l'ancienne opération de ransomware par les développeurs originaux ou l'acquisition et la modification de la charge utile Netwalker par les nouveaux attaquants.
#### URL de référence (s)
1. https://symantec-enterprise-blogs.security.com/blogs/thereat-intelligence/alpha-netwalker-ransomware
2. https://gbhackers.com/alpha-ransomware-livingof-fthe-land/
#### Date de publication
16 février 2024
#### Auteurs)
Équipe de chasseurs de menace symantec
#### Description Alpha, a new ransomware that first appeared in February 2023 has intensified its activities in recent weeks and strongly resembles the now defunct NetWalker ransomware that vanished in January 2021. Analysis of Alpha reveals significant parallels with NetWalker, including the use of a similar PowerShell-based loader and code overlap. While Alpha initially remained low-profile after its appearance in February 2023, recent attacks indicate a surge in operations, including the deployment of a data leak site and the utilization of living-off-the-land tools like Taskkill and PsExec. The similarities between Alpha and NetWalker suggest a potential revival of the old ransomware operation by original developers or the acquisition and modification of the NetWalker payload by new attackers. #### Reference URL(s) 1. https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/alpha-netwalker-ransomware 2. https://gbhackers.com/alpha-ransomware-living-off-the-land/ #### Publication Date February 16, 2024 #### Author(s) Symantec Threat Hunter Team |
Ransomware Tool Threat | ★★★ | |
|
2024-02-16 20:41:12 | SNS Sender | Active Campaigns Unleash Messaging Spam Through the Cloud (lien direct) | #### Description
Les chercheurs de Sentinelone ont découvert un nouveau script Python appelé SNS Sender qui utilise AWS Simple Notification Service (SNS) pour envoyer des messages SMS en vrac dans le but de spammer des liens de phishing, également connus sous le nom de swishing.
Il s'agit du premier script observé à l'aide d'AWS SNS, et on pense que l'acteur derrière cet outil utilise des services cloud pour envoyer des messages de phishing SMS en vrac.L'auteur du script est connu par l'alias Arduino_Das et est prolifique dans la scène du kit Phish.
Le script nécessite une liste de liens de phishing nommés links.txt dans son répertoire de travail.SNS Sender prend également plusieurs arguments entrés en entrée: un fichier texte contenant une liste de clés d'accès AWS, de secrets et de région délimitées par un côlon;un fichier texte contenant une liste de numéros de téléphone à cibler;un ID de l'expéditeur, similaire à un nom d'affichage pour un message;et le contenu du message.Le script remplace toutes les occurrences de la chaîne dans la variable de contenu du message par une URL du fichier links.txt, qui arme le message en tant que SMS de phishing.L'acteur derrière cet outil a été lié à de nombreux kits de phishing utilisés pour cibler les victimes \\ 'Informations personnellement identifiables (PII) et les détails de la carte de paiement sous le couvert d'un message de laUnited States Postal Service (USPS) concernant une livraison de colis manquée.
#### URL de référence (s)
1. https://www.sentinelone.com/labs/sns-sender-active-campaignes-se détendre
#### Date de publication
15 février 2024
#### Auteurs)
Alex Delamotte
#### Description SentinelOne researchers have discovered a new Python script called SNS Sender that uses AWS Simple Notification Service (SNS) to send bulk SMS messages for the purpose of spamming phishing links, also known as Smishing. This is the first script observed using AWS SNS, and it is believed that the actor behind this tool is using cloud services to send bulk SMS phishing messages. The script author is known by the alias ARDUINO_DAS and is prolific in the phish kit scene. The script requires a list of phishing links named links.txt in its working directory. SNS Sender also takes several arguments that are entered as input: a text file containing a list of AWS access keys, secrets, and region delimited by a colon; a text file containing a list of phone numbers to target; a sender ID, similar to a display name for a message; and the message content. The script replaces any occurrences of the string in the message content variable with a URL from the links.txt file, which weaponizes the message as a phishing SMS. The actor behind this tool has been linked to many phishing kits used to target victims\' personally identifiable information (PII) and payment card details under the guise of a message from the United States Postal Service (USPS) regarding a missed package delivery. #### Reference URL(s) 1. https://www.sentinelone.com/labs/sns-sender-active-campaigns-unleash-messaging-spam-through-the-cloud/ #### Publication Date February 15, 2024 #### Author(s) Alex Delamotte |
Spam Tool Cloud | ★★★ | |
|
2024-02-16 19:33:28 | Coyote: un troyen bancaire à plusieurs étages abusant le programme d'installation de l'écureuil Coyote: A Multi-Stage Banking Trojan Abusing the Squirrel Installer (lien direct) |
#### Description
Un nouveau troyen bancaire nommé "Coyote" a été découvert, ciblant les utilisateurs de plus de 60 institutions bancaires principalement au Brésil.Il utilise des techniques avancées telles que le programme d'installation de Squirrel, les NodeJS et le langage de programmation NIM pour infecter les victimes, divergeant des méthodes traditionnelles.Le malware masque son chargeur dans un packager de mise à jour, puis utilise des NodeJS pour exécuter le code JavaScript obscurci et charge l'étape finale à l'aide de NIM.Coyote persiste en abusant des scripts de connexion Windows et surveille les applications bancaires pour des informations sensibles, en communiquant avec son serveur de commande et de contrôle via les canaux SSL.La complexité du Troie signifie un changement vers les technologies modernes parmi les cybercriminels, reflétant une sophistication croissante dans le paysage des menaces.
#### URL de référence (s)
1. https://securelist.com/coyote-multi-stage-banking-trojan/111846/
#### Date de publication
8 février 2024
#### Auteurs)
Équipe mondiale de recherche et analyse Kaspersky Lab
#### Description A new banking Trojan named "Coyote" has been discovered, targeting users of over 60 banking institutions primarily in Brazil. It utilizes advanced techniques such as Squirrel installer, NodeJS, and Nim programming language to infect victims, diverging from traditional methods. The malware hides its loader within an update packager, then employs NodeJS to execute obfuscated JavaScript code and loads the final stage using Nim. Coyote persists by abusing Windows logon scripts and monitors banking applications for sensitive information, communicating with its command and control server via SSL channels. The Trojan\'s complexity signifies a shift towards modern technologies among cybercriminals, reflecting an increasing sophistication in the threat landscape. #### Reference URL(s) 1. https://securelist.com/coyote-multi-stage-banking-trojan/111846/ #### Publication Date February 8, 2024 #### Author(s) Global Research & Analysis Team Kaspersky Lab |
Malware Threat | ★★ | |
|
2024-02-15 19:44:52 | Campagne malveillante en cours impactant les environnements cloud Azure Ongoing Malicious Campaign Impacting Azure Cloud Environments (lien direct) |
#### Description
Les chercheurs de ProofPoint ont suivi une campagne de rachat de comptes de cloud en cours impactant des dizaines d'environnements Microsoft Azure et compromettant des centaines de comptes d'utilisateurs, y compris les cadres supérieurs.
L'attaque intègre les techniques de prise de contrôle des références et de comptes cloud (ATO).Les acteurs de la menace ciblent les utilisateurs avec des leurres de phishing individualisés dans des documents partagés.La sélection variée de rôles ciblés indique une stratégie pratique des acteurs de la menace, visant à compromettre les comptes avec différents niveaux d'accès à des ressources et des responsabilités précieuses entre les fonctions organisationnelles.Un accès initial réussi conduit souvent à une séquence d'activités post-compromises non autorisées, notamment la manipulation du MFA, l'exfiltration de données, le phishing interne et externe, la fraude financière et les règles de boîte aux lettres.L'utilisation d'un agent utilisateur Linux spécifique utilisé par les attaquants pendant la phase d'accès de la chaîne d'attaque est l'un des IOC.Les attaquants utilisent principalement cet agent utilisateur pour accéder à l'application de connexion \\ 'OfficeHome \' ainsi qu'un accès non autorisé à des applications Microsoft365 natives supplémentaires.
#### URL de référence (s)
1. https://www.poolinpoint.com/us/blog/cloud-security/community-lert-ongoing-malicious-campaign-impacting-azure-cloud-environments
#### Date de publication
7 février 2024
#### Auteurs)
Équipe de réponse à la sécurité du cloud ProofPoint
#### Description Proofpoint researchers have been monitoring an ongoing cloud account takeover campaign impacting dozens of Microsoft Azure environments and compromising hundreds of user accounts, including senior executives. The attack integrates credential phishing and cloud account takeover (ATO) techniques. Threat actors target users with individualized phishing lures within shared documents. The varied selection of targeted roles indicates a practical strategy by threat actors, aiming to compromise accounts with various levels of access to valuable resources and responsibilities across organizational functions. Successful initial access often leads to a sequence of unauthorized post-compromise activities, including MFA manipulation, data exfiltration, internal and external phishing, financial fraud, and mailbox rules. The use of a specific Linux user-agent utilized by attackers during the access phase of the attack chain is one of the IOCs. Attackers predominantly utilize this user-agent to access the \'OfficeHome\' sign-in application along with unauthorized access to additional native Microsoft365 apps. #### Reference URL(s) 1. https://www.proofpoint.com/us/blog/cloud-security/community-alert-ongoing-malicious-campaign-impacting-azure-cloud-environments #### Publication Date February 7, 2024 #### Author(s) Proofpoint Cloud Security Response Team |
Threat Cloud | ★★ | |
|
2024-02-15 18:48:58 | Bumblebee bourdonne en noir |Point de preuve nous Bumblebee Buzzes Back in Black | Proofpoint US (lien direct) |
#### Description
Les chercheurs de Proofpoint ont découvert le retour du malware de Bumblebee le 8 février 2024, marquant sa réapparition après quatre mois d'absence de leurs données de menace.
Bumblebee, un téléchargeur sophistiqué utilisé par divers groupes de cybercrimins, a refait surface dans une campagne ciblant les organisations américaines via des e-mails avec des URL OneDrive contenant des fichiers Word se présentant comme des messages vocaux de "info @ Quarlesaa [.] Com".Ces documents de mots, l'identité de la société d'électronique Humane, ont utilisé des macros pour exécuter des scripts et télécharger des charges utiles malveillantes à partir de serveurs distants.La chaîne d'attaque, utilisant notamment des documents macro-compatibles VBA, contraste avec les tendances récentes des cyber-menaces, où ces macros étaient moins couramment utilisées.Malgré l'absence d'attribution à un acteur de menace spécifique, Proofpoint prévient le potentiel de Bumblebee en tant que point d'accès initial pour les attaques de ransomware ultérieures.La résurgence de Bumblebee s'aligne sur une tendance plus large de l'augmentation de l'activité cybercriminale observée en 2024, marquée par le retour de plusieurs acteurs de menace et des souches de logiciels malveillants après des périodes de dormance prolongées, indiquant une augmentation des cybermenaces après une baisse temporaire.
#### URL de référence (s)
1. https://www.proalpoint.com/us/blog/thereat-insight/bumblebee-buzzes-back-black
#### Date de publication
12 février 2024
#### Auteurs)
Axel f
Selena Larson
Équipe de recherche sur les menaces de preuve
#### Description Proofpoint researchers discovered the return of the Bumblebee malware on February 8, 2024, marking its reappearance after four months of absence from their threat data. Bumblebee, a sophisticated downloader utilized by various cybercriminal groups, resurfaced in a campaign targeting US organizations through emails with OneDrive URLs containing Word files posing as voicemail messages from "info@quarlesaa[.]com". These Word documents, impersonating the electronics company Humane, utilized macros to execute scripts and download malicious payloads from remote servers. The attack chain, notably employing VBA macro-enabled documents, contrasts with recent trends in cyber threats, where such macros were less commonly used. Despite the absence of attribution to a specific threat actor, Proofpoint warns of Bumblebee\'s potential as an initial access point for subsequent ransomware attacks. The resurgence of Bumblebee aligns with a broader trend of increased cybercriminal activity observed in 2024, marked by the return of several threat actors and malware strains after prolonged periods of dormancy, indicating a surge in cyber threats following a temporary decline. #### Reference URL(s) 1. https://www.proofpoint.com/us/blog/threat-insight/bumblebee-buzzes-back-black #### Publication Date February 12, 2024 #### Author(s) Axel F Selena Larson Proofpoint Threat Research Team |
Ransomware Malware Threat Prediction | ★★ | |
|
2024-02-08 20:42:07 | The Nine Lives of Commando Cat: Analyser une nouvelle campagne de logiciels malveillants ciblant Docker The Nine Lives of Commando Cat: Analysing a Novel Malware Campaign Targeting Docker (lien direct) |
#### Description
Les chercheurs de CADO ont découvert une nouvelle campagne de logiciels malveillants appelée "Commando Cat" qui cible les points de terminaison API Docker exposés.La campagne est une campagne de cryptojacking qui exploite Docker comme vecteur d'accès initial et monte le système de fichiers de l'hôte \\ avant d'exécuter une série de charges utiles interdépendantes directement sur l'hôte.Les charges utiles sont livrées aux instances API Docker exposées sur Internet.
L'attaquant demande à Docker de baisser une image Docker appelée cmd.cat/chattr.Le projet CMD.cat "génère des images Docker à la demande avec toutes les commandes dont vous avez besoin et les pointer simplement par nom dans la commande docker run."Il est probablement utilisé par l'attaquant pour ressembler à un outil bénin et non à susciter des soupçons.
L'attaquant crée ensuite le conteneur avec une commande personnalisée à exécuter.L'objectif principal de la charge utile user.sh est de créer une porte dérobée dans le système en ajoutant une clé SSH au compte racine, ainsi qu'en ajoutant un utilisateur avec un mot de passe connu de l'attaquant.Le script tshd.sh est responsable du déploiement de Tinyshell (TSH), une porte dérobée Unix open source écrite en C. Le script GSC.Sh est responsable du déploiement d'une porte dérobée appelée GS-Netcat, une version gonflée de Netcat qui peut perforerà travers Nat et les pare-feu.Le script AWS.SH est un créneau d'identification qui tire des informations d'identification à partir d'un certain nombre de fichiers sur le disque, ainsi que des IMD et des variables d'environnement.La charge utile finale est livrée en tant que script codé de base64 plutôt que dans la méthode traditionnelle de Curl-Into-bash utilisée précédemment par le malware.Cette base64 est repris dans Base64 -D, puis a tué dans le bash.
#### URL de référence (s)
1. https://www.cadosecurity.com/the-nine-lives-of-commando-cat-analysing-a-novel-malware-campaign-targeting-docker/
#### Date de publication
1er février 2024
#### Auteurs)
Nate Bill
Matt Muir
#### Description Cado researchers have discovered a new malware campaign called "Commando Cat" that targets exposed Docker API endpoints. The campaign is a cryptojacking campaign that leverages Docker as an initial access vector and mounts the host\'s filesystem before running a series of interdependent payloads directly on the host. The payloads are delivered to exposed Docker API instances over the internet. The attacker instructs Docker to pull down a Docker image called cmd.cat/chattr. The cmd.cat project "generates Docker images on-demand with all the commands you need and simply point them by name in the docker run command." It is likely used by the attacker to seem like a benign tool and not arouse suspicion. The attacker then creates the container with a custom command to execute. The primary purpose of the user.sh payload is to create a backdoor in the system by adding an SSH key to the root account, as well as adding a user with an attacker-known password. The tshd.sh script is responsible for deploying TinyShell (tsh), an open-source Unix backdoor written in C. The gsc.sh script is responsible for deploying a backdoor called gs-netcat, a souped-up version of netcat that can punch through NAT and firewalls. The aws.sh script is a credential grabber that pulls credentials from a number of files on disk, as well as IMDS, and environment variables. The final payload is delivered as a base64 encoded script rather than in the traditional curl-into-bash method used previously by the malware. This base64 is echoed into base64 -d, and then piped into bash. #### Reference URL(s) 1. https://www.cadosecurity.com/the-nine-lives-of-commando-cat-analysing-a-novel-malware-campaign-targeting-docker/ #### Publication Date February 1, 2024 #### Author(s) Nate Bill Matt Muir |
Malware Tool | ★★★ | |
|
2024-02-07 21:04:11 | THREAT ALERT: Ivanti Connect Secure VPN Zero-Day Exploitation (lien direct) | #### Description
Les appareils VPN Ivanti ont été exploités par deux vulnérabilités critiques, CVE-2023-46805 et CVE-2024-21887, qui n'ont pas été corrigées au moment de la divulgation.Ces vulnérabilités permettent l'exécution des commandes non autorisées et l'accès du système sur les dispositifs de sécurité orientés Internet, compromettant l'intégrité des tunnels VPN sécurisés et exposant des réseaux internes privés à l'espionnage potentiel et au vol de données.
Les attaquants ont exploité ces vulnérabilités pour modifier les composants sécurisés légitimes de l'Ivanti Connect, en arrière-plan du fichier compcheckResult.cgi pour activer l'exécution de commandes distantes et modifier les fichiers JavaScript dans le composant VPN Web Web pour capturer et exfiltrat des informations de connexion de l'utilisateur.Les vulnérabilités supplémentaires divulguées par Ivanti le 31 janvier, CVE-2024-21888 et CVE-2024-21893, permettent également une exécution de commande à distance non authentifiée avec des privilèges élevés, augmentant la surface d'attaque pour les acteurs malveillants.
L'impact de ces vulnérabilités est profond, permettant aux attaquants de contourner l'authentification multi-facteurs, de voler des informations confidentielles, d'établir des canaux de commande et de contrôle secrètes et de perturber potentiellement les opérations critiques.L'analyse de l'attribution de Mandiant indique que ces vulnérabilités ont d'abord été exploitées activement par un acteur de menace d'espionnage de China-Nexus, connu sous le nom de UNC5221, ainsi que d'autres groupes de menaces non classés par le biais de méthodes automatisées.L'enquête sur l'exploitation des vulnérabilités d'Ivanti a produit plusieurs observations critiques, en mettant en lumière les tactiques, techniques et procédures (TTP) employées par les attaquants, ainsi que les implications plus larges de ces infractions de sécurité.Les techniques d'exploitation sophistiquées, l'automatisation et le ciblage large, les techniques d'évasion et le vol et le détournement de session sont quelques-unes des observations clés.
#### URL de référence (s)
1. https://www.cybereason.com/blog/thereat-lert-ivanti-connect-secure-vpn-zero-day-explotation
2. https://www.volexity.com/blog/2024/01/10/active-exploitation-of-two-zero-ay-vulnerabilities-in-ivanti-connect-secure-vpn/
3. https://www.volexity.com/blog/2024/02/01/how-memory-forensics-revealed-exploitation-of-ivanti-connect-secure-vpn-zero-day-vulnerability/
4. https://www.mandiant.com/resources/blog/suspected-apt-targets-ivanti-zero-day
#### Date de publication
5 février 2024
#### Auteurs)
Équipe de services de sécurité de la cyberéasie
#### Description Ivanti VPN appliances have been exploited through two critical vulnerabilities, CVE-2023-46805 and CVE-2024-21887, which were not patched at the time of disclosure. These vulnerabilities allow unauthorized command execution and system access on Internet-facing security devices, compromising the integrity of secure VPN tunnels and exposing private internal networks to potential espionage and data theft. Attackers exploited these vulnerabilities to modify legitimate Ivanti Connect Secure components, backdooring the compcheckresult.cgi file to enable remote command execution and altering JavaScript files within the Web SSL VPN component to capture and exfiltrate user login credentials. The additional vulnerabilities disclosed by Ivanti on January 31st, CVE-2024-21888 and CVE-2024-21893, also allow for unauthenticated remote command execution with elevated privileges, increasing the attack surface for malicious actors. The impact of these vulnerabilities is profound, enabling attackers to bypass multi-factor authentication, steal confidential information, establish covert command and control channels, and potentially disrupt critical operations. Attribution analysis by Mandiant indicates that these vulnerabiliti |
Vulnerability Threat | ★★ | |
|
2024-02-06 20:20:15 | Ivanti Zero Day & # 8211;Les acteurs de la menace ont observé de tirer parti du CVE-2021-42278 et du CVE-2021-42287 pour l'escalade rapide de l'administration du domaine Ivanti Zero Day – Threat Actors observed leveraging CVE-2021-42278 and CVE-2021-42287 for quick privilege escalation to Domain Admin (lien direct) |
#### Description
Le groupe NCC a observé ce qu'ils croient être la tentative d'exploitation du CVE-2021-42278 et du CVE-2021-42287 comme moyen d'escalade de privilège, suite au compromis réussi d'un VPN Secure Ivanti en utilisant les vulnérabilités zéro-jour CVE-2023 IVANTI-46805 et CVE-2024-21887.
#### URL de référence (s)
1. https://research.nccgroup.com/2024/02/05/ivanti-zero-day-threat-acors-observded-levering-cve-2021-42278-et-cve-2021-42287-for-quick--privilège-Escalal-to-Domain-Admin /
#### Date de publication
5 février 2024
#### Auteurs)
David Brown
Mungomba Mulenga
#### Description NCC Group has observed what they believe to be the attempted exploitation of CVE-2021-42278 and CVE-2021-42287 as a means of privilege escalation, following the successful compromise of an Ivanti Secure Connect VPN using the zero-day vulnerabilities CVE-2023-46805 and CVE-2024-21887. #### Reference URL(s) 1. https://research.nccgroup.com/2024/02/05/ivanti-zero-day-threat-actors-observed-leveraging-cve-2021-42278-and-cve-2021-42287-for-quick-privilege-escalation-to-domain-admin/ #### Publication Date February 5, 2024 #### Author(s) David Brown Mungomba Mulenga |
Vulnerability Threat | ★★ | |
|
2024-02-05 21:31:30 | Vajraspy: un patchwork d'applications d'espionnage VajraSpy: A Patchwork of Espionage Apps (lien direct) |
#### Description
Les chercheurs de l'ESET ont découvert une nouvelle campagne de cyber-espionnage qui utilise douze applications Android transportant Vajraspy, un cheval de Troie (rat) d'accès à distance utilisé par le groupe Patchwork Apt.
Six des applications étaient disponibles sur Google Play, et six ont été trouvés sur Virustotal.Les applications ont été annoncées comme des outils de messagerie, et on se faisait passer pour une application d'actualités.Vajraspy possède une gamme de fonctionnalités d'espionnage qui peuvent être élargies en fonction des autorisations accordées à l'application regroupée avec son code.Il vole les contacts, les fichiers, les journaux d'appels et les messages SMS, mais certaines de ses implémentations peuvent même extraire les messages WhatsApp et Signal, enregistrer des appels téléphoniques et prendre des photos avec l'appareil photo.La campagne a ciblé les utilisateurs principalement au Pakistan, et les acteurs de la menace ont probablement utilisé des escroqueries de romantisme ciblées pour attirer leurs victimes dans l'installation du malware.
#### URL de référence (s)
1. https://www.welivesecurity.com/en/eset-research/vajraspy-patchwork-espionage-apps/
#### Date de publication
1er février 2024
#### Auteurs)
Lukas Stefanko
#### Description ESET researchers have discovered a new cyber espionage campaign that uses twelve Android apps carrying VajraSpy, a remote access trojan (RAT) used by the Patchwork APT group. Six of the apps were available on Google Play, and six were found on VirusTotal. The apps were advertised as messaging tools, and one posed as a news app. VajraSpy has a range of espionage functionalities that can be expanded based on the permissions granted to the app bundled with its code. It steals contacts, files, call logs, and SMS messages, but some of its implementations can even extract WhatsApp and Signal messages, record phone calls, and take pictures with the camera. The campaign targeted users mostly in Pakistan, and the threat actors likely used targeted honey-trap romance scams to lure their victims into installing the malware. #### Reference URL(s) 1. https://www.welivesecurity.com/en/eset-research/vajraspy-patchwork-espionage-apps/ #### Publication Date February 1, 2024 #### Author(s) Lukas Stefanko |
Malware Tool Threat Mobile | ★★★ | |
|
2024-02-02 20:03:16 | Frog4Shell - FritzFrog Botnet ajoute une journée à son arsenal Frog4Shell - FritzFrog Botnet Adds One-Days to Its Arsenal (lien direct) |
#### Description
L'Akamai Security Intelligence Group (SIG) a révélé des détails sur une nouvelle variante du botnet FritzFrog, ce qui abuse de la vulnérabilité Log4Shell 2021.
Le malware infecte les serveurs orientés Internet par des informations d'identification SSH faibles à faible teneur en SSH.Les variantes plus récentes lisent désormais plusieurs fichiers système sur des hôtes compromis pour détecter les cibles potentielles pour cette attaque qui ont une forte probabilité d'être vulnérable.Le malware comprend également désormais également un module pour exploiter CVE-2021-4034, une escalade de privilège dans le composant Polkit Linux.Ce module permet aux logiciels malveillants de s'exécuter en root sur des serveurs vulnérables.
#### URL de référence (s)
1. https://www.akamai.com/blog/security-research/fritzfrog-botnet-new-papabilities-log4shell
#### Date de publication
2 février 2024
#### Auteurs)
Ori David
#### Description The Akamai Security Intelligence Group (SIG) has uncovered details about a new variant of the FritzFrog botnet, which abuses the 2021 Log4Shell vulnerability. The malware infects internet-facing servers by brute forcing weak SSH credentials. Newer variants now read several system files on compromised hosts to detect potential targets for this attack that have a high likelihood of being vulnerable. The malware also now also includes a module to exploit CVE-2021-4034, a privilege escalation in the polkit Linux component. This module enables the malware to run as root on vulnerable servers. #### Reference URL(s) 1. https://www.akamai.com/blog/security-research/fritzfrog-botnet-new-capabilities-log4shell #### Publication Date February 2, 2024 #### Author(s) Ori David |
Malware Vulnerability Threat | ★★★ | |
|
2024-02-01 21:40:33 | Trigona Ransomware Threat Actor Uses Mimic Ransomware (lien direct) | #### Description
AhnLab Security Intelligence Center (ASEC) has identified a new activity of the Trigona ransomware threat actor installing Mimic ransomware.
The attack targets MS-SQL servers and exploits the Bulk Copy Program (BCP) utility in MS-SQL servers during the malware installation process. The attacker also attempted to use malware for port forwarding to establish an RDP connection to the infected system and control it remotely. The Trigona threat actor is known to use Mimikatz to steal account credentials. The threat actor installed AnyDesk to control the infected system. Administrators must use passwords that cannot be easily guessed and change them periodically to protect the database servers from brute force and dictionary attacks. V3 must also be updated to the latest version to block malware infection in advance. Administrators should also use security programs such as firewalls for database servers accessible from outside to restrict access by external threat actors.
#### Reference URL(s)
1. https://asec.ahnlab.com/en/61000/
#### Publication Date
January 29, 2024
#### Author(s)
Sanseo
#### Description AhnLab Security Intelligence Center (ASEC) has identified a new activity of the Trigona ransomware threat actor installing Mimic ransomware. The attack targets MS-SQL servers and exploits the Bulk Copy Program (BCP) utility in MS-SQL servers during the malware installation process. The attacker also attempted to use malware for port forwarding to establish an RDP connection to the infected system and control it remotely. The Trigona threat actor is known to use Mimikatz to steal account credentials. The threat actor installed AnyDesk to control the infected system. Administrators must use passwords that cannot be easily guessed and change them periodically to protect the database servers from brute force and dictionary attacks. V3 must also be updated to the latest version to block malware infection in advance. Administrators should also use security programs such as firewalls for database servers accessible from outside to restrict access by external threat actors. #### Reference URL(s) 1. https://asec.ahnlab.com/en/61000/ #### Publication Date January 29, 2024 #### Author(s) Sanseo |
Ransomware Malware Threat | ★★★ | |
|
2024-01-31 21:23:24 | ESET participe à une opération mondiale pour perturber le Trojan bancaire Grandoreiro ESET Takes Part in Global Operation to Disrupt the Grandoreiro Banking Trojan (lien direct) |
#### Description
ESET a travaillé avec la police fédérale du Brésil dans le but de perturber le botnet Grandoreiro, fournissant une analyse technique, des informations statistiques et des serveurs C&C connus aux autorités.
Grandoreiro est un cheval de Troie bancaire latino-américain qui est actif depuis au moins 2017 et cible le Brésil, le Mexique et l'Espagne.Les opérateurs de Grandoreiro \\ ont abusé des fournisseurs de cloud tels que Azure et AWS pour héberger leur infrastructure réseau.
#### URL de référence (s)
1. https://www.welivesecurity.com/en/eset-research/eset-takes-partit-hobal-opération-srupt-grandoreiro-banking-trojan/
#### Date de publication
30 janvier 2024
#### Auteurs)
Recherche ESET
#### Description ESET has worked with the Federal Police of Brazil on an effort to disrupt the Grandoreiro botnet, providing technical analysis, statistical information and known C&C servers to the authorities. Grandoreiro is a Latin American banking trojan that has been active since at least 2017 and targets Brazil, Mexico, and Spain. Grandoreiro\'s operators have abused cloud providers such as Azure and AWS to host their network infrastructure. #### Reference URL(s) 1. https://www.welivesecurity.com/en/eset-research/eset-takes-part-global-operation-disrupt-grandoreiro-banking-trojan/ #### Publication Date January 30, 2024 #### Author(s) ESET Research |
Cloud Technical | ★★★ | |
|
2024-01-30 21:43:14 | Kimsuky Group Uses AutoIt to Create Malware (RftRAT, Amadey) (lien direct) | #### Description
Le groupe de menaces Kimsuky, réputé soutenu par la Corée du Nord, est actif depuis 2013. Au début, ils ont attaquéLa Corée du Sud a également été identifiée depuis 2017. Le groupe emploie généralement des attaques de phishing de lance contre le secteur national de la défense, les industries de la défense, la presse, le secteur diplomatique, les organisations nationales et les domaines académiques pour voler des informations et des technologies internes auprès d'organisations.
Même jusqu'à récemment, le groupe Kimsuky utilise toujours principalement des attaques de phishing de lance pour obtenir un accès initial.Ce qui rend les attaques récentes différentes des cas précédents, c'est que davantage de logiciels malveillants de type raccourci LNK sont utilisés à la place du malware dans Hangul Word Processor (HWP) ou MS Office Document Format.L'acteur de menace a conduit les utilisateurs à télécharger un fichier compressé via des pièces jointes ou à télécharger des liens dans les e-mails de phishing de lance.Lorsque ce fichier compressé est décompressé, il fournit un fichier de document légitime avec un fichier LNK malveillant.
#### URL de référence (s)
1. https://asec.ahnlab.com/en/59590/
#### Date de publication
7 décembre 2023
#### Auteurs)
Sanseo
#### Description The Kimsuky threat group, deemed to be supported by North Korea, has been active since 2013. At first, they attacked North Korea-related research institutes in South Korea before attacking a South Korean energy corporation in 2014. Cases of attacks against countries other than South Korea have also been identified since 2017. The group usually employs spear phishing attacks against the national defense sector, defense industries, the press, the diplomatic sector, national organizations, and academic fields to steal internal information and technology from organizations. Even until recently, the Kimsuky group was still mainly employing spear phishing attacks to gain initial access. What makes the recent attacks different from the previous cases is that more LNK shortcut-type malware are being used instead of malware in Hangul Word Processor (HWP) or MS Office document format. The threat actor led users to download a compressed file through attachments or download links within spear phishing emails. When this compressed file is decompressed, it yields a legitimate document file along with a malicious LNK file. #### Reference URL(s) 1. https://asec.ahnlab.com/en/59590/ #### Publication Date December 7, 2023 #### Author(s) Sanseo |
Malware Threat | ★★★ | |
|
2024-01-30 19:59:14 | Gitgot: Github exploité par les cybercriminels pour stocker des données volées GitGot: GitHub Leveraged by Cybercriminals to Store Stolen Data (lien direct) |
#### Description
Les chercheurs de réversion desBabs ont découvert deux packages malveillants sur le gestionnaire de packages Open Source NPM qui exploite Github pour stocker des clés SSH cryptées Base64 volées retirées des systèmes de développeurs qui ont installé les packages NPM malveillants.
Les forfaits, Warbeast2000 et Kodiak2K, ont été identifiés en janvier et ont depuis été retirés du NPM.Le package Warbeast2000 a été téléchargé un peu moins de 400 fois, tandis que le Kodiak2k a été téléchargé environ 950 fois.Les acteurs malveillants derrière les packages ont utilisé Github pour stocker les informations volées.
Le package Warbeast2000 ne contenait que quelques composants et était toujours en cours de développement lors de sa détection.Le package lancerait un script PostInstall qui a récupéré et exécuté un fichier JavaScript.Ce script malveillant en deuxième étape a lu la clé SSH privée stockée dans le fichier id_rsa situé dans le répertoire /.ssh.Il a ensuite téléchargé la clé codée Base64 à un référentiel GitHub contrôlé par l'attaquant.Le package Kodiak2K avait plus de 30 versions différentes et, à part les premiers, tous étaient malveillants.Le package a également exécuté un script trouvé dans un projet GitHub archivé contenant le cadre Empire Post-Exploitation.Le script invoque également l'outil de piratage Mimikatz, qui est couramment utilisé pour vider les informations d'identification à partir de la mémoire du processus.
#### URL de référence (s)
1. https://www.reversingLabs.com/blog/gitgot-cybercriminals-using-github-t-store-stolen-data
#### Date de publication
23 janvier 2024
#### Auteurs)
Lucija Valentić
#### Description ReversingLabs researchers have discovered two malicious packages on the npm open source package manager that leverages GitHub to store stolen Base64-encrypted SSH keys lifted from developer systems that installed the malicious npm packages. The packages, warbeast2000 and kodiak2k, were identified in January and have since been removed from npm. The warbeast2000 package was downloaded a little less than 400 times, whereas the kodiak2k was downloaded around 950 times. The malicious actors behind the packages used GitHub to store the stolen information. The warbeast2000 package contained just a few components and was still under development when it was detected. The package would launch a postinstall script that fetched and executed a javascript file. This second stage malicious script read the private ssh key stored in the id_rsa file located in the /.ssh directory. It then uploaded the Base64 encoded key to an attacker-controlled GitHub repository. The kodiak2k package had more than 30 different versions and, apart from the first few, all of them were malicious. The package also executed a script found in an archived GitHub project containing the Empire post-exploitation framework. The script also invokes the Mimikatz hacking tool, which is commonly used to dump credentials from process memory. #### Reference URL(s) 1. https://www.reversinglabs.com/blog/gitgot-cybercriminals-using-github-to-store-stolen-data #### Publication Date January 23, 2024 #### Author(s) Lucija Valentić |
Tool Threat | ★★★★ | |
|
2024-01-29 20:40:12 | Mexican Banks and Cryptocurrency Platforms Targeted With AllaKore RAT (lien direct) | #### Description
Un acteur de menace motivé financièrement a ciblé les banques mexicaines et les entités commerciales de crypto-monnaie avec une version modifiée d'Allakore Rat.
Les leurres utilisent des schémas de dénomination de la sécurité sociale mexicaine (IMSS) et des liens avec des documents légitimes et bénins pendant le processus d'installation.La charge utile du rat Allakore est fortement modifiée pour permettre aux acteurs de la menace d'envoyer des informations d'identification bancaires volées et des informations d'authentification uniques à un serveur de commandement et de contrôle (C2) à des fins de fraude financière.
#### URL de référence (s)
1. https://blogs.blackberry.com/en/2024/01/mexican-banks-and-cryptocurrency-platforms-targeted-with-allakore-rat-rat
#### Date de publication
29 janvier 2024
#### Auteurs)
Équipe BlackBerry Research & Intelligence
#### Description A financially-motivated threat actor has been targeting Mexican banks and cryptocurrency trading entities with a modified version of AllaKore RAT. Lures use Mexican Social Security Institute (IMSS) naming schemas and links to legitimate, benign documents during the installation process. The AllaKore RAT payload is heavily modified to allow the threat actors to send stolen banking credentials and unique authentication information back to a command-and-control (C2) server for the purposes of financial fraud. #### Reference URL(s) 1. https://blogs.blackberry.com/en/2024/01/mexican-banks-and-cryptocurrency-platforms-targeted-with-allakore-rat #### Publication Date January 29, 2024 #### Author(s) BlackBerry Research & Intelligence Team |
Threat | ★★ | |
|
2024-01-26 18:48:27 | NSPX30: Un implant sophistiqué à AITM évolue depuis 2005 NSPX30: A Sophisticated AitM-Enabled Implant Evolving Since 2005 (lien direct) |
#### Description
Les chercheurs de l'ESET découvrent NSPX30, un implant sophistiqué utilisé par un nouveau groupe APT aligné par la Chine qu'ils ont nommé Blackwood.NSPX30 est un implant sophistiqué livré via l'adversaire dans le milieu (AITM) attaque les demandes de mise à jour de mise à jour du logiciel légitime.
L'implant a été détecté dans des attaques ciblées contre les entreprises chinoises et japonaises, ainsi que contre des individus situés au Royaume-Uni.NSPX30 est un implant à plusieurs étages qui comprend plusieurs composants tels qu'un compte-gouttes, un installateur, des chargeurs, un orchestrateur et une porte dérobée.Les deux derniers ont leurs propres ensembles de plugins.L'implant a été conçu autour de la capacité des attaquants \\ 'à effectuer une interception de paquets, permettant aux opérateurs NSPX30 de cacher leur infrastructure.NSPX30 est également capable de permettre de s'arrêter dans plusieurs solutions chinoises anti-logiciels.
#### URL de référence (s)
1. https://www.welivesecurity.com/en/eset-research/NSPX30-sophicated-aitm-enabled-implant-evolving-since-2005/
#### Date de publication
24 janvier 2024
#### Auteurs)
Facundo mu & ntilde; oz
#### Description ESET researchers uncover NSPX30, a sophisticated implant used by a new China-aligned APT group they have named Blackwood. NSPX30 is a sophisticated implant delivered through adversary-in-the-middle (AitM) attacks hijacking update requests from legitimate software. The implant was detected in targeted attacks against Chinese and Japanese companies, as well as against individuals located in the United Kingdom. NSPX30 is a multistage implant that includes several components such as a dropper, an installer, loaders, an orchestrator, and a backdoor. Both of the latter two have their own sets of plugins. The implant was designed around the attackers\' capability to conduct packet interception, enabling NSPX30 operators to hide their infrastructure. NSPX30 is also capable of allowlisting itself in several Chinese antimalware solutions. #### Reference URL(s) 1. https://www.welivesecurity.com/en/eset-research/nspx30-sophisticated-aitm-enabled-implant-evolving-since-2005/ #### Publication Date January 24, 2024 #### Author(s) Facundo Muñoz |
★★ | ||
|
2024-01-25 20:18:28 | Kasseika Ransomware déploie BYOVD ATTAQUES ABUS Psexec et exploite le pilote Martini Kasseika Ransomware Deploys BYOVD Attacks Abuses PsExec and Exploits Martini Driver (lien direct) |
#### Description
L'opération de ransomware nommée \\ 'Kasseika \' a adopté Bring vos propres tactiques de pilote vulnérable (BYOVD) pour désactiver le logiciel antivirus avant de crypter des fichiers.
Kasseika exploite le pilote Martini, qui fait partie du système d'agent Virtt Soft \\ de TG Soft, pour désactiver les produits antivirus protégeant le système ciblé.Trend Micro a découvert Kasseika en décembre 2023, notant ses similitudes avec Blackmatter, suggérant qu'il pourrait avoir été construit par d'anciens membres ou acteurs qui ont acheté le code de Blackmatter \\.L'attaque commence par un e-mail de phishing, volant des informations d'identification pour l'accès initial, suivie de l'outil d'abus de Psexec Windows pour le mouvement latéral.Kasseika utilise des attaques BYOVD pour gagner des privilèges, résilier les processus antivirus et exécuter son ransomware binaire, exigeant une rançon de Bitcoin et offrant aux victimes une option de décryptage dans les 120 heures.
#### URL de référence (s)
1. https://www.trendmicro.com/en_us/research/24/a/kasseika-ransomware-deploys-byovd-attades-abuses-psexec-and-expl.html
#### Date de publication
25 janvier 2024
#### Auteurs)
Chercheurs Trendmicro
#### Description The ransomware operation named \'Kasseika\' has adopted Bring Your Own Vulnerable Driver (BYOVD) tactics to disable antivirus software before encrypting files. Kasseika exploits the Martini driver, part of TG Soft\'s VirtIT Agent System, to disable antivirus products protecting the targeted system. Trend Micro discovered Kasseika in December 2023, noting its similarities with BlackMatter, suggesting it may have been built by former members or actors who purchased BlackMatter\'s code. The attack begins with a phishing email, stealing credentials for initial access, followed by the abuse of Windows PsExec tool for lateral movement. Kasseika utilizes BYOVD attacks to gain privileges, terminate antivirus processes, and execute its ransomware binary, demanding a Bitcoin ransom and providing victims with a decryption option within 120 hours. #### Reference URL(s) 1. https://www.trendmicro.com/en_us/research/24/a/kasseika-ransomware-deploys-byovd-attacks-abuses-psexec-and-expl.html #### Publication Date January 25, 2024 #### Author(s) TrendMicro Researchers |
Ransomware Tool Prediction | ★★★ | |
|
2024-01-25 19:48:09 | Parrot TDS: une campagne de logiciels malveillants persistants et évolutives Parrot TDS: A Persistent and Evolving Malware Campaign (lien direct) |
#### Description
Le Parrot TDS (Traffic Redirect System) a augmenté sa campagne depuis octobre 2021, utilisant des techniques sophistiquées pour éviter la détection et potentiellement impactant des millions de personnes par le biais de scripts malveillants sur des sites Web compromis.
Identifiée par les chercheurs de l'unité 42, Parrot TDS injecte des scripts malveillants dans le code JavaScript existant sur les serveurs, le profilage stratégique des victimes avant de fournir des charges utiles qui redirigent les navigateurs vers un contenu malveillant.Notamment, la campagne TDS présente une large portée, ciblant les victimes à l'échelle mondiale sans limites basées sur la nationalité ou l'industrie.Pour renforcer les tactiques d'évasion, les attaquants utilisent plusieurs lignes de code JavaScript injecté, ce qui rend plus difficile pour les chercheurs en sécurité de détecter.Les attaquants, utilisant probablement des outils automatisés, exploitent les vulnérabilités connues, en mettant l'accent sur les serveurs compromis à l'aide de WordPress, Joomla ou d'autres systèmes de gestion de contenu.
#### URL de référence (s)
1. https://unit42.paloaltonetworks.com/parrot-tds-javascript-evolution-analysis/#post-132073-_jt3yi5rhpmao
#### Date de publication
19 janvier 2024
#### Auteurs)
Zhanglin he
Ben Zhang
Billy Melicher
Qi Deng
Boqu
Brad Duncan
#### Description The Parrot TDS (Traffic Redirect System) has escalated its campaign since October 2021, employing sophisticated techniques to avoid detection and potentially impacting millions through malicious scripts on compromised websites. Identified by Unit 42 researchers, Parrot TDS injects malicious scripts into existing JavaScript code on servers, strategically profiling victims before delivering payloads that redirect browsers to malicious content. Notably, the TDS campaign exhibits a broad scope, targeting victims globally without limitations based on nationality or industry. To bolster evasion tactics, attackers utilize multiple lines of injected JavaScript code, making it harder for security researchers to detect. The attackers, likely employing automated tools, exploit known vulnerabilities, with a focus on compromising servers using WordPress, Joomla, or other content management systems. #### Reference URL(s) 1. https://unit42.paloaltonetworks.com/parrot-tds-javascript-evolution-analysis/#post-132073-_jt3yi5rhpmao #### Publication Date January 19, 2024 #### Author(s) Zhanglin He Ben Zhang Billy Melicher Qi Deng Bo Qu Brad Duncan |
Malware Tool Vulnerability Threat | ★★★ | |
|
2024-01-24 20:59:31 | Mimo CoinMiner and Mimus Ransomware Installed via Vulnerability Attacks (lien direct) | #### Description
Ahnlab Security Intelligence Center (ASEC) a récemment observé les circonstances d'un acteur de menace de Coinmin appelé MIMO exploitant diverses vulnérabilités pour installer des logiciels malveillants.MIMO, également surnommé HezB, a été retrouvé pour la première fois lorsqu'ils ont installé des co -miners grâce à une exploitation de vulnérabilité Log4Shell en mars 2022.
L'acteur MIMO Threat a installé divers logiciels malveillants, notamment MIMUS Ransomware, Proxyware et Inverse Shell MALWWare, en plus du mimo de mineur.La majorité des attaques de l'acteur de menace de MIMO ont été des cas qui utilisent XMRIG Coinmin, mais des cas d'attaque par ransomware ont également été observés en 2023.
Le ransomware Mimus a été installé avec le malware par lots et a été fabriqué sur la base du code source révélé sur GitHub par le développeur «Mauri870» qui a développé les codes à des fins de recherche.Le ransomware a été développé en Go, et l'acteur de menace l'a utilisé pour développer des ransomwares et l'a nommé Mimus Ransomware.MIMUS Ransomware n'a pas de différences particulières par rapport au code source de Mauricrypt \\.Seule l'adresse C&C de l'acteur de menace, l'adresse du portefeuille, l'adresse e-mail et d'autres données de configuration ont été modifiées.
#### URL de référence (s)
1. https://asec.ahnlab.com/en/60440/
#### Date de publication
17 janvier 2024
#### Auteurs)
Sanseo
#### Description AhnLab SEcurity intelligence Center (ASEC) recently observed circumstances of a CoinMiner threat actor called Mimo exploiting various vulnerabilities to install malware. Mimo, also dubbed Hezb, was first found when they installed CoinMiners through a Log4Shell vulnerability exploitation in March 2022. The Mimo threat actor has installed various malware, including Mimus ransomware, proxyware, and reverse shell malware, besides the Mimo miner. The majority of the Mimo threat actor\'s attacks have been cases that use XMRig CoinMiner, but ransomware attack cases were also observed in 2023. The Mimus ransomware was installed with the Batch malware and was made based on the source code revealed on GitHub by the developer “mauri870” who developed the codes for research purposes. The ransomware was developed in Go, and the threat actor used this to develop ransomware and named it Mimus ransomware. Mimus ransomware does not have any particular differences when compared to MauriCrypt\'s source code. Only the threat actor\'s C&C address, wallet address, email address, and other configuration data were changed. #### Reference URL(s) 1. https://asec.ahnlab.com/en/60440/ #### Publication Date January 17, 2024 #### Author(s) Sanseo |
Ransomware Malware Vulnerability Threat | ★★ | |
|
2024-01-23 19:28:26 | le package NPM a trouvé la livraison de rat sophistiqué npm Package Found Delivering Sophisticated RAT (lien direct) |
#### Description
Le 12 janvier, 2024, la plate-forme de détection de risques automatisé de Phylum \\, nous a alertés d'une publication suspecte sur NPM.Le package, "OSCompatible", contenait quelques binaires étranges, y compris un seul fichier EXE, un seul fichier DLL et un fichier DAT crypté.Après avoir inversé l'exécutable, le déploiement d'un rat a été découvert à travers un processus relativement compliqué qui s'est dirigée de manière convaincante en tant que processus de mise à jour Microsoft standard.
La chaîne d'attaque implique la tactique intelligente du détournement de l'ordre de recherche DLL et le déploiement d'un rat qui enregistre comme tâche planifiée, reçoit des commandes d'un serveur distant à l'aide de sockets Web, installe des extensions chromées pour sécuriser les préférences, configure AnyDesk, masque l'écran etDésactive l'arrêt des fenêtres, capture les événements du clavier et de la souris et collecte des informations sur les fichiers, les extensions du navigateur et l'historique du navigateur.Le package OSCompatible ne s'exécute pas lors de l'installation du package.Dans ce cas, le fichier index.js exporte simplement une fonction appelée compat.Afin de déclencher réellement la chaîne d'exécution, vous devez exécuter un script qui nécessite le fichier d'index, puis appelle compat () à partir de celui-ci et vous devriez le faire sans privilèges d'administration.
#### URL de référence (s)
1. https://blog.phylum.io/npm-package-found-delivering-sophistiqué-rat/
#### Date de publication
18 janvier 2024
#### Auteurs)
Phylum
#### Description On January 12, 2024 Phylum\'s automated risk detection platform alerted us to a suspicious publication on npm. The package, "oscompatible", contained a few strange binaries, including a single exe file, a single DLL file, and an encrypted dat file. After reversing the executable, the deployment of a RAT was uncovered through a relatively complicated process that convincingly masqueraded as a standard Microsoft update process. The attack chain involves the clever tactic of DLL search order hijacking and the deployment of a RAT that registers as a scheduled task, receives commands from a remote server using web sockets, installs Chrome extensions to Secure Preferences, configures AnyDesk, hides the screen, and disables shutting down Windows, captures keyboard and mouse events, and collects information about files, browser extensions, and browser history. The oscompatible package does not execute upon package installation. In this case, the index.js file just exports a function called compat. In order to actually trigger the execution chain, you\'d need to run a script that requires the index file and then calls compat() from it-and you\'d need to do it without admin privileges. #### Reference URL(s) 1. https://blog.phylum.io/npm-package-found-delivering-sophisticated-rat/ #### Publication Date January 18, 2024 #### Author(s) Phylum |
★★★ | ||
|
2024-01-22 20:39:42 | Livraison de logiciels malveillants de l'installateur MSIX à la hausse MSIX Installer Malware Delivery on the Rise (lien direct) |
#### Description
À partir de juillet 2023, Red Canary a commencé à enquêter sur une série d'attaques par des adversaires tirant parti des fichiers MSIX pour fournir des logiciels malveillants.MSIX est un format d'installation de packages d'applications Windows que les équipes et les développeurs informatiques utilisent de plus en plus pour fournir des applications Windows au sein des entreprises.
Les adversaires de chaque intrusion semblaient utiliser une publicité malveillante ou un empoisonnement SEO pour attirer les victimes, qui pensaient qu'ils téléchargeaient des logiciels légitimes tels que Grammarly, Microsoft Teams, Notion et Zoom.Les victimes s'étendent sur plusieurs industries, ce qui suggère que les attaques de l'adversaire sont opportunistes plutôt que ciblées.
#### URL de référence (s)
1. https://redcanary.com/blog/msix-installers/
#### Date de publication
16 janvier 2024
#### Auteurs)
Tony Lambert
#### Description Starting in July 2023, Red Canary began investigating a series of attacks by adversaries leveraging MSIX files to deliver malware. MSIX is a Windows application package installation format that IT teams and developers increasingly use to deliver Windows applications within enterprises. The adversaries in each intrusion appeared to be using malicious advertising or SEO poisoning to draw in victims, who believed that they were downloading legitimate software such as Grammarly, Microsoft Teams, Notion, and Zoom. Victims span multiple industries, suggesting that the adversary\'s attacks are opportunistic rather than targeted. #### Reference URL(s) 1. https://redcanary.com/blog/msix-installers/ #### Publication Date January 16, 2024 #### Author(s) Tony Lambert |
Malware Threat | ★★ | |
|
2024-01-19 21:05:18 | Le groupe de menaces russes Coldriver étend son ciblage des responsables occidentaux pour inclure l'utilisation de logiciels malveillants Russian Threat Group COLDRIVER Expands its Targeting of Western Officials to Include the Use of Malware (lien direct) |
#### Description
Le groupe de menaces russes Coldriver, également connu sous le nom de UNC4057, Star Blizzard et Callisto, a élargi son ciblage des responsables occidentaux pour inclure l'utilisation de logiciels malveillants.Le groupe s'est concentré sur les activités de phishing des conférences contre des personnes de haut niveau dans les ONG, les anciens officiers de renseignement et militaire et les gouvernements de l'OTAN.Coldriver a utilisé des comptes d'identité pour établir un rapport avec la cible, augmentant la probabilité du succès de la campagne de phishing \\, et finit par envoyer un lien ou un document de phishing contenant un lien.
Coldriver a été observé en envoyant des cibles des documents PDF bénins à partir de comptes d'identité, présentant ces documents comme un nouveau éditorial ou un autre type d'article que le compte d'identité cherche à publier, demandant des commentaires de la cible.Lorsque l'utilisateur ouvre le PDF bénin, le texte apparaît crypté.Si l'objectif répond qu'ils ne peuvent pas lire le document chiffré, le compte d'identité Coldriver répond par un lien, généralement hébergé sur un site de stockage cloud, à un utilitaire de «décryptage» à l'utilisation de la cible.Cet utilitaire de décryptage, tout en affichant un document de leurre, est en fait une porte dérobée, suivie en tant que SPICA, donnant à Coldriver l'accès à la machine de la victime.
#### URL de référence (s)
1. https://blog.google/thereat-analysis-group/google-tag-coldriver-russian-phishing-malware/
#### Date de publication
18 janvier 2024
#### Auteurs)
Wesley Shields
#### Description Russian threat group COLDRIVER, also known as UNC4057, Star Blizzard, and Callisto, has expanded its targeting of Western officials to include the use of malware. The group has been focused on credential phishing activities against high-profile individuals in NGOs, former intelligence and military officers, and NATO governments. COLDRIVER has been using impersonation accounts to establish a rapport with the target, increasing the likelihood of the phishing campaign\'s success, and eventually sends a phishing link or document containing a link. COLDRIVER has been observed sending targets benign PDF documents from impersonation accounts, presenting these documents as a new op-ed or other type of article that the impersonation account is looking to publish, asking for feedback from the target. When the user opens the benign PDF, the text appears encrypted. If the target responds that they cannot read the encrypted document, the COLDRIVER impersonation account responds with a link, usually hosted on a cloud storage site, to a “decryption” utility for the target to use. This decryption utility, while also displaying a decoy document, is in fact a backdoor, tracked as SPICA, giving COLDRIVER access to the victim\'s machine. #### Reference URL(s) 1. https://blog.google/threat-analysis-group/google-tag-coldriver-russian-phishing-malware/ #### Publication Date January 18, 2024 #### Author(s) Wesley Shields |
Malware Threat Cloud | ★★ | |
|
2024-01-18 20:46:31 | LockBit Ransomware Distributed Via Word Files Disguised as Resumes (lien direct) | #### Description
AHNLAB Security Intelligence Center (ASEC) a identifié que Lockbit Ransomware est distribué via des fichiers Word depuis le mois dernier.Le ransomware est téléchargé à partir d'URL externes lorsque le fichier Word est exécuté, et le fichier de document a un code macro malveillant supplémentaire.Le ransomware est finalement exécuté pour télécharger et exécuter les ransomwares de verrouillage.Les noms de fichiers récemment découverts des fichiers Word malveillants sont déguisés en curriculum vitae et les URL externes identifiées sont incluses dans le fichier Word interne.
#### URL de référence (s)
1. https://asec.ahnlab.com/en/60633/
#### Date de publication
17 janvier 2024
#### Auteurs)
Yeeun
#### Description AhnLab SEcurity intelligence Center (ASEC) has identified that LockBit ransomware is being distributed via Word files since last month. The ransomware is downloaded from external URLs when the Word file is run, and the document file has additional malicious macro code. The ransomware is ultimately run to download and execute LockBit ransomware. The recently discovered file names of malicious Word files are disguised as resumes, and the identified external URLs are included in the internal Word file. #### Reference URL(s) 1. https://asec.ahnlab.com/en/60633/ #### Publication Date January 17, 2024 #### Author(s) Yeeun |
Ransomware | ★★ | |
|
2024-01-17 21:58:17 | Avant de pointe: cibles suspectées APT Ivanti Connect Secure VPN dans une nouvelle exploitation zéro-jour |Mandiant Cutting Edge: Suspected APT Targets Ivanti Connect Secure VPN in New Zero-Day Exploitation | Mandiant (lien direct) |
#### Description
Le 10 janvier 2024, Ivanti a révélé deux vulnérabilités, CVE-2023-46805 et CVE-2024-21887, impactant Ivanti Connect Secure VPN («CS», anciennement Secure Secure) et Ivanti Policy Secure («PS»).Une exploitation réussie pourrait entraîner un contournement d'authentification et une injection de commandement, entraînant un autre compromis en aval d'un réseau de victimes.Mandiant a identifié l'exploitation zéro-jour de ces vulnérabilités à l'état sauvage dès décembre 2023 par un acteur présumé de menace d'espionnage, actuellement suivi de l'UNC5221.
Mandiant partage les détails de cinq familles de logiciels malveillants associés à l'exploitation des appareils CS et PS.Ces familles permettent aux acteurs de la menace de contourner l'authentification et de fournir un accès de porte dérobée à ces appareils.
#### URL de référence (s)
1. https://www.mandiant.com/resourceS / Blog / suspecté-APT-Targets-Ivanti-Zero-Day
#### Date de publication
17 janvier 2024
#### Auteurs)
Tyler McLellan
John Wolfram
Gabby Rconcone
Matt Lin
Robert Wallace
Dimiter Andonov
#### Description On January 10, 2024, Ivanti disclosed two vulnerabilities, CVE-2023-46805 and CVE-2024-21887, impacting Ivanti Connect Secure VPN (“CS”, formerly Pulse Secure) and Ivanti Policy Secure (“PS”) appliances. Successful exploitation could result in authentication bypass and command injection, leading to further downstream compromise of a victim network. Mandiant has identified zero-day exploitation of these vulnerabilities in the wild beginning as early as December 2023 by a suspected espionage threat actor, currently being tracked as UNC5221. Mandiant is sharing details of five malware families associated with the exploitation of CS and PS devices. These families allow the threat actors to circumvent authentication and provide backdoor access to these devices. #### Reference URL(s) 1. https://www.mandiant.com/resources/blog/suspected-apt-targets-ivanti-zero-day #### Publication Date January 17, 2024 #### Author(s) Tyler Mclellan John Wolfram Gabby Roncone Matt Lin Robert Wallace Dimiter Andonov |
Malware Vulnerability Threat | ★★★★ | |
|
2024-01-17 21:00:08 | Anneaux de voleur atomique dans la nouvelle année avec une version mise à jour Atomic Stealer Rings in the New Year with Updated Version (lien direct) |
#### Description
Les utilisateurs de Mac doivent être conscients d'une campagne de distribution active via des publicités malveillantes fournissant un voleur atomique.La dernière itération du malware a ajouté le chiffrement et l'obscurcissement de son code.Le malware a été distribué via des campagnes de malvertisation et des sites compromis.En janvier 2024, une campagne de malvertising a été identifiée à l'aide de publicités Google Search pour attirer les victimes via un site Web de leurre imitant Slack.Les acteurs de la menace tirent parti des modèles de suivi pour filtrer le trafic et l'ouvrir à travers quelques redirectes avant de charger la page de destination.Le fichier DMG malveillant contient des instructions pour les utilisateurs pour ouvrir le fichier ainsi qu'une fenêtre de boîte de dialogue leur demandant de saisir le mot de passe de leur système.Cela permettra au voleur atomique de collecter des mots de passe et d'autres fichiers sensibles qui sont généralement liés à l'accès.Les voleurs continuent d'être une menace supérieure pour les utilisateurs de Mac, et il est important de télécharger des logiciels à partir de sites de confiance.
#### URL de référence (s)
1. https://www.malwarebytes.com/blog/thereat-intelligence/2024/01/atomic-staleer-rings-in-the-new-year-with-updated-version
#### Date de publication
10 janvier 2024
#### Auteurs)
MalwareBytes Mende Intelligence Team
J & eacute; r & ocirc; moi segura
#### Description Mac users should be aware of an active distribution campaign via malicious ads delivering Atomic Stealer. The latest iteration of the malware added encryption and obfuscation of its code. he malware was distributed via malvertising campaigns and compromised sites. In January 2024, a malvertising campaign was identified using Google search ads to lure victims via a decoy website impersonating Slack. The threat actors are leveraging tracking templates to filter traffic and route it through a few redirects before loading the landing page. The malicious DMG file contains instructions for users to open the file as well as a dialog window asking them to enter their system password. This will allow Atomic Stealer to collect passwords and other sensitive files that are typically access-restricted. Stealers continue to be a top threat for Mac users, and it is important to download software from trusted locations. #### Reference URL(s) 1. https://www.malwarebytes.com/blog/threat-intelligence/2024/01/atomic-stealer-rings-in-the-new-year-with-updated-version #### Publication Date January 10, 2024 #### Author(s) Malwarebytes Threat Intelligence Team Jérôme Segura |
Malware Threat | ★★★ |
To see everything:
Our RSS (filtrered)
